跳到主要内容

使用存储级访问防护保护文件访问

除了通过本机文件级和导出以及共享安全性来保护访问,还可配置存储级访问防护,这是 ONTAP 在卷级层应用的第三层安全保护。存储级访问防护适用于从所有 NAS 协议对应用的存储对象进行的访问。

仅支持 NTFS 访问权限。如果 Linux 用户要访问应用了存储级访问防护的卷上的数据,ONTAP 会对其执行安全检查,此时,必须在拥有该卷的 SVM 上将 Linux 用户映射到 Windows 用户。

存储级访问防护行为

  • 存储级访问防护适用于存储对象中的所有文件或所有目录。

    由于卷中的所有文件或目录均受存储级访问防护设置的约束,因此不需要通过传播来继承。

  • 可配置存储级访问防护仅用于卷中的文件或仅用于目录,也可以同时应用于文件和目录。

    • 文件和目录安全性

      适用于存储对象中的每一个目录和文件。此为默认设置。

    • 文件安全

      适用于存储对象中的每一个文件。应用此安全性不会影响对目录的访问或审核。

    • 目录安全性

      适用于存储对象中的每一个目录。应用此安全性不会影响对文件的访问或审核。

  • 存储级访问防护可用于限制权限。

    它绝不授予额外的访问权限。

  • 如果从 NFS 或 SMB 客户端查看文件或目录的安全性设置,将无法查看存储级访问防护安全性。

    它应用于存储对象级别,并且以元数据保存,以便用于确定有效权限。

  • 存储级访问防护安全性无法从客户端撤销,即使系统管理员(Windows 或 Linux)也无法撤销。

    其设计决定了只能由存储管理员修改。

  • 可将存储级访问防护应用于具有 NTFS 或混合安全模式的卷。

  • 可为采用 UNIX 安全模式的卷应用存储级访问防护,前提是已为包含该卷的 SVM 配置了 CIFS 服务器。

  • 卷装载于卷的接合路径时,如果存储级访问防护位于此路径,则不会传播到装载于其下的卷。

  • 存储级访问防护安全描述符通过 SnapMirror 数据复制和 SVM 复制进行复制。

  • 对于病毒扫描程序有特殊执行。

    即使在存储级访问防护拒绝对该对象的访问时,也允许对这些服务器进行访问,对文件和目录进行检查。

  • 如果由于存储级访问防护而拒绝访问,则不会发送 FPolicy 通知。

访问检查的排序

对文件或目录的访问取决于导出和共享权限、卷上设置的存储级访问防护权限,以及应用于文件和/或目录的本机文件权限的综合效果。所有安全级别均经过评估,以确定文件或目录具有的有效权限。安全访问检查将按以下顺序执行:

  1. SMB 共享或 NFS 导出级别权限

  2. 存储级访问防护

  3. NTFS 文件/文件夹访问控制列表(ACL)、NFSv4 ACL 或 UNIX 模式位