Halaman ini memberikan ringkasan pertimbangan keamanan untuk Google Cloud NetApp Volumes. Pertimbangan ini mencakup perlindungan jaringan, kontrol akses, dan enkripsi data.
Pertimbangan keamanan untuk jaringan
Google Cloud NetApp Volumes menyediakan framework arsitektur yang dilindungi dengan lapisan keamanan terisolasi berikut:
Keamanan tingkat project: lapisan keamanan administratif yang digunakan administrator untuk mengelola resource NetApp Volumes seperti kumpulan penyimpanan atau volume menggunakan Google Cloud konsol, Google Cloud SDK, atau API. Peran dan izin IAM melindungi lapisan ini. Untuk mengetahui informasi selengkapnya tentang keamanan tingkat project, lihat Menyiapkan izin IAM.
Keamanan tingkat jaringan: lapisan jaringan yang digunakan untuk mengakses volume data dengan protokol penyimpanan yang terhubung ke jaringan (NAS) (Server Message Block (SMB) dan Network File System (NFS)).
Anda dapat mengakses data dalam volume menggunakan protokol NAS melalui jaringan Virtual Private Cloud (VPC). Semua akses data ke NetApp Volumes hanya dapat dilakukan melalui VPC Anda, kecuali jika Anda secara eksplisit menggunakan solusi pihak ketiga untuk mengganti pemilihan rute peering VPC ke VPC Anda.
Dalam VPC, Anda dapat membatasi akses lebih lanjut dengan firewall dan melalui penyiapan mekanisme kontrol akses khusus protokol.
Aturan firewall untuk akses volume
Aturan firewall melindungi Google Cloud VPC. Untuk mengaktifkan akses dari klien ke NetApp Volumes, Anda harus mengizinkan traffic jaringan tertentu.
Untuk mengetahui informasi selengkapnya tentang aturan firewall untuk akses volume NFS, SMB, dan iSCSI, lihat bagian berikut:
Aturan firewall untuk akses Active Directory
NetApp Volumes memerlukan akses ke port berikut di server DNS yang dikonfigurasi dalam kebijakan Active Directory Anda untuk mengidentifikasi pengontrol domain Active Directory. NetApp Volumes menggunakan pencarian DNS untuk penemuan pengontrol domain Active Directory.
ICMPV4DNS 53 TCPDNS 53 UDP
Buka port berikut di semua pengontrol domain Active Directory Anda untuk traffic yang berasal dari rentang CIDR untuk NetApp Volumes:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
Untuk menentukan rentang sumber untuk firewall, gunakan rentang CIDR lengkap yang Anda berikan saat mengonfigurasi akses layanan pribadi. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi akses layanan pribadi.
Melampirkan tag firewall ke server Active Directory
Gunakan petunjuk berikut untuk melampirkan tag firewall ke server Active Directory Anda.
Lampirkan aturan firewall ke server DNS Active Directory Anda:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Lampirkan aturan firewall ke pengontrol domain Active Directory Anda:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Ganti informasi berikut:
NETAPP_VOLUMES_CIDR: CIDR NetApp VolumesVPC_NAME: Nama VPC
Lampirkan tag berikut ke server DNS Anda:
allow-netappvolumes-to-dns
Lampirkan tag berikut ke pengontrol domain Anda:
allow-netappvolumes-to-activedirectory
Kontrol akses volume untuk protokol NFS
NetApp Volumes melindungi akses dengan protokol NFS menggunakan satu kebijakan ekspor dengan maksimal 20 aturan ekspor. Aturan ekspor adalah daftar alamat IPv4 dan CIDR IPv4 yang dipisahkan koma yang menentukan klien mana yang memiliki izin untuk memasang volume. NetApp Volumes mengevaluasi aturan ekspor dalam urutan berurutan dan berhenti setelah kecocokan pertama. Sebaiknya urutkan aturan ekspor dari yang paling spesifik hingga yang paling umum untuk mendapatkan hasil terbaik. Untuk mengetahui informasi selengkapnya tentang aturan ekspor, lihat Kontrol akses volume menggunakan kebijakan ekspor.
Kontrol akses volume untuk protokol SMB
SMB menggunakan izin tingkat berbagi untuk melindungi akses volume dan memerlukan autentikasi terhadap Active Directory. Izin ini memungkinkan Anda mengontrol siapa yang memiliki akses ke berbagi melalui jaringan.
Volume dibuat dengan izin tingkat berbagi Semua Orang dan Kontrol Penuh. Anda dapat mengubah izin tingkat berbagi menggunakan konsol Windows atau Windows CLI.
Gunakan petunjuk berikut untuk mengubah izin tingkat berbagi SMB menggunakan konsol Windows atau Windows CLI:
Konsol Windows
Klik kanan ikon Windows start , lalu pilih Computer Management.
Setelah konsol Computer Management terbuka, klik Action > Connect to another computer.
Di dialog Select Computer , masukkan nama netbios berbagi SMB Anda, lalu klik OK.
Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.
Klik dua kali Share Name , lalu pilih tab Share Permissions untuk mengontrol izin berbagi.
Windows CLI
Buka command line Windows.
Hubungkan ke berbagi file.
fsmgmt.msc /computer=<netbios_name_of_share>
Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.
Klik dua kali Share Name , lalu pilih tab Share Permissions untuk mengontrol izin berbagi.
Kontrol akses volume untuk protokol iSCSI
Akses ke iSCSI NetApp Volumes dikelola menggunakan Grup host, yang merupakan objek regional yang berisi satu atau beberapa IQN inisiator iSCSI. Inisiator iSCSI biasanya merupakan sistem atau server klien yang terhubung ke target penyimpanan melalui jaringan menggunakan protokol iSCSI.
Saat volume iSCSI dibuat, volume tersebut dilampirkan ke grup host. Hubungan ini memberikan akses volume iSCSI ke klien iSCSI (inisiator) dalam grup host tersebut, yang memungkinkan mereka menemukan LUN dan menggunakan resource penyimpanan. Hanya inisiator yang merupakan anggota grup host yang dapat melihat dan terhubung ke volume iSCSI yang ditetapkan.
Berikut adalah karakteristik utama grup host dan akses iSCSI:
Kontrol visibilitas: grup host membatasi klien iSCSI mana yang dapat melihat dan mengakses volume tertentu. Jika inisiator bukan bagian dari grup host, inisiator tersebut tidak dapat menemukan atau terhubung ke LUN.
Cakupan regional: grup host adalah objek regional, dengan konfigurasi dan keanggotaannya terbatas pada region tertentu dalam Google Cloud lingkungan Anda.
Keamanan sisi klien: meskipun grup host mengontrol visibilitas volume, administrator klien iSCSI bertanggung jawab untuk menerapkan kontrol akses tingkat pengguna pada sistem klien. Hal ini mencakup pengelolaan siapa yang dapat memasang volume iSCSI dan siapa yang dapat mengakses sistem file yang dibuat di dalamnya.
Izin sistem file berbasis host
Setelah LUN dipetakan ke host, sistem operasi host bertanggung jawab untuk mengelola izin sistem file dan kontrol akses. Misalnya, host Windows menggunakan izin dan ACL NTFS, sedangkan host Linux dan UNIX menggunakan izin file UNIX standar, dan secara opsional, ACL untuk melindungi file dan direktori.
Pendekatan keamanan dua lapis ini membantu memastikan bahwa hanya host yang diberi otorisasi yang dapat mengakses penyimpanan di tingkat blok, sementara sistem operasi host mengelola keamanan tingkat file sesuai dengan kebijakan organisasi.
Kontrol akses file
Bagian berikut memberikan detail tentang kontrol akses tingkat file NetApp Volumes.
Gaya keamanan volume
NetApp Volumes menawarkan dua gaya keamanan untuk volume, UNIX dan NTFS, untuk mengakomodasi kumpulan izin yang berbeda dari platform Linux dan Windows.
UNIX: volume yang dikonfigurasi dengan gaya keamanan UNIX menggunakan bit mode UNIX dan ACL NFSv4 untuk mengontrol akses file.
NTFS: volume yang dikonfigurasi dengan gaya keamanan NTFS menggunakan ACL NTFS untuk mengontrol akses file.
Gaya keamanan volume bergantung pada pilihan protokol untuk volume:
| Jenis protokol | Gaya keamanan volume |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| Keduanya (NFSv3 dan NFSv4.1) | UNIX |
| SMB | NTFS |
| Ganda (SMB dan NFSv3) | UNIX atau NTFS |
| Ganda (SMB dan NFSv4.1) | UNIX atau NTFS |
Untuk protokol ganda, Anda hanya dapat memilih gaya keamanan selama pembuatan volume.
Kontrol akses tingkat file NFS untuk volume gaya UNIX
Setelah klien berhasil memasang volume, NetApp Volumes akan memeriksa izin akses ke file dan direktori menggunakan model izin UNIX standar yang disebut bit mode. Anda dapat menetapkan dan mengubah izin menggunakan chmod.
Volume NFSv4.1 juga dapat menggunakan daftar kontrol akses (ACL) NFSv4. Jika file atau direktori memiliki bit mode dan ACL NFSv4, ACL akan digunakan untuk pemeriksaan izin. Hal yang sama berlaku untuk volume yang menggunakan jenis protokol NFSv3 dan NFSv4.1. Anda dapat menetapkan dan mengubah ACL NFSv4 menggunakan nfs4_getfacl dan nfs4_setfacl.
Saat Anda membuat volume gaya UNIX baru, root:root memiliki kepemilikan inode root dan izin 0770. Karena setelan kepemilikan dan izin ini, pengguna non-root akan mendapatkan error permission denied saat mengakses volume setelah pemasangan. Untuk mengaktifkan akses ke volume bagi pengguna non-root, pengguna root harus mengubah kepemilikan inode root menggunakan chown dan mengubah izin file menggunakan chmod.
Kontrol akses file SMB untuk volume gaya NTFS
Untuk volume gaya NTFS, sebaiknya gunakan model izin NTFS.
Setiap file dan direktori memiliki ACL NTFS yang dapat Anda ubah menggunakan File Explorer, alat command line icacls, atau PowerShell. Dalam model izin NTFS, file dan folder baru mewarisi izin dari folder induknya.
Pemetaan pengguna multi-protokol
Untuk volume protokol ganda, klien dapat menggunakan NFS dan SMB untuk mengakses data yang sama. Volume dikonfigurasi dengan menetapkan gaya keamanan volume agar memiliki izin UNIX atau NTFS.
Saat Anda membuat volume SMB dan NFS protokol ganda, sebaiknya Active Directory berisi pengguna default. Pengguna default digunakan saat klien NFS mengirimkan panggilan NFS dengan ID pengguna yang tidak tersedia di Active Directory.
NetApp Volumes kemudian mencoba mencari pengguna bernama pcuser, yang bertindak sebagai pengguna UNIX default. Jika pengguna tersebut tidak ditemukan, akses akan ditolak ke panggilan NFS.
Sebaiknya buat pengguna default di Active Directory dengan atribut berikut:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
Bergantung pada protokol yang digunakan oleh klien (NFS atau SMB) dan gaya keamanan volume (UNIX atau NTFS), NetApp Volumes dapat langsung memeriksa izin akses pengguna atau memerlukan pemetaan pengguna ke identitas platform lain terlebih dahulu.
| Protokol akses | Gaya keamanan | Identitas yang digunakan oleh protokol | Pemetaan yang diperlukan |
|---|---|---|---|
| NFSv3 | UNIX | ID pengguna dan ID grup | T/A |
| NFSv3 | NTFS | ID pengguna dan ID grup | ID pengguna ke nama pengguna ke ID keamanan |
| SMB | UNIX | ID keamanan | ID keamanan ke nama pengguna ke ID pengguna |
| SMB | NTFS | ID Keamanan | T/A |
Jika pemetaan diperlukan, NetApp Volumes akan mengandalkan data yang disimpan di Active Directory LDAP. Untuk mengetahui informasi selengkapnya, lihat Kasus penggunaan Active Directory.
Skenario pemetaan pengguna multi-protokol: Akses SMB ke volume UNIX
Ilmuwan Charlie E. (charliee) ingin mengakses volume NetApp Volumes menggunakan SMB dari klien Windows. Karena volume berisi hasil yang dihasilkan mesin yang disediakan oleh cluster komputasi Linux, volume dikonfigurasi untuk menyimpan izin UNIX.
Klien Windows mengirimkan panggilan SMB ke volume. Panggilan SMB berisi identitas pengguna sebagai ID keamanan. ID keamanan tidak dapat dibandingkan dengan izin file ID pengguna dan ID grup serta memerlukan pemetaan.
Untuk menyelesaikan pemetaan yang diperlukan, NetApp Volumes mengambil langkah-langkah berikut:
NetApp Volumes meminta Active Directory untuk me-resolve ID keamanan ke nama pengguna, misalnya,
S-1-5-21-2761044393-2226150802-3019316526-1224kecharliee.NetApp Volumes meminta Active Directory untuk menampilkan ID pengguna dan ID grup untuk
charliee.NetApp Volumes memeriksa akses terhadap ID pengguna kepemilikan dan ID grup file menggunakan ID pengguna dan ID grup yang ditampilkan.
Skenario pemetaan pengguna multi-protokol: Akses NFS ke volume NTFS
Engineer Amal L. perlu mengakses beberapa data di volume dari klien Linux menggunakan NFS. Karena volume terutama digunakan untuk menyimpan data Windows, volume tersebut dikonfigurasi dengan gaya keamanan NTFS.
Klien Linux mengirimkan panggilan NFS ke NetApp Volumes. Panggilan NFS berisi ID pengguna dan ID grup yang tidak dapat dicocokkan dengan ID keamanan tanpa pemetaan.
Untuk menyelesaikan pemetaan yang diperlukan, NetApp Volumes meminta Active Directory untuk nama pengguna ID pengguna dan untuk menampilkan ID keamanan untuk nama pengguna, lalu memeriksa akses terhadap ID keamanan pemilik file yang diakses menggunakan ID keamanan yang ditampilkan.
Enkripsi saat Transit
Enkripsi saat transit melindungi data dari penyadapan melalui jaringan. Traffic untuk replikasi volume, pencadangan terintegrasi, dan migrasi volume dienkripsi secara default menggunakan TLS 1.2. Untuk traffic NFS dan SMB, Anda dapat mengonfigurasi setelan enkripsi khusus protokol untuk perlindungan tambahan.
NFS
Untuk volume NFS, gunakan NFSv4.1 dengan enkripsi Kerberos krb5p yang diaktifkan untuk keamanan maksimum.
SMB
Untuk volume SMB, aktifkan enkripsi AES dalam kebijakan Active Directory dan enkripsi SMB di volume Anda untuk keamanan maksimum.
Replikasi volume
NetApp Volumes dapat mereplikasi volume di seluruh Google Cloud region untuk memberikan perlindungan data. Karena traffic berada di Google Cloud, infrastruktur jaringan Google melindungi proses transfer, yang memiliki akses terbatas untuk mencegah penyadapan yang tidak sah. Selain itu, traffic replikasi dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2.
Pencadangan terintegrasi
Pencadangan terintegrasi membuat cadangan NetApp Volumes dalam layanan. Traffic pencadangan tetap berada dalam infrastruktur jaringan Google dan dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2. Vault cadangan dapat menyimpan cadangan ini menggunakan Google-managed encryption key secara default atau kunci enkripsi yang dikelola pelanggan (CMEK) untuk keamanan tambahan.
Migrasi volume
Migrasi volume mengirimkan data dari sistem ONTAP atau Cloud Volumes ONTAP sumber ke NetApp Volumes. Komunikasi antara sistem sumber dan NetApp Volumes dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2.
NetApp Volumes memulai migrasi dan menggunakan protokol serta port berikut:
ICMP
10000/TCP
11104/TCP
11105/TCP
Pastikan firewall antara antarmuka logis antarkluster (LIF) sistem ONTAP Anda dan alamat IP migrasi NetApp Volumes mengizinkan port ini.
Langkah berikutnya
Amankan NetApp Volumes dengan perimeter layanan.