En esta página, se proporciona una descripción general de las consideraciones de seguridad de Google Cloud NetApp Volumes.
Consideraciones de seguridad para las redes
Google Cloud NetApp Volumes proporciona un framework arquitectónico protegido con las siguientes capas de seguridad aisladas:
Seguridad a nivel del proyecto: Es la capa de seguridad administrativa que los administradores usan para administrar los recursos de NetApp Volumes, como los grupos de almacenamiento o los volúmenes, con la consola de Google Cloud , el SDK de Google Cloud o las APIs. Los roles y permisos de IAM protegen esta capa. Para obtener más información sobre la seguridad a nivel del proyecto, consulta Configura los permisos de IAM.
Seguridad a nivel de la red: Es la capa de red que se usa para acceder a los volúmenes de datos con protocolos de almacenamiento conectado a la red (NAS) (bloque de mensajes del servidor [SMB] y sistema de archivos de red [NFS]).
Puedes acceder a los datos dentro de los volúmenes con protocolos NAS a través de una red de nube privada virtual. Solo se puede acceder a todos los datos de NetApp Volumes a través de tu VPC, a menos que uses explícitamente una solución de terceros para reemplazar el enrutamiento del peering de VPC a tus VPCs.
Dentro de la VPC, puedes limitar aún más el acceso con firewalls y a través de la configuración de mecanismos de control de acceso específicos del protocolo.
Reglas de firewall para el acceso a volúmenes
Las reglas de firewall protegen la Google Cloud VPC. Para habilitar el acceso de los clientes a NetApp Volumes, debes permitir el tráfico de red específico.
Reglas de firewall para el acceso a volúmenes NFS
NFS usa varios puertos para comunicarse entre el cliente y un servidor. Para garantizar una comunicación adecuada y el correcto montaje de volúmenes, debes habilitar puertos en tus firewalls.
NetApp Volumes actúa como un servidor NFS y expone los puertos de red necesarios para NFS. Asegúrate de que tus clientes NFS tengan permiso para comunicarse con los siguientes puertos de NetApp Volumes:
111 TCP/UDP portmapper635 TCP/UDP mountd2049 TCP/UDP nfsd4045 TCP/UDP nlockmgr(solo para NFSv3)4046 TCP/UDP status(solo para NFSv3)3260 TCP iSCSI
Las direcciones IP de NetApp Volumes se asignan automáticamente desde el rango de CIDR que asignaste al servicio durante el intercambio de tráfico de red. Para obtener más información, consulta Elige un CIDR.
Uso del bloqueo asesor con NFSv3
Si usas bloqueos de asesoramiento con NFSv3, debes ejecutar el daemon rpc.statd en tu cliente para admitir Network Lock Manager, que es una utilidad que funciona en cooperación con NFS para proporcionar un bloqueo de archivos y registros de asesoramiento de estilo System V a través de la red. Tu cliente de NFS debe abrir un puerto de entrada para que rpc.statd reciba devoluciones de llamada del Administrador de bloqueo de red. En la mayoría de las distribuciones de Linux, rpc.statd se inicia cuando activas el primer recurso compartido de NFS. Usa un puerto aleatorio que puedes identificar con el comando rpcinfo -p. Para que rpc.statd sea más compatible con el firewall, configúralo para que use un puerto estático.
Para configurar puertos estáticos para rpc.statd, consulta los siguientes recursos:
Si no usas bloqueos de asesoramiento de NFSv3 ni Network Lock Manager, te recomendamos que actives tus recursos compartidos de NFSv3 con la opción de activación nolock.
NFSv4.1 implementa la función de bloqueo dentro del protocolo NFSv4.1, que se ejecuta a través de la conexión TCP iniciada por el cliente al servidor NFSv4.1 en el puerto 2049. El cliente no necesita abrir puertos de firewall para el tráfico de entrada.
Reglas de firewall para el acceso a volúmenes de SMB
SMB usa varios puertos para comunicarse entre el cliente y un servidor. Para garantizar una comunicación adecuada, debes habilitar puertos en tus firewalls.
NetApp Volumes actúan como un servidor SMB y exponen los puertos de red que requiere SMB. Asegúrate de que tu cliente de SMB pueda comunicarse con los siguientes puertos de NetApp Volumes:
445 TCP SMB2/3135 TCP msrpcy40001 TCP SMB CA: Se usan solo para los recursos compartidos disponibles de forma continua de SMB 3.x. Estos puertos no son necesarios para los recursos compartidos que no están disponibles de forma continua.
El servicio expone, pero no usa, el puerto 139/TCP.
Las direcciones IP de NetApp Volumes se asignan automáticamente desde el rango de CIDR que asignaste al servicio durante el intercambio de tráfico de red. Para obtener más información, consulta Elige un CIDR.
Tus clientes de pymes no necesitan exponer puertos de entrada para que SMB funcione.
Reglas de firewall para el acceso a Active Directory
NetApp Volumes necesitan acceso a los siguientes puertos en los servidores DNS configurados en tu política de Active Directory para identificar los controladores de dominio de Active Directory. NetApp Volumes usan búsquedas de DNS para el descubrimiento de controladores de dominio de Active Directory.
ICMPV4DNS 53 TCPDNS 53 UDP
Abre los siguientes puertos en todos tus controladores de dominio de Active Directory para el tráfico que se origina en el rango de CIDR de NetApp Volumes:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
Adjunta la etiqueta de firewall a los servidores de Active Directory
Sigue estas instrucciones para adjuntar la etiqueta de firewall a tus servidores de Active Directory.
Adjunta la regla de firewall a tus servidores DNS de Active Directory:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Adjunta la regla de firewall a tus controladores de dominio de Active Directory:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Reemplaza la siguiente información:
NETAPP_VOLUMES_CIDR: CIDR de NetApp VolumesVPC_NAME: Es el nombre de la VPC.
Adjunta la siguiente etiqueta a tus servidores DNS:
allow-netappvolumes-to-dns
Adjunta la siguiente etiqueta a tus controladores de dominio:
allow-netappvolumes-to-activedirectory
Reglas de firewall para el acceso a volúmenes iSCSI
Para el acceso a iSCSI, NetApp Volumes usa puertos de red específicos para habilitar la comunicación entre los iniciadores (clientes) y los destinos (volúmenes de almacenamiento). Para que la conectividad sea adecuada y el acceso a los volúmenes de almacenamiento en bloque sea exitoso, debes configurar tus firewalls para que permitan los puertos necesarios.
Asegúrate de que tus iniciadores de iSCSI puedan comunicarse con el siguiente puerto de NetApp Volumes:
- 3260 TCP: Puerto de destino de iSCSI
Las direcciones IP de NetApp Volumes se asignan automáticamente desde el rango de CIDR que asignaste al servicio durante el intercambio de tráfico de red. Para obtener más información, consulta Elige un CIDR.
Controles de acceso al volumen para protocolos NFS
NetApp Volumes protege el acceso con protocolos NFS con una sola política de exportación que incluye hasta 20 reglas de exportación. Las reglas de exportación son listas separadas por comas de direcciones IPv4 y CIDR de IPv4 que especifican qué clientes tienen permiso para activar volúmenes. NetApp Volumes evalúa las reglas de exportación en orden secuencial y se detiene después de la primera coincidencia. Para obtener mejores resultados, te recomendamos que ordenes las reglas de exportación de la más específica a la más genérica. Para obtener más información sobre las reglas de exportación, consulta Control de acceso a volúmenes con políticas de exportación.
Controles de acceso al volumen para el protocolo SMB
SMB usa permisos a nivel de recurso compartido para proteger el acceso al volumen y requiere autenticación en Active Directory. Estos permisos te permiten controlar quién tiene acceso a los recursos compartidos a través de la red.
Los volúmenes se crean con permisos de nivel de uso compartido de Todos y Control total. Puedes modificar los permisos a nivel del recurso compartido con la consola de Windows o la CLI de Windows.
Sigue estas instrucciones para modificar los permisos a nivel del recurso compartido de SMB con la consola de Windows o la CLI de Windows:
Consola de Windows
Haz clic con el botón derecho en el ícono de Inicio de Windows y selecciona Administración del equipo.
Después de que se abra la consola Administración de equipos, haz clic en Acción > Conectar a otro equipo.
En el diálogo Select Computer, ingresa el nombre NetBIOS de tu recurso compartido de SMB y haz clic en OK.
Una vez que te conectes al recurso compartido de archivos, ve a Herramientas del sistema > Carpetas compartidas > Recursos compartidos para buscar tu recurso compartido.
Haz doble clic en Nombre del recurso compartido y selecciona la pestaña Permisos de uso compartido para controlar los permisos del recurso compartido.
CLI de Windows
Abre una línea de comandos de Windows.
Conéctate al recurso compartido de archivos.
fsmgmt.msc /computer=<netbios_name_of_share>
Una vez que te conectes al recurso compartido de archivos, ve a Herramientas del sistema > Carpetas compartidas > Recursos compartidos para buscar tu recurso compartido.
Haz doble clic en Nombre del recurso compartido y selecciona la pestaña Permisos de uso compartido para controlar los permisos del recurso compartido.
Controles de acceso a volúmenes para el protocolo iSCSI
El acceso a los volúmenes de iSCSI de NetApp se administra con grupos de hosts, que son objetos regionales que contienen uno o más IQN de iniciador de iSCSI. Por lo general, un iniciador iSCSI es un sistema o servidor cliente que se conecta a destinos de almacenamiento a través de una red con el protocolo iSCSI.
Cuando se crea un volumen de iSCSI, se adjunta a un grupo de hosts. Esta relación otorga acceso al volumen de iSCSI a los clientes de iSCSI (iniciadores) dentro de ese grupo de hosts, lo que les permite descubrir el LUN y consumir el recurso de almacenamiento. Solo los iniciadores que son miembros del grupo host pueden ver el volumen iSCSI asignado y conectarse a él.
A continuación, se indican las características clave de los grupos de hosts y el acceso a iSCSI:
Control de visibilidad: Los grupos de hosts restringen qué clientes de iSCSI pueden ver y acceder a volúmenes específicos. Si un iniciador no forma parte de un grupo de hosts, no puede detectar ni conectarse a la LUN.
Alcance regional: Los grupos de hosts son objetos regionales, con su configuración y membresía limitadas a una región específica dentro de tu entorno deGoogle Cloud .
Seguridad del cliente: Si bien los grupos de hosts controlan la visibilidad del volumen, el administrador del cliente iSCSI es responsable de implementar controles de acceso a nivel del usuario en el sistema cliente. Esto incluye administrar quién puede activar el volumen iSCSI y quién puede acceder al sistema de archivos creado en él.
Permisos del sistema de archivos basados en el host
Una vez que se asigna un LUN a un host, el sistema operativo del host es responsable de administrar los permisos del sistema de archivos y los controles de acceso. Por ejemplo, los hosts de Windows usan permisos y LCA de NTFS, mientras que los hosts de Linux y UNIX usan permisos de archivos estándar de UNIX y, de manera opcional, LCA para proteger archivos y directorios.
Este enfoque de seguridad de dos capas ayuda a garantizar que solo los hosts autorizados puedan acceder al almacenamiento a nivel de bloque, mientras que el sistema operativo del host administra la seguridad a nivel de archivo según las políticas de la organización.
Control de acceso a archivos
En las siguientes secciones, se proporcionan detalles sobre el control de acceso a nivel de archivos de NetApp Volumes.
Estilo de seguridad del volumen
NetApp Volumes ofrece dos estilos de seguridad para los volúmenes, UNIX y NTFS, para adaptarse a los diferentes conjuntos de permisos de las plataformas Linux y Windows.
UNIX: Los volúmenes configurados con el estilo de seguridad UNIX usan bits de modo UNIX y LCA de NFSv4 para controlar el acceso a los archivos.
NTFS: Los volúmenes configurados con el estilo de seguridad NTFS usan LCA de NTFS para controlar el acceso a los archivos.
El estilo de seguridad del volumen depende del protocolo elegido para el volumen:
| Tipo de protocolo | Estilo de seguridad del volumen |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| Ambos (NFSv3 y NFSv4.1) | UNIX |
| SMB | NTFS |
| Dual (SMB y NFSv3) | UNIX o NTFS |
| Dual (SMB y NFSv4.1) | UNIX o NTFS |
En el caso de los protocolos duales, solo puedes elegir el estilo de seguridad durante la creación del volumen.
Control de acceso a nivel de archivo de NFS para volúmenes de estilo UNIX
Después de que un cliente activa un volumen correctamente, NetApp Volumes verifica los permisos de acceso a archivos y directorios con el modelo de permisos estándar de UNIX llamado bits de modo. Puedes establecer y modificar permisos con chmod.
Los volúmenes NFSv4.1 también pueden usar listas de control de acceso (LCA) de NFSv4. Si un archivo o directorio tiene bits de modo y una LCA de NFSv4, se usa la LCA para la verificación de permisos. Lo mismo se aplica a los volúmenes que usan ambos tipos de protocolos, NFSv3 y NFSv4.1. Puedes configurar y modificar las ACL de NFSv4 con nfs4_getfacl y nfs4_setfacl.
Cuando creas un volumen nuevo de estilo UNIX, el root:root es propietario del inode raíz y tiene permisos de 0770. Debido a esta configuración de propiedad y permisos, un usuario no raíz recibe un error permission denied cuando accede al volumen después de que se lo haya activado. Para habilitar el acceso al volumen para usuarios que no son raíz, un usuario raíz debe cambiar la propiedad del inode raíz con chown y modificar los permisos del archivo con chmod.
Control de acceso a archivos SMB para volúmenes de estilo NTFS
Para los volúmenes de estilo NTFS, te recomendamos que uses un modelo de permisos NTFS.
Cada archivo y directorio tiene una ACL de NTFS que puedes modificar con el Explorador de archivos, la herramienta de línea de comandos icacls o PowerShell. En el modelo de permisos de NTFS, los archivos y las carpetas nuevos heredan los permisos de su carpeta superior.
Asignación de usuarios en varios protocolos
En el caso de los volúmenes de protocolo doble, los clientes pueden usar NFS y SMB para acceder a los mismos datos. Para configurar un volumen, se debe establecer su estilo de seguridad en permisos de UNIX o NTFS.
Cuando creas un volumen de SMB y NFS de protocolo dual, te recomendamos que Active Directory contenga un usuario predeterminado. El usuario predeterminado se usa cuando un cliente de NFS envía una llamada de NFS con un ID de usuario que no está disponible en Active Directory.
Luego, NetApp Volumes intenta buscar un usuario llamado pcuser, que actúa como usuario predeterminado de UNIX. Si no se encuentra a ese usuario, se deniega el acceso a la llamada de NFS.
Te recomendamos que crees un usuario predeterminado en Active Directory con los siguientes atributos:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
Según el protocolo que use el cliente (NFS o SMB) y el estilo de seguridad del volumen (UNIX o NTFS), NetApp Volumes puede verificar directamente los permisos de acceso del usuario o requiere que primero se asigne el usuario a la identidad de la otra plataforma.
| Protocolo de acceso | Estilo de seguridad | Identidad que usa el protocolo | Asignación obligatoria |
|---|---|---|---|
| NFSv3 | UNIX | ID de usuario y de grupo | N/A |
| NFSv3 | NTFS | ID de usuario y de grupo | ID de usuario, nombre de usuario y identificador de seguridad |
| SMB | UNIX | Identificador de seguridad | Identificador de seguridad a nombre de usuario a ID de usuario |
| SMB | NTFS | Identificador de seguridad | N/A |
Cuando se requiere la asignación, NetApp Volumes se basa en los datos almacenados en el LDAP de Active Directory. Para obtener más información, consulta Casos de uso de Active Directory.
Situación de asignación de usuarios de varios protocolos: acceso a SMB a un volumen de UNIX
Científico Charlie E. (charliee) quiere acceder a un volumen de NetApp Volumes con SMB desde un cliente de Windows. Dado que el volumen contiene resultados generados por máquina que proporciona un clúster de procesamiento de Linux, el volumen está configurado para almacenar permisos de UNIX.
El cliente de Windows envía una llamada SMB al volumen. La llamada a SMB contiene la identidad del usuario como un identificador de seguridad. El identificador de seguridad no se puede comparar con los permisos de archivo de ID de usuario y de ID de grupo, y requiere una asignación.
Para completar la asignación requerida, NetApp Volumes realiza los siguientes pasos:
NetApp Volumes le solicita a Active Directory que resuelva el identificador de seguridad en un nombre de usuario, por ejemplo,
S-1-5-21-2761044393-2226150802-3019316526-1224encharliee.NetApp Volumes le solicita a Active Directory que devuelva el ID de usuario y el ID de grupo para
charliee.NetApp Volumes verifica el acceso al archivo en función del ID de usuario y el ID de grupo del propietario con los ID de usuario y de grupo devueltos.
Situación de asignación de usuarios de varios protocolos: acceso a NFS a un volumen NTFS
El ingeniero Amal L. necesita acceder a algunos datos de un volumen desde un cliente de Linux con NFS. Dado que el volumen se usa principalmente para almacenar datos de Windows, se configura con el estilo de seguridad NTFS.
El cliente de Linux envía una llamada a NFS a NetApp Volumes. La llamada a NFS contiene identificadores de ID de usuario y de ID de grupo que no se pueden correlacionar con un identificador de seguridad sin una asignación.
Para completar la asignación requerida, NetApp Volumes le solicita a Active Directory el nombre de usuario del ID de usuario y que devuelva el identificador de seguridad del nombre de usuario. Luego, verifica el acceso con el identificador de seguridad del propietario del archivo al que se accedió usando el identificador de seguridad devuelto.
Encriptación en tránsito
La encriptación en tránsito protege los datos de la interceptación a través de una red. De forma predeterminada, el tráfico para la replicación de volúmenes, la copia de seguridad integrada y la migración de volúmenes se encripta con TLS 1.2. Para el tráfico de NFS y SMB, puedes configurar parámetros de configuración de encriptación específicos del protocolo para obtener mayor protección.
NFS
Para los volúmenes de NFS, usa NFSv4.1 con la encriptación krb5p de Kerberos habilitada para obtener la máxima seguridad.
SMB
En el caso de los volúmenes de SMB, habilita la encriptación AES en tu política de Active Directory y la encriptación de SMB en tu volumen para obtener la máxima seguridad.
Replicación de volumen
NetApp Volumes puede replicar volúmenes en Google Cloud regiones para proporcionar protección de datos. Dado que el tráfico reside en Google Cloud, la infraestructura de red de Google protege el proceso de transferencia, que tiene acceso limitado para evitar la interceptación no autorizada. Además, el tráfico de replicación se encripta con los estándares de TLS 1.2 que cumplen con FIPS 140-2.
Copia de seguridad integrada
Una copia de seguridad integrada crea copias de seguridad de NetApp Volumes dentro del servicio. El tráfico de copia de seguridad permanece dentro de la infraestructura de red de Google y se encripta con el estándar TLS 1.2 que cumple con FIPS 140-2. Además, las backup vaults almacenan estas copias de seguridad con Google-owned and Google-managed encryption key para mayor seguridad.
Migración de volumen
La migración de volúmenes envía datos del sistema ONTAP o Cloud Volumes ONTAP de origen a NetApp Volumes. La comunicación entre el sistema fuente y NetApp Volumes se encripta con los estándares de TLS 1.2 que cumplen con FIPS 140-2.
NetApp Volumes inicia la migración y usa los siguientes protocolos y puertos:
ICMP
10000/TCP
11104/TCP
11105/TCP
Asegúrate de que cualquier firewall entre la interfaz lógica (LIF) interclúster de tu sistema ONTAP y la dirección IP de migración de NetApp Volumes permita estos puertos.
¿Qué sigue?
Protege volúmenes de NetApp con un perímetro de servicio.