Halaman ini memberikan ringkasan pertimbangan keamanan untuk Google Cloud NetApp Volumes. Pertimbangan ini mencakup perlindungan jaringan, kontrol akses, dan enkripsi data.
Pertimbangan keamanan untuk jaringan
Google Cloud NetApp Volumes menyediakan framework arsitektur yang dilindungi dengan lapisan keamanan terisolasi berikut:
Keamanan tingkat project: lapisan keamanan administratif yang digunakan administrator untuk mengelola resource NetApp Volumes seperti kumpulan penyimpanan atau volume menggunakan konsol Google Cloud , Google Cloud SDK, atau API. Peran dan izin IAM melindungi lapisan ini. Untuk mengetahui informasi selengkapnya tentang keamanan tingkat project, lihat Menyiapkan izin IAM.
Keamanan tingkat jaringan: lapisan jaringan yang digunakan untuk mengakses volume data dengan protokol Network-Attached Storage (NAS) (Server Message Block (SMB) dan Network File System (NFS)).
Anda dapat mengakses data dalam volume menggunakan protokol NAS melalui jaringan Virtual Private Cloud. Semua akses data ke NetApp Volumes hanya dapat dilakukan melalui VPC Anda, kecuali jika Anda secara eksplisit menggunakan solusi pihak ketiga untuk menggantikan perutean peering VPC ke VPC Anda.
Di dalam VPC, Anda dapat membatasi akses lebih lanjut dengan firewall dan melalui penyiapan mekanisme kontrol akses khusus protokol.
Aturan firewall untuk akses volume
Aturan firewall melindungi Google Cloud VPC. Untuk mengaktifkan akses dari klien ke NetApp Volumes, Anda perlu mengizinkan traffic jaringan tertentu.
Aturan firewall untuk akses volume NFS
NFS menggunakan berbagai port untuk berkomunikasi antara klien dan server. Untuk memastikan komunikasi yang tepat dan pemasangan volume yang berhasil, Anda harus mengaktifkan port di firewall.
NetApp Volumes bertindak sebagai server NFS dan mengekspos port jaringan yang diperlukan untuk NFS. Pastikan klien NFS Anda memiliki izin untuk berkomunikasi dengan port NetApp Volumes berikut:
111 TCP/UDP portmapper635 TCP/UDP mountd2049 TCP/UDP nfsd4045 TCP/UDP nlockmgr(khusus untuk NFSv3)4046 TCP/UDP status(khusus untuk NFSv3)3260 TCP iSCSI
Alamat IP untuk Volume NetApp otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.
Penggunaan kunci penasihat dengan NFSv3
Jika Anda menggunakan kunci saran dengan NFSv3, Anda perlu menjalankan daemon rpc.statd
di klien untuk mendukung Network Lock Manager, yang merupakan fasilitas
yang bekerja sama dengan NFS untuk menyediakan gaya System V dari file saran
dan penguncian rekaman melalui jaringan. Klien NFS Anda harus membuka port ingress untuk rpc.statd guna menerima callback Network Lock Manager. Di sebagian besar distribusi Linux, rpc.statd dimulai saat Anda memasang berbagi NFS pertama. Server ini
menggunakan port acak yang dapat Anda identifikasi menggunakan perintah rpcinfo -p. Untuk
membuat rpc.statd lebih kompatibel dengan firewall, konfigurasikan rpc.statd agar menggunakan port statis.
Untuk menyetel port statis untuk rpc.statd, lihat referensi berikut:
Jika Anda tidak menggunakan kunci saran NFSv3, atau Network Lock Manager, sebaiknya pasang berbagi NFSv3 Anda dengan opsi pemasangan nolock.
NFSv4.1 menerapkan fungsi penguncian dalam protokol NFSv4.1 itu sendiri, yang berjalan melalui koneksi TCP yang dimulai klien ke server NFSv4.1 di port 2049. Klien tidak perlu membuka port firewall untuk traffic masuk.
Aturan firewall untuk akses volume SMB
SMB menggunakan berbagai port untuk berkomunikasi antara klien dan server. Untuk memastikan komunikasi yang tepat, Anda harus mengaktifkan port di firewall.
NetApp Volumes berfungsi sebagai server SMB dan mengekspos port jaringan yang diperlukan SMB. Pastikan klien SMB Anda diizinkan untuk berkomunikasi dengan port NetApp Volumes berikut:
445 TCP SMB2/3135 TCP msrpcdan40001 TCP SMB CA: Hanya digunakan untuk berbagi yang tersedia terus-menerus SMB 3.x. Port ini tidak diperlukan untuk berbagi yang tidak tersedia secara terus-menerus.
Layanan ini mengekspos, tetapi tidak menggunakan port 139/TCP.
Alamat IP untuk Volume NetApp secara otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.
Klien UKM Anda tidak perlu mengekspos port ingress agar SMB berfungsi.
Aturan firewall untuk akses Active Directory
NetApp Volumes memerlukan akses ke port berikut di server DNS yang dikonfigurasi dalam kebijakan Active Directory Anda untuk mengidentifikasi pengontrol domain Active Directory. NetApp Volumes menggunakan pencarian DNS untuk penemuan pengontrol domain Active Directory.
ICMPV4DNS 53 TCPDNS 53 UDP
Buka port berikut di semua pengontrol domain Active Directory Anda untuk traffic yang berasal dari rentang CIDR untuk NetApp Volumes:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
Melampirkan tag firewall ke server Active Directory
Gunakan petunjuk berikut untuk melampirkan tag firewall ke server Active Directory Anda.
Lampirkan aturan firewall ke server DNS Active Directory Anda:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Lampirkan aturan firewall ke pengontrol domain Active Directory Anda:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Ganti informasi berikut:
NETAPP_VOLUMES_CIDR: CIDR NetApp VolumesVPC_NAME: Nama VPC
Lampirkan tag berikut ke server DNS Anda:
allow-netappvolumes-to-dns
Lampirkan tag berikut ke pengontrol domain Anda:
allow-netappvolumes-to-activedirectory
Aturan firewall untuk akses volume iSCSI
Untuk akses iSCSI, NetApp Volumes menggunakan port jaringan tertentu untuk mengaktifkan komunikasi antara inisiator (klien) dan target (volume penyimpanan). Untuk konektivitas yang tepat dan akses yang berhasil ke volume penyimpanan blok, Anda perlu mengonfigurasi firewall untuk mengizinkan port yang diperlukan.
Pastikan inisiator iSCSI Anda dapat berkomunikasi dengan port NetApp Volumes berikut:
- 3260 TCP - Port target iSCSI
Alamat IP untuk Volume NetApp secara otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.
Kontrol akses volume untuk protokol NFS
NetApp Volumes mengamankan akses dengan protokol NFS menggunakan satu kebijakan ekspor dengan hingga 20 aturan ekspor. Aturan ekspor adalah daftar alamat IPv4 dan CIDR IPv4 yang dipisahkan koma yang menentukan klien mana yang memiliki izin untuk memasang volume. NetApp Volumes mengevaluasi aturan ekspor dalam urutan berurutan dan berhenti setelah kecocokan pertama. Sebaiknya urutkan aturan ekspor dari yang paling spesifik hingga yang paling umum untuk mendapatkan hasil terbaik. Untuk mengetahui informasi selengkapnya tentang aturan ekspor, lihat Kontrol akses volume menggunakan kebijakan ekspor.
Kontrol akses volume untuk protokol SMB
SMB menggunakan izin tingkat berbagi untuk melindungi akses volume dan memerlukan autentikasi terhadap Active Directory. Izin ini memungkinkan Anda mengontrol siapa yang memiliki akses ke berbagi melalui jaringan.
Volume dibuat dengan izin tingkat berbagi Semua Orang dan Kontrol Penuh. Anda dapat mengubah izin tingkat berbagi menggunakan konsol Windows atau CLI Windows.
Gunakan petunjuk berikut untuk mengubah izin tingkat berbagi SMB menggunakan konsol Windows atau Windows CLI:
Konsol Windows
Klik kanan ikon Windows start, lalu pilih Computer Management.
Setelah konsol Computer Management terbuka, klik Action > Connect to another computer.
Dalam dialog Select Computer, masukkan nama netbios SMB share Anda, lalu klik OK.
Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.
Klik dua kali Nama Berbagi, lalu pilih tab Izin Berbagi untuk mengontrol izin berbagi.
CLI Windows
Buka command line Windows.
Hubungkan ke berbagi file.
fsmgmt.msc /computer=<netbios_name_of_share>
Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.
Klik dua kali Nama Berbagi, lalu pilih tab Izin Berbagi untuk mengontrol izin berbagi.
Kontrol akses volume untuk protokol iSCSI
Akses ke Volume NetApp iSCSI dikelola menggunakan Grup host, yang merupakan objek regional yang berisi satu atau beberapa IQN inisiator iSCSI. Inisiator iSCSI biasanya berupa sistem atau server klien yang terhubung ke target penyimpanan melalui jaringan menggunakan protokol iSCSI.
Saat volume iSCSI dibuat, volume tersebut akan dilampirkan ke grup host. Hubungan ini memberikan akses volume iSCSI ke klien iSCSI (inisiasi) dalam grup host tersebut, yang memungkinkan mereka menemukan LUN dan menggunakan resource penyimpanan. Hanya inisiator yang merupakan anggota grup host yang dapat melihat dan terhubung ke volume iSCSI yang ditetapkan.
Berikut adalah karakteristik utama grup host dan akses iSCSI:
Kontrol visibilitas: grup host membatasi klien iSCSI yang dapat melihat dan mengakses volume tertentu. Jika inisiator bukan bagian dari grup host, inisiator tidak dapat menemukan atau terhubung ke LUN.
Cakupan regional: grup host adalah objek regional, dengan konfigurasi dan keanggotaannya terbatas pada region tertentu dalam lingkunganGoogle Cloud Anda.
Keamanan sisi klien: meskipun grup host mengontrol visibilitas volume, administrator klien iSCSI bertanggung jawab untuk menerapkan kontrol akses tingkat pengguna pada sistem klien. Hal ini mencakup pengelolaan siapa yang dapat memasang volume iSCSI dan siapa yang dapat mengakses sistem file yang dibuat di dalamnya.
Izin sistem file berbasis host
Setelah LUN dipetakan ke host, sistem operasi host bertanggung jawab untuk mengelola izin sistem file dan kontrol akses. Misalnya, host Windows menggunakan izin dan ACL NTFS, sedangkan host Linux dan UNIX menggunakan izin file UNIX standar, dan secara opsional, ACL untuk melindungi file dan direktori.
Pendekatan keamanan dua lapis ini membantu memastikan bahwa hanya host yang diizinkan yang dapat mengakses penyimpanan di tingkat blok, sementara sistem operasi host mengelola keamanan tingkat file sesuai dengan kebijakan organisasi.
Kontrol akses file
Bagian berikut memberikan detail tentang kontrol akses tingkat file NetApp Volumes.
Gaya keamanan volume
NetApp Volumes menawarkan dua gaya keamanan untuk volume, UNIX dan NTFS, untuk mengakomodasi berbagai set izin platform Linux dan Windows.
UNIX: volume yang dikonfigurasi dengan gaya keamanan UNIX menggunakan bit mode UNIX dan ACL NFSv4 untuk mengontrol akses file.
NTFS: volume yang dikonfigurasi dengan gaya keamanan NTFS menggunakan ACL NTFS untuk mengontrol akses file.
Gaya keamanan volume bergantung pada pilihan protokol untuk volume:
| Jenis protokol | Gaya keamanan volume |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| Keduanya (NFSv3 dan NFSv4.1) | UNIX |
| SMB | NTFS |
| Ganda (SMB dan NFSv3) | UNIX atau NTFS |
| Dual (SMB dan NFSv4.1) | UNIX atau NTFS |
Untuk protokol ganda, Anda hanya dapat memilih gaya keamanan selama pembuatan volume.
Kontrol akses tingkat file NFS untuk volume gaya UNIX
Setelah klien berhasil memasang volume, NetApp Volumes
memeriksa izin akses ke file dan direktori menggunakan model izin
UNIX standar yang disebut bit mode. Anda dapat menetapkan dan mengubah izin menggunakan
chmod.
Volume NFSv4.1 juga dapat menggunakan daftar kontrol akses (ACL) NFSv4. Jika file atau
direktori memiliki bit mode dan ACL NFSv4, ACL akan digunakan untuk pemeriksaan
izin. Hal yang sama berlaku untuk volume yang menggunakan jenis protokol NFSv3 dan NFSv4.1. Anda dapat menyetel dan mengubah ACL NFSv4 menggunakan nfs4_getfacl dan
nfs4_setfacl.
Saat Anda membuat volume gaya UNIX baru, root:root memiliki kepemilikan
inode root dan izin 0770. Karena setelan kepemilikan dan izin ini, pengguna non-root akan mendapatkan error permission denied saat mengakses volume setelah pemasangan. Untuk mengaktifkan akses ke volume bagi pengguna non-root, pengguna root
harus mengubah kepemilikan inode root menggunakan chown dan mengubah izin
file menggunakan chmod.
Kontrol akses file SMB untuk volume gaya NTFS
Untuk volume gaya NTFS, sebaiknya gunakan model izin NTFS.
Setiap file dan direktori memiliki ACL NTFS yang dapat Anda ubah menggunakan File Explorer, alat command line icacls, atau PowerShell. Dalam model izin NTFS, file dan folder baru mewarisi izin dari folder induknya.
Pemetaan pengguna multi-protokol
Untuk volume protokol ganda, klien dapat menggunakan NFS dan SMB untuk mengakses data yang sama. Volume dikonfigurasi dengan menetapkan gaya keamanan volume agar memiliki izin UNIX atau NTFS.
Saat Anda membuat volume SMB dan NFS protokol ganda, sebaiknya Active Directory berisi pengguna default. Pengguna default digunakan saat klien NFS mengirim panggilan NFS dengan ID pengguna yang tidak tersedia di Active Directory.
Kemudian, NetApp Volumes akan mencoba mencari pengguna bernama pcuser,
yang bertindak sebagai pengguna UNIX default. Jika pengguna tersebut tidak ditemukan, akses ke panggilan NFS akan ditolak.
Sebaiknya buat pengguna default di Active Directory dengan atribut berikut:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
Bergantung pada protokol yang digunakan oleh klien (NFS atau SMB) dan gaya keamanan volume (UNIX atau NTFS), NetApp Volumes dapat langsung memeriksa izin akses pengguna atau memerlukan pemetaan pengguna ke identitas platform lain terlebih dahulu.
| Protokol akses | Gaya keamanan | Identitas yang digunakan oleh protokol | Pemetaan yang diperlukan |
|---|---|---|---|
| NFSv3 | UNIX | ID pengguna dan ID grup | T/A |
| NFSv3 | NTFS | ID pengguna dan ID grup | ID pengguna ke nama pengguna ke ID keamanan |
| SMB | UNIX | ID keamanan | ID keamanan ke nama pengguna ke ID pengguna |
| SMB | NTFS | ID Keamanan | T/A |
Jika pemetaan diperlukan, NetApp Volumes mengandalkan data yang disimpan di Active Directory LDAP. Untuk mengetahui informasi selengkapnya, lihat Kasus penggunaan Active Directory.
Skenario pemetaan pengguna multi-protokol: Akses SMB ke volume UNIX
Ilmuwan Charlie E. (charliee) ingin mengakses volume NetApp Volumes menggunakan SMB dari klien Windows. Karena volume berisi hasil yang dibuat mesin yang disediakan oleh cluster komputasi Linux, volume dikonfigurasi untuk menyimpan izin UNIX.
Klien Windows mengirimkan panggilan SMB ke volume. Panggilan SMB berisi identitas pengguna sebagai ID keamanan. ID keamanan tidak dapat dibandingkan dengan izin file ID pengguna dan ID grup serta memerlukan pemetaan.
Untuk menyelesaikan pemetaan yang diperlukan, NetApp Volumes melakukan langkah-langkah berikut:
NetApp Volumes meminta Active Directory untuk menyelesaikan ID keamanan ke nama pengguna, misalnya,
S-1-5-21-2761044393-2226150802-3019316526-1224kecharliee.NetApp Volumes meminta Active Directory untuk menampilkan ID pengguna dan ID grup untuk
charliee.NetApp Volumes memeriksa akses terhadap ID pengguna kepemilikan dan ID grup file menggunakan ID pengguna dan ID grup yang ditampilkan.
Skenario pemetaan pengguna multi-protokol: Akses NFS ke volume NTFS
Engineer Amal L. perlu mengakses beberapa data di volume dari klien Linux menggunakan NFS. Karena volume terutama digunakan untuk menyimpan data Windows, volume tersebut dikonfigurasi dengan gaya keamanan NTFS.
Klien Linux mengirimkan panggilan NFS ke NetApp Volumes. Panggilan NFS berisi ID pengguna dan ID grup yang tidak dapat dicocokkan dengan ID keamanan tanpa pemetaan.
Untuk menyelesaikan pemetaan yang diperlukan, NetApp Volumes meminta Active Directory untuk nama pengguna ID pengguna dan menampilkan pengidentifikasi keamanan untuk nama pengguna, lalu memeriksa akses terhadap pengidentifikasi keamanan pemilik file yang diakses menggunakan pengidentifikasi keamanan yang ditampilkan.
Enkripsi saat Transit
Enkripsi dalam pengiriman melindungi data dari penyadapan melalui jaringan. Traffic untuk replikasi volume, pencadangan terintegrasi, dan migrasi volume dienkripsi secara default menggunakan TLS 1.2. Untuk traffic NFS dan SMB, Anda dapat mengonfigurasi setelan enkripsi khusus protokol untuk perlindungan tambahan.
NFS
Untuk volume NFS, gunakan NFSv4.1 dengan enkripsi krb5p Kerberos yang diaktifkan untuk keamanan maksimum.
SMB
Untuk volume SMB, aktifkan enkripsi AES di kebijakan Active Directory dan enkripsi SMB di volume Anda untuk keamanan maksimum.
Replikasi volume
NetApp Volumes dapat mereplikasi volume di seluruh Google Cloud region untuk memberikan perlindungan data. Karena traffic berada di Google Cloud, infrastruktur jaringan Google melindungi proses transfer, yang memiliki akses terbatas untuk mencegah intersepsi yang tidak sah. Selain itu, traffic replikasi dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2.
Pencadangan terintegrasi
Cadangan terintegrasi membuat cadangan NetApp Volumes dalam layanan. Traffic cadangan tetap berada dalam infrastruktur jaringan Google dan dienkripsi menggunakan standar TLS 1.2 yang mematuhi FIPS 140-2. Vault cadangan dapat menyimpan cadangan ini menggunakan kunci enkripsi yang dikelola Google secara default atau kunci enkripsi yang dikelola pelanggan (CMEK) untuk keamanan tambahan. Google-managed encryption key
Migrasi volume
Migrasi volume mengirimkan data dari sistem ONTAP atau Cloud Volumes ONTAP sumber ke NetApp Volumes. Komunikasi antara sistem sumber dan NetApp Volumes dienkripsi menggunakan standar TLS 1.2 yang mematuhi FIPS 140-2.
NetApp Volumes memulai migrasi dan menggunakan protokol dan port berikut:
ICMP
10000/TCP
11104/TCP
11105/TCP
Pastikan firewall apa pun antara antarmuka logis (LIF) antar-cluster sistem ONTAP dan alamat IP migrasi NetApp Volumes mengizinkan port ini.
Langkah berikutnya
Mengamankan NetApp Volumes dengan perimeter layanan.