跳到主要内容

使用存储级访问防护保护文件访问

除了通过本机文件级和导出以及共享安全性来保护访问,还可配置存储级访问防护,这是 ONTAP 在卷级层应用的第三层安全保护。存储级访问防护适用于从所有 NAS 协议对应用的存储对象进行的访问。

仅支持 NTFS 访问权限。如果 Linux 用户要访问应用了存储级访问防护的卷上的数据,ONTAP 会对其执行安全检查,此时,必须在拥有该卷的 SVM 上将 Linux 用户映射到 Windows 用户。

存储级访问防护行为

  • 存储级访问防护适用于存储对象中的所有文件或所有目录。

    由于卷中的所有文件或目录均受存储级访问防护设置的约束,因此不需要通过传播来继承。

  • 可配置存储级访问防护仅用于卷中的文件或仅用于目录,也可以同时应用于文件和目录。

    • 文件和目录安全性

      适用于存储对象中的每一个目录和文件。此为默认设置。

    • 文件安全

      适用于存储对象中的每一个文件。应用此安全性不会影响对目录的访问或审核。

    • 目录安全性

      适用于存储对象中的每一个目录。应用此安全性不会影响对文件的访问或审核。

  • 存储级访问防护可用于限制权限。

    它绝不授予额外的访问权限。

  • 如果从 NFS 或 SMB 客户端查看文件或目录的安全性设置,将无法查看存储级访问防护安全性。

    它应用于存储对象级别,并且以元数据保存,以便用于确定有效权限。

  • 存储级访问防护安全性无法从客户端撤销,即使系统管理员(Windows 或 Linux)也无法撤销。

    其设计决定了只能由存储管理员修改。

  • 可将存储级访问防护应用于具有 NTFS 或混合安全模式的卷。

  • 可为采用 UNIX 安全模式的卷应用存储级访问防护,前提是已为包含该卷的 SVM 配置了 CIFS 服务器。

  • 卷装载于卷的接合路径时,如果存储级访问防护位于此路径,则不会传播到装载于其下的卷。

  • 存储级访问防护安全描述符通过 SnapMirror 数据复制和 SVM 复制进行复制。

  • 对于病毒扫描程序有特殊执行。

    即使在存储级访问防护拒绝对该对象的访问时,也允许对这些服务器进行访问,对文件和目录进行检查。

  • 如果由于存储级访问防护而拒绝访问,则不会发送 FPolicy 通知。

访问检查的排序

对文件或目录的访问取决于导出和共享权限、卷上设置的存储级访问防护权限,以及应用于文件和/或目录的本机文件权限的综合效果。所有安全级别均经过评估,以确定文件或目录具有的有效权限。安全访问检查将按以下顺序执行:

  1. SMB 共享或 NFS 导出级别权限

  2. 存储级访问防护

  3. NTFS 文件/文件夹访问控制列表(ACL)、NFSv4 ACL 或 UNIX 模式位

  • 存储级访问防护的用例
    存储级访问防护在存储层面上提供额外安全性,在客户端侧看不见存储级访问防护;因此,任何用户或管理员无法从他们的桌面撤销存储级访问防护。以下为部分存储级访问防护用例,在这些用例中,存储级访问防护在存储层面上的访问控制能力非常实用。
  • 配置存储级访问防护的工作流程
    配置存储级访问防护(SLAG)的工作流程使用与您用于配置 NTFS 文件权限和审核策略的相同 ONTAP CLI 命令。您应在指定存储虚拟机(SVM)卷上配置 SLAG,而不是在指定目标上配置文件和目录访问。
  • 配置存储级访问防护
    在卷或 Qtree 上配置存储级访问防护需要采用多个步骤。存储级访问防护提供了在存储级别设置的访问安全性。在应用它的存储对象上,它为从所有 NAS 协议进行的所有访问提供安全性。
  • 有效 SLAG 矩阵
    可配置卷或 Qtree 或同时配置两者的 SLAG。SLAG 矩阵定义下表所列情况下,SLAG 配置适用的卷或 Qtree。
  • 显示存储级访问防护信息
    存储级访问防护是卷或 Qtree 上应用的第三层安全。存储级访问防护无法使用“Windows Properties(Windows 属性)”窗口进行查看。必须使用 ONTAP CLI 来查看有关存储级访问防护安全的信息,您可使用这些信息验证配置或解答文件访问疑难问题。
  • 删除存储级访问防护
    如果不想再设置存储级的访问安全,您可以删除卷或 Qtree 上的存储级访问防护。删除存储级访问防护不会修改或删除常规 NTFS 文件和目录的安全性。