使用存储级访问防护保护文件访问
除了通过本机文件级和导出以及共享安全性来保护访问,还可配置存储级访问防护,这是 ONTAP 在卷级层应用的第三层安全保护。存储级访问防护适用于从所有 NAS 协议对应用的存储对象进行的访问。
仅支持 NTFS 访问权限。如果 Linux 用户要访问应用了存储级访问防护的卷上的数据,ONTAP 会对其执行安全检查,此时,必须在拥有该卷的 SVM 上将 Linux 用户映射到 Windows 用户。
存储级访问防护行为
存储级访问防护适用于存储对象中的所有文件或所有目录。
由于卷中的所有文件或目录均受存储级访问防护设置的约束,因此不需要通过传播来继承。
可配置存储级访问防护仅用于卷中的文件或仅用于目录,也可以同时应用于文件和目录。
文件和目录安全性
适用于存储对象中的每一个目录和文件。此为默认设置。
文件安全
适用于存储对象中的每一个文件。应用此安全性不会影响对目录的访问或审核。
目录安全性
适用于存储对象中的每一个目录。应用此安全性不会影响对文件的访问或审核。
存储级访问防护可用于限制权限。
它绝不授予额外的访问权限。
如果从 NFS 或 SMB 客户端查看文件或目录的安全性设置,将无法查看存储级访问防护安全性。
它应用于存储对象级别,并且以元数据保存,以便用于确定有效权限。
存储级访问防护安全性无法从客户端撤销,即使系统管理员(Windows 或 Linux)也无法撤销。
其设计决定了只能由存储管理员修改。
可将存储级访问防护应用于具有 NTFS 或混合安全模式的卷。
可为采用 UNIX 安全模式的卷应用存储级访问防护,前提是已为包含该卷的 SVM 配置了 CIFS 服务器。
卷装载于卷的接合路径时,如果存储级访问防护位于此路径,则不会传播到装载于其下的卷。
存储级访问防护安全描述符通过 SnapMirror 数据复制和 SVM 复制进行复制。
对于病毒扫描程序有特殊执行。
即使在存储级访问防护拒绝对该对象的访问时,也允许对这些服务器进行访问,对文件和目录进行检查。
如果由于存储级访问防护而拒绝访问,则不会发送 FPolicy 通知。
访问检查的排序
对文件或目录的访问取决于导出和共享权限、卷上设置的存储级访问防护权限,以及应用于文件和/或目录的本机文件权限的综合效果。所有安全级别均经过评估,以确定文件或目录具有的有效权限。安全访问检查将按以下顺序执行:
SMB 共享或 NFS 导出级别权限
存储级访问防护
NTFS 文件/文件夹访问控制列表(ACL)、NFSv4 ACL 或 UNIX 模式位