本頁面提供 Google Cloud NetApp Volumes 安全性考量的總覽。
網路安全注意事項
Google Cloud NetApp Volumes 提供受保護的架構架構,具有下列獨立安全層:
專案層級安全性:管理員用來管理 NetApp Volumes 資源 (例如儲存集區或磁碟區) 的管理安全性層,可透過 Google Cloud 控制台、Google Cloud SDK 或 API 使用。IAM 角色和權限會保護這個層級。如要進一步瞭解專案層級安全性,請參閱「設定 IAM 權限」。
網路層級安全防護:用於透過網路連接儲存空間 (NAS) 通訊協定 (伺服器訊息區塊 (SMB) 和網路檔案系統 (NFS)) 存取資料磁碟區的網路層。
您可以使用 NAS 通訊協定,透過虛擬私有雲網路存取磁碟區內的資料。除非您明確使用第三方解決方案取代虛擬私有雲對等互連路由,否則只能透過虛擬私有雲存取 NetApp Volumes 的所有資料。
在虛擬私有雲中,您可以透過防火牆和通訊協定專屬的存取控管機制,進一步限制存取權。
磁碟區存取權的防火牆規則
防火牆規則可保護 Google Cloud 虛擬私有雲。如要允許用戶端存取 NetApp Volumes,請允許特定網路流量。
NFS 磁碟區存取的防火牆規則
NFS 會使用各種通訊埠在用戶端和伺服器之間通訊。為確保通訊正常且磁碟區掛接成功,您必須在防火牆上啟用通訊埠。
NetApp Volumes 會做為 NFS 伺服器,並公開 NFS 網路所需的連接埠。請確認 NFS 用戶端有權與下列 NetApp Volumes 連接埠通訊:
111 TCP/UDP portmapper635 TCP/UDP mountd2049 TCP/UDP nfsd4045 TCP/UDP nlockmgr(僅適用於 NFSv3)4046 TCP/UDP status(僅適用於 NFSv3)3260 TCP iSCSI
系統會從您在網路對等互連期間指派給服務的 CIDR 範圍,自動指派 NetApp Volumes 的 IP 位址。詳情請參閱「選擇 CIDR」。
搭配 NFSv3 使用諮詢鎖
如果您搭配 NFSv3 使用諮詢鎖定,則需要在用戶端執行 rpc.statd 精靈,以支援網路鎖定管理員。這個設施會與 NFS 合作,透過網路提供 System V 樣式的諮詢檔案和記錄鎖定。NFS 用戶端必須開啟連入通訊埠,rpc.statd 才能接收 Network Lock Manager 回呼。在大多數 Linux 發行版中,掛接第一個 NFS 共用時,rpc.statd 就會啟動。這項工具會使用隨機通訊埠,您可以使用 rpcinfo -p 指令識別該通訊埠。如要讓 rpc.statd 更容易通過防火牆,請設定使用靜態連接埠。
如要為 rpc.statd 設定靜態通訊埠,請參閱下列資源:
如果您未使用 NFSv3 諮詢鎖定或 Network Lock Manager,建議您使用 nolock 掛接選項掛接 NFSv3 共用資料夾。
NFSv4.1 會在 NFSv4.1 通訊協定本身中實作鎖定功能,該通訊協定會在通訊埠 2049 上,透過用戶端啟動的 TCP 連線執行至 NFSv4.1 伺服器。客戶不需要為輸入流量開啟防火牆通訊埠。
SMB 磁碟區存取權的防火牆規則
SMB 會使用各種通訊埠在用戶端與伺服器之間通訊。為確保通訊正常運作,您必須在防火牆上啟用通訊埠。
NetApp Volumes 會做為 SMB 伺服器,並公開 SMB 要求的網路連接埠。確認 SMB 用戶端可與下列 NetApp Volumes 通訊埠通訊:
445 TCP SMB2/3135 TCP msrpc和40001 TCP SMB CA:僅用於 SMB 3.x 持續可用的共用資料夾。如果共用項目並非持續可用,則不需要這些連接埠。
服務會公開通訊埠 139/TCP,但不會使用。
系統會從您在網路對等互連期間指派給服務的 CIDR 範圍,自動指派 NetApp Volumes 的 IP 位址。詳情請參閱「選擇 CIDR」。
中小企業客戶不需要公開 SMB 的連入埠,SMB 就能正常運作。
Active Directory 存取權的防火牆規則
NetApp Volumes 需要存取Active Directory 政策中設定的 DNS 伺服器上的下列連接埠,才能識別 Active Directory 網域控制器。 NetApp Volumes 會使用 DNS 查詢來探索 Active Directory 網域控制器。
ICMPV4DNS 53 TCPDNS 53 UDP
在所有 Active Directory 網域控制站上開啟下列連接埠,以允許來自 NetApp Volumes CIDR 範圍的流量:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
將防火牆標記附加至 Active Directory 伺服器
請按照下列操作說明,將防火牆標記附加至 Active Directory 伺服器。
將防火牆規則附加至 Active Directory DNS 伺服器:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
將防火牆規則附加至 Active Directory 網域控制站:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
替換下列資訊:
NETAPP_VOLUMES_CIDR:NetApp Volumes CIDRVPC_NAME:虛擬私有雲的名稱
將下列標記附加至 DNS 伺服器:
allow-netappvolumes-to-dns
將下列標記附加至網域控制站:
allow-netappvolumes-to-activedirectory
iSCSI 磁碟區存取的防火牆規則
如要存取 iSCSI,NetApp Volumes 會使用特定網路連接埠,在啟動器 (用戶端) 和目標 (儲存空間磁碟區) 之間建立通訊。如要確保連線正常,並順利存取區塊儲存空間磁碟區,您必須設定防火牆,允許必要的通訊埠。
請確認 iSCSI 啟動器可與下列 NetApp Volumes 連接埠通訊:
- 3260 TCP - iSCSI 目標通訊埠
系統會從您在網路對等互連期間指派給服務的 CIDR 範圍,自動指派 NetApp Volumes 的 IP 位址。詳情請參閱「選擇 CIDR」。
NFS 通訊協定的磁碟區存取權控管
NetApp Volumes 會透過單一匯出政策 (最多 20 條匯出規則) 控管 NFS 通訊協定的存取權。匯出規則是以半形逗號分隔的 IPv4 位址和 IPv4 CIDR 清單,用於指定哪些用戶端有權掛接磁碟區。NetApp Volumes 會依序評估匯出規則,並在找到第一個相符項目後停止。為求最佳成效,建議您依從最具體到最通用的順序排序匯出規則。如要進一步瞭解匯出規則,請參閱「使用匯出政策控管磁碟區存取權」。
SMB 通訊協定的磁碟區存取權控管
SMB 會使用共用層級的權限來保護磁碟區存取權,並要求透過 Active Directory 進行驗證。您可以運用這些權限,控管哪些人員能透過網路存取共用資料夾。
磁碟區是使用「所有人」和「完全控制」共用層級權限建立。您可以使用 Windows 控制台或 Windows CLI 修改共用層級權限。
請按照下列操作說明,使用 Windows 控制台或 Windows CLI 修改 SMB 共用層級權限:
Windows 控制台
在「Windows 開始」圖示上按一下滑鼠右鍵,然後選取「電腦管理」。
「電腦管理」主控台開啟後,依序點選「動作」 >「連線到另一部電腦」。
在「Select Computer」對話方塊中,輸入 SMB 共用的 NetBIOS 名稱,然後按一下「OK」。
連線至檔案共用後,依序前往「系統工具」 >「共用資料夾」 >「共用」,即可查詢共用項目。
按兩下「共用名稱」,然後選取「共用權限」分頁標籤,即可控管共用權限。
Windows CLI
開啟 Windows 指令列。
連線至檔案共用。
fsmgmt.msc /computer=<netbios_name_of_share>
連線至檔案共用後,依序前往「系統工具」 >「共用資料夾」 >「共用」,即可查詢共用項目。
按兩下「共用名稱」,然後選取「共用權限」分頁標籤,即可控管共用權限。
iSCSI 通訊協定的磁碟區存取權控管
iSCSI NetApp Volumes 的存取權是透過主機群組管理,主機群組是包含一或多個 iSCSI 啟動器 IQN 的區域物件。iSCSI 啟動器通常是透過網路使用 iSCSI 通訊協定連線至儲存空間目標的用戶端系統或伺服器。
建立 iSCSI 磁碟區時,系統會將其附加至主機群組。這項關係會授予該主機群組中的 iSCSI 用戶端 (啟動器) iSCSI 磁碟區的存取權,讓用戶端探索 LUN 並使用儲存空間資源。只有主機群組的成員啟動器可以查看並連線至指派的 iSCSI 磁碟區。
以下是主機群組和 iSCSI 存取權的主要特徵:
顯示控制:主機群組會限制哪些 iSCSI 用戶端可以查看及存取特定磁碟區。如果啟動者不屬於主機群組,就無法探索或連線至 LUN。
區域範圍:主機群組是區域物件,其設定和成員資格僅限於Google Cloud 環境中的特定區域。
用戶端安全性:主機群組控管磁碟區可見度,但 iSCSI 用戶端管理員負責在用戶端系統上實作使用者層級的存取權控管。包括管理哪些使用者可以掛接 iSCSI 磁碟區,以及哪些使用者可以存取在該磁碟區上建立的檔案系統。
以主機為基礎的檔案系統權限
LUN 對應至主機後,主機的作業系統會負責管理檔案系統權限和存取權控管。舉例來說,Windows 主機使用 NTFS 權限和 ACL,而 Linux 和 UNIX 主機則使用標準 UNIX 檔案權限,並視需要使用 ACL 來保護檔案和目錄。
這種雙層安全防護方法可確保只有授權主機才能存取區塊層級的儲存空間,而主機作業系統則會根據機構政策管理檔案層級的安全性。
檔案存取權控管
下列各節詳細說明 NetApp Volumes 檔案層級存取權控管。
磁碟區安全防護方式
NetApp Volumes 提供 UNIX 和 NTFS 兩種磁碟區安全防護方式,可因應 Linux 和 Windows 平台的不同權限集。
UNIX:以 UNIX 安全性樣式設定的磁碟區會使用 UNIX 模式位元和 NFSv4 ACL 控制檔案存取權。
NTFS:使用 NTFS 安全性樣式設定的磁碟區會使用 NTFS ACL 控制檔案存取權。
磁碟區的安全樣式取決於磁碟區的通訊協定選擇:
| 通訊協定類型 | 磁碟區安全防護方式 |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| 兩種通訊協定 (NFSv3 和 NFSv4.1) | UNIX |
| SMB | NTFS |
| 雙通訊協定 (SMB 和 NFSv3) | UNIX 或 NTFS |
| 雙通訊協定 (SMB 和 NFSv4.1) | UNIX 或 NTFS |
如果是雙重通訊協定,您只能在建立磁碟區時選擇安全性樣式。
UNIX 樣式磁碟區的 NFS 檔案層級存取權控管
用戶端成功掛接磁碟區後,NetApp Volumes 會使用標準 UNIX 權限模型 (稱為模式位元),檢查檔案和目錄的存取權限。您可以使用 chmod 設定及修改權限。
NFSv4.1 磁碟區也可以使用 NFSv4 存取控制清單 (ACL)。如果檔案或目錄同時具有模式位元和 NFSv4 ACL,系統會使用 ACL 檢查權限。使用 NFSv3 和 NFSv4.1 通訊協定類型的磁碟區也適用相同規則。您可以使用 nfs4_getfacl 和 nfs4_setfacl 設定及修改 NFSv4 ACL。
建立新的 UNIX 樣式磁碟區時,root:root 會擁有根 inode 和 0770 權限。由於這項擁有權和權限設定,非根使用者在掛接磁碟區後存取磁碟區時會收到 permission denied 錯誤。如要讓非超級使用者存取磁碟區,超級使用者必須使用 chown 變更根 inode 的擁有權,並使用 chmod 修改檔案權限。
NTFS 樣式磁碟區的 SMB 檔案存取權控管
如果是 NTFS 樣式的磁碟區,建議使用 NTFS 權限模式。
每個檔案和目錄都有 NTFS ACL,您可以使用檔案總管、icacls 指令列工具或 PowerShell 修改。在 NTFS 權限模型中,新檔案和資料夾會沿用上層資料夾的權限。
多通訊協定使用者對應
對於雙通訊協定磁碟區,用戶端可以使用 NFS 和 SMB 存取相同資料。設定磁碟區時,請將磁碟區的安全防護方式設為 UNIX 或 NTFS 權限。
建立雙通訊協定 SMB 和 NFS 磁碟區時,強烈建議 Active Directory 包含預設使用者。如果 NFS 用戶端傳送的 NFS 呼叫含有 Active Directory 中沒有的使用者 ID,系統就會使用預設使用者。NetApp Volumes 接著會嘗試尋找名為 pcuser 的使用者,這個使用者會做為預設的 UNIX 使用者。如果找不到該使用者,系統會拒絕 NFS 呼叫的存取權。
建議您在 Active Directory 中建立預設使用者,並使用下列屬性:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
視用戶端使用的通訊協定 (NFS 或 SMB) 和磁碟區的安全樣式 (UNIX 或 NTFS) 而定,NetApp Volumes 可以直接檢查使用者的存取權,或需要先將使用者對應至其他平台的 ID。
| 存取通訊協定 | 安全防護方式 | 通訊協定使用的身分 | 必要對應 |
|---|---|---|---|
| NFSv3 | UNIX | 使用者 ID 和群組 ID | 不適用 |
| NFSv3 | NTFS | 使用者 ID 和群組 ID | 使用者 ID、使用者名稱和安全性 ID |
| SMB | UNIX | 安全 ID | 從安全 ID 轉換為使用者名稱和使用者 ID |
| SMB | NTFS | 安全性 ID | 不適用 |
如果需要對應,NetApp Volumes 會依據儲存在 Active Directory LDAP 中的資料。詳情請參閱「Active Directory 使用案例」。
多重通訊協定使用者對應情境:透過 SMB 存取 UNIX 磁碟區
科學家 Charlie E. (charliee) 想透過 Windows 用戶端,使用 SMB 存取 NetApp Volumes 磁碟區。由於磁碟區包含 Linux 計算叢集提供的機器生成結果,因此磁碟區已設定為儲存 UNIX 權限。
Windows 用戶端會將 SMB 呼叫傳送至磁碟區。SMB 呼叫包含使用者身分,以安全性識別碼的形式呈現。安全性 ID 無法與使用者 ID 和群組 ID 檔案權限進行比較,因此需要對應。
如要完成必要對應,NetApp Volumes 會採取下列步驟:
NetApp Volumes 會要求 Active Directory 將安全性 ID 解析為使用者名稱,例如
S-1-5-21-2761044393-2226150802-3019316526-1224解析為charliee。NetApp Volumes 會要求 Active Directory 傳回
charliee的使用者 ID 和群組 ID。NetApp Volumes 會使用傳回的使用者 ID 和群組 ID,根據檔案的擁有者使用者 ID 和群組 ID 檢查存取權。
多重通訊協定使用者對應情境:NFS 存取 NTFS 磁碟區
工程師 Amal L. 需要使用 NFS,從 Linux 用戶端存取某個磁碟區的部分資料。由於這個磁碟區主要用於儲存 Windows 資料,因此設定為 NTFS 安全性樣式。
Linux 用戶端會將 NFS 呼叫傳送至 NetApp Volumes。NFS 呼叫包含使用者 ID 和群組 ID 識別碼,但未經過對應,因此無法與安全識別碼比對。
如要完成必要的對應,NetApp Volumes 會向 Active Directory 詢問使用者 ID 的使用者名稱,並傳回該使用者名稱的安全 ID,然後使用傳回的安全 ID,根據所存取檔案的擁有者安全 ID 檢查存取權。
傳輸加密
傳輸加密機制可防止網路攔截資料。磁碟區複製、整合式備份和磁碟區遷移的流量預設會使用 TLS 1.2 加密。對於 NFS 和 SMB 流量,您可以設定通訊協定專屬的加密設定,進一步加強保護。
NFS
如果是 NFS 磁碟區,請使用 NFSv4.1 並啟用 Kerberos krb5p 加密,以確保最高安全性。
SMB
如果是 SMB 磁碟區,請在 Active Directory 政策中啟用 AES 加密,並在磁碟區上啟用 SMB 加密,以確保最高安全性。
磁碟區複製作業
NetApp Volumes 可跨 Google Cloud 區域複製磁碟區,提供資料保護功能。由於流量位於 Google Cloud,Google 的網路基礎架構會保護傳輸程序,並限制存取權,防止未經授權的攔截行為。此外,複寫流量會使用符合 FIPS 140-2 規定的 TLS 1.2 標準加密。
整合式備份
整合式備份功能會在服務中建立 NetApp Volumes 的備份。備份流量會留在 Google 的網路基礎架構中,並使用符合 FIPS 140-2 規範的 TLS 1.2 標準加密。此外,backup vault 會使用 Google-owned and Google-managed encryption key 儲存這些備份,以提升安全性。
磁碟區遷移
磁碟區遷移程序會將資料從來源 ONTAP 或 Cloud Volumes ONTAP 系統傳送至 NetApp Volumes。來源系統與 NetApp Volumes 之間的通訊會使用符合 FIPS 140-2 標準的 TLS 1.2 標準加密。
NetApp Volumes 會啟動遷移作業,並使用下列通訊協定和通訊埠:
ICMP
10000/TCP
11104/TCP
11105/TCP
請確認 ONTAP 系統的叢集間邏輯介面 (LIF) 與 NetApp Volumes 遷移 IP 位址之間的任何防火牆,都允許使用這些通訊埠。