Pertimbangan keamanan

Halaman ini memberikan ringkasan pertimbangan keamanan Google Cloud NetApp Volumes.

Pertimbangan keamanan untuk jaringan

Google Cloud NetApp Volumes menyediakan framework arsitektur yang aman dengan lapisan keamanan terisolasi berikut:

  • Keamanan tingkat project: lapisan keamanan administratif yang digunakan administrator untuk mengelola resource NetApp Volumes seperti kumpulan penyimpanan atau volume menggunakan konsol Google Cloud , Google Cloud SDK, atau API. Peran dan izin IAM menjaga lapisan ini. Untuk informasi selengkapnya tentang keamanan tingkat project, lihat Menyiapkan izin IAM.

  • Keamanan tingkat jaringan: lapisan jaringan yang digunakan untuk mengakses volume data dengan protokol network-attached storage (NAS) (Server Message Block (SMB) dan Network File System (NFS)).

    Anda dapat mengakses data dalam volume menggunakan protokol NAS melalui jaringan Virtual Private Cloud. Semua akses data ke Volume NetApp hanya dapat dilakukan melalui VPC, kecuali jika Anda secara eksplisit menggunakan solusi pihak ketiga untuk mengganti pemilihan rute peering VPC ke VPC Anda.

    Dalam VPC, Anda dapat membatasi akses lebih lanjut dengan firewall dan melalui penyiapan mekanisme kontrol akses khusus protokol.

Aturan firewall untuk akses volume

Aturan firewall melindungi VPC Google Cloud . Untuk mengaktifkan akses dari klien ke NetApp Volumes, Anda perlu mengizinkan traffic jaringan tertentu.

Aturan firewall untuk akses volume NFS

NFS menggunakan berbagai port untuk berkomunikasi antara klien dan server. Untuk memastikan komunikasi yang tepat dan pemasangan volume yang berhasil, Anda harus mengaktifkan port di firewall.

Volume NetApp berfungsi sebagai server NFS dan mengekspos port jaringan yang diperlukan untuk NFS. Pastikan klien NFS Anda memiliki izin untuk berkomunikasi dengan port NetApp Volumes berikut:

  • 111 TCP/UDP portmapper

  • 635 TCP/UDP mountd

  • 2049 TCP/UDP nfsd

  • 4045 TCP/UDP nlockmgr (khusus NFSv3)

  • 4046 TCP/UDP status (khusus NFSv3)

Alamat IP untuk NetApp Volumes secara otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.

Penggunaan kunci saran dengan NFSv3

Jika menggunakan kunci saran dengan NFSv3, Anda harus menjalankan daemon rpc.statd di klien untuk mendukung Network Lock Manager, yang merupakan fasilitas yang bekerja sama dengan NFS untuk menyediakan file saran gaya System V dan mengunci data melalui jaringan. Klien NFS Anda harus membuka port masuk agar rpc.statd dapat menerima callback Network Lock Manager. Di sebagian besar distribusi Linux, rpc.statd dimulai saat Anda memasang berbagi NFS pertama. Perintah ini menggunakan port acak yang dapat Anda identifikasi menggunakan perintah rpcinfo -p. Untuk membuat rpc.statd lebih cocok dengan firewall, konfigurasikan untuk menggunakan port statis.

Untuk menetapkan port statis untuk rpc.statd, lihat referensi berikut:

Jika Anda tidak menggunakan kunci saran NFSv3, atau Network Lock Manager, sebaiknya pasang share NFSv3 dengan opsi pemasangan nolock.

NFSv4.1 menerapkan fungsi kunci dalam protokol NFSv4.1 itu sendiri, yang berjalan melalui koneksi TCP yang dimulai klien ke server NFSv4.1 di port 2049. Klien tidak perlu membuka port firewall untuk traffic masuk.

Aturan firewall untuk akses volume SMB

SMB menggunakan berbagai port untuk berkomunikasi antara klien dan server. Untuk memastikan komunikasi yang tepat, Anda harus mengaktifkan port di firewall.

Volume NetApp berfungsi sebagai server SMB dan mengekspos port jaringan yang diperlukan SMB. Pastikan klien SMB Anda diizinkan untuk berkomunikasi dengan port NetApp Volumes berikut:

  • 445 TCP SMB2/3

  • 135 TCP msrpc dan 40001 TCP SMB CA: Hanya digunakan untuk berbagi SMB 3.x yang tersedia secara berkelanjutan. Port ini tidak diperlukan untuk share yang tidak tersedia secara berkelanjutan.

Layanan mengekspos, tetapi tidak menggunakan, port 139/TCP.

Alamat IP untuk NetApp Volumes secara otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.

Klien SMB Anda tidak perlu mengekspos port masuk agar SMB berfungsi.

Aturan firewall untuk akses Active Directory

Buka port berikut di semua pengontrol domain Active Directory Anda untuk traffic yang berasal dari rentang CIDR untuk Volume NetApp:

  • ICMPV4

  • DNS 53 TCP

  • DNS 53 UDP

  • LDAP 389 TCP

  • LDAP 389 UDP

  • LDAP (GC) 3268 TCP

  • SAM/LSA 445 TCP

  • SAM/LSA 445 UDP

  • Secure LDAP 636 TCP

  • Secure LDAP 3269 TCP

  • W32Time 123 UDP

  • AD Web Svc 9389 TCP

  • Kerberos 464 TCP

  • Kerberos 464 UDP

  • Kerberos 88 TCP

  • Kerberos 88 UDP

Melampirkan tag firewall ke server Active Directory

Gunakan petunjuk berikut untuk melampirkan tag firewall ke server Active Directory Anda.

  1. Lampirkan tag firewall ke server Active Directory Anda:

    gcloud compute firewall-rules create netappvolumes-to-activedirectory \
  --allow=icmp,TCP:53,UDP:53,TCP:88,UDP:88,UDP:123,TCP:389,UDP:389,TCP:445,UDP:445,TCP:464,UDP:464,TCP:636,TCP:3268,TCP:3269,TCP:9389 \
  --direction=ingress \
  --target-tags=allow-netappvolumes-to-activedirectory \
  --source-ranges=NETAPP_VOLUMES_CIDR \
  --network=VPC_NAME

    Ganti informasi berikut:

    • NETAPP_VOLUMES_CIDR: CIDR Volume NetApp

    • VPC_NAME: Nama VPC

  2. Lampirkan tag berikut ke pengontrol domain Anda:

    allow-netappvolumes-to-activedirectory

Kontrol akses volume untuk protokol NFS

NetApp Volumes menjaga akses oleh protokol NFS dengan satu kebijakan ekspor dengan maksimal 20 aturan ekspor. Aturan ekspor adalah daftar alamat IPv4 dan CIDR IPv4 yang dipisahkan koma yang menentukan klien mana yang memiliki izin untuk memasang volume. NetApp Volumes mengevaluasi aturan ekspor dalam urutan berurutan dan berhenti setelah kecocokan pertama. Sebaiknya urutkan aturan ekspor dari yang paling spesifik ke yang paling umum untuk mendapatkan hasil terbaik.

Gunakan tab berikut untuk meninjau kebijakan berdasarkan versi NFS:

NFS tanpa Kerberos

Semua versi NFS tanpa Kerberos menggunakan ragam keamanan AUTH_SYS. Dalam mode ini, Anda harus mengelola aturan ekspor dengan ketat untuk hanya mengizinkan klien yang Anda percayai dan yang dapat memastikan integritas ID pengguna dan ID grup.

Sebagai langkah pengamanan, server NFS secara otomatis memetakan panggilan NFS dengan UID=0 (root) ke UID=65535 (anonim), yang memiliki izin terbatas pada sistem file. Selama pembuatan volume, Anda dapat mengaktifkan opsi akses root untuk mengontrol perilaku ini. Jika Anda mengaktifkan akses root, ID pengguna 0 akan tetap 0. Sebagai praktik terbaik, buat aturan ekspor khusus yang mengaktifkan akses root untuk host administrator terkenal dan nonaktifkan akses root untuk semua klien lainnya.

NFSv4.1 dengan Kerberos

NFSv4.1 dengan Kerberos menggunakan kebijakan ekspor dan autentikasi tambahan menggunakan Kerberos untuk mengakses volume. Anda dapat mengonfigurasi aturan ekspor untuk diterapkan untuk hal berikut:

  • Khusus Kerberos (krb5)

  • Penandatanganan Kerberos (krb5i)

  • Privasi Kerberos (krb5p)

Kontrol akses volume untuk protokol SMB

SMB menggunakan izin tingkat berbagi untuk menjaga akses volume dan mewajibkan autentikasi terhadap Active Directory. Izin ini memungkinkan Anda mengontrol siapa saja yang memiliki akses ke berbagi melalui jaringan.

Volume dibuat dengan izin tingkat share Semua orang dan Kontrol Penuh. Anda dapat mengubah izin tingkat berbagi menggunakan konsol Windows atau Windows CLI.

Gunakan petunjuk berikut untuk mengubah izin tingkat berbagi SMB menggunakan konsol Windows atau Windows CLI:

Konsol Windows

  1. Klik kanan ikon Windows start, lalu pilih Computer Management.

  2. Setelah konsol Computer Management terbuka, klik Action > Connect to another computer.

  3. Dalam dialog Select Computer, masukkan nama netbios berbagi SMB Anda, lalu klik OK.

  4. Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.

  5. Klik dua kali Share Name dan pilih tab Share Permissions untuk mengontrol izin berbagi.

CLI Windows

  1. Buka command line Windows.

  2. Hubungkan ke berbagi file.

    fsmgmt.msc /computer=<netbios_name_of_share>

  3. Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.

  4. Klik dua kali Share Name dan pilih tab Share Permissions untuk mengontrol izin berbagi.

Kontrol akses file

Bagian berikut memberikan detail tentang kontrol akses tingkat file NetApp Volumes.

Gaya keamanan volume

NetApp Volumes menawarkan dua gaya keamanan untuk volume, UNIX dan NTFS, untuk mengakomodasi kumpulan izin yang berbeda dari platform Linux dan Windows.

  • UNIX: volume yang dikonfigurasi dengan gaya keamanan UNIX menggunakan bit mode UNIX dan ACL NFSv4 untuk mengontrol akses file.

  • NTFS: volume yang dikonfigurasi dengan gaya keamanan NTFS menggunakan ACL NTFS untuk mengontrol akses file.

Gaya keamanan volume bergantung pada pilihan protokol untuk volume:

Jenis protokol Gaya keamanan volume
NFSv3 UNIX
NFSv4.1 UNIX
Keduanya (NFSv3 dan NFSv4.1) UNIX
SMB NTFS
Ganda (SMB dan NFSv3) UNIX atau NTFS
Ganda (SMB dan NFSv4.1) UNIX atau NTFS

Untuk protokol ganda, Anda hanya dapat memilih gaya keamanan selama pembuatan volume.

Kontrol akses tingkat file NFS untuk volume bergaya UNIX

Setelah klien berhasil memasang volume, NetApp Volumes akan memeriksa izin akses ke file dan direktori menggunakan model izin UNIX standar yang disebut mode bit. Anda dapat menetapkan dan mengubah izin menggunakan chmod.

Volume NFSv4.1 juga dapat menggunakan daftar kontrol akses (ACL) NFSv4. Jika file atau direktori memiliki bit mode dan ACL NFSv4, ACL akan digunakan untuk pemeriksaan izin. Hal yang sama berlaku untuk volume yang menggunakan jenis protokol NFSv3 dan NFSv4.1. Anda dapat menetapkan dan mengubah ACL NFSv4 menggunakan nfs4_getfacl dan nfs4_setfacl.

Saat Anda membuat volume bergaya UNIX baru, root:root memiliki kepemilikan inode root dan izin 0770. Karena setelan kepemilikan dan izin ini, pengguna non-root mendapatkan error permission denied saat mengakses volume setelah di-mount. Untuk mengaktifkan akses ke volume bagi pengguna non-root, pengguna root harus mengubah kepemilikan inode root menggunakan chown dan mengubah izin file menggunakan chmod.

Kontrol akses file SMB untuk volume bergaya NTFS

Untuk volume bergaya NTFS, sebaiknya gunakan model izin NTFS. Setiap file dan direktori memiliki ACL NTFS yang dapat Anda ubah menggunakan File Explorer, alat command line icacls, atau PowerShell. Dalam model izin NTFS, file dan folder baru mewarisi izin dari folder induknya.

Pemetaan pengguna multi-protokol

Untuk volume dual-protokol, klien dapat menggunakan NFS dan SMB untuk mengakses data yang sama. Volume dikonfigurasi dengan menetapkan gaya keamanan volume agar memiliki izin UNIX atau NTFS.

Saat Anda membuat volume SMB dan NFS dengan protokol ganda, sebaiknya Active Directory berisi pengguna default. Pengguna default digunakan saat klien NFS mengirim panggilan NFS dengan ID pengguna yang tidak tersedia di Active Directory. NetApp Volumes kemudian mencoba mencari pengguna bernama pcuser, yang bertindak sebagai pengguna UNIX default. Jika pengguna tersebut tidak ditemukan, akses akan ditolak ke panggilan NFS.

Sebaiknya buat pengguna default di Active Directory dengan atribut berikut:

  • uid = pcuser

  • uidnumber = 65534

  • cn = pcuser

  • gidNumber = 65534

  • objectClass = user

Bergantung pada protokol yang digunakan oleh klien (NFS atau SMB) dan gaya keamanan volume (UNIX atau NTFS), Volume NetApp dapat langsung memeriksa izin akses pengguna atau mengharuskan pemetaan pengguna ke identitas platform lain terlebih dahulu.

Protokol akses Gaya keamanan Identitas yang digunakan oleh protokol Pemetaan yang diperlukan
NFSv3 UNIX ID pengguna dan ID grup T/A
NFSv3 NTFS ID pengguna dan ID grup ID pengguna ke nama pengguna ke ID keamanan
SMB UNIX ID keamanan ID keamanan ke nama pengguna ke ID pengguna
SMB NTFS ID Keamanan T/A

Jika pemetaan diperlukan, NetApp Volumes mengandalkan data yang disimpan di LDAP Active Directory. Untuk informasi selengkapnya, lihat Kasus penggunaan Active Directory.

Skenario pemetaan pengguna multi-protokol: Akses SMB ke volume UNIX

Ilmuwan Charlie E. (charliee) ingin mengakses volume NetApp Volumes menggunakan SMB dari klien Windows. Karena volume berisi hasil yang dihasilkan mesin yang disediakan oleh cluster komputasi Linux, volume dikonfigurasi untuk menyimpan izin UNIX.

Klien Windows mengirimkan panggilan SMB ke volume. Panggilan SMB berisi identitas pengguna sebagai ID keamanan. ID keamanan tidak dapat dibandingkan dengan izin file ID pengguna dan ID grup serta memerlukan pemetaan.

Untuk menyelesaikan pemetaan yang diperlukan, Volume NetApp akan melakukan langkah-langkah berikut:

  1. Volume NetApp meminta Active Directory untuk me-resolve ID keamanan ke nama pengguna, misalnya, S-1-5-21-2761044393-2226150802-3019316526-1224 ke charliee.

  2. Volume NetApp meminta Active Directory untuk menampilkan ID pengguna dan ID grup untuk charliee.

  3. NetApp Volumes memeriksa akses terhadap ID pengguna kepemilikan dan ID grup file menggunakan ID pengguna dan ID grup yang ditampilkan.

Skenario pemetaan pengguna multi-protokol: Akses NFS ke volume NTFS

Engineer Amal L. perlu mengakses beberapa data pada volume dari klien Linux menggunakan NFS. Karena volume ini terutama digunakan untuk menyimpan data Windows, volume tersebut dikonfigurasi dengan gaya keamanan NTFS.

Klien Linux mengirimkan panggilan NFS ke NetApp Volumes. Panggilan NFS berisi ID ID pengguna dan grup yang tidak dapat dicocokkan dengan ID keamanan tanpa pemetaan.

Untuk menyelesaikan pemetaan yang diperlukan, Volume NetApp meminta Active Directory untuk mendapatkan nama pengguna ID pengguna dan menampilkan ID keamanan untuk nama pengguna, lalu memeriksa akses terhadap ID keamanan pemilik file yang diakses menggunakan ID keamanan yang ditampilkan.

Enkripsi saat Transit

NFS

Untuk volume NFS, gunakan NFSv4.1 dengan enkripsi krb5p Kerberos yang diaktifkan untuk keamanan maksimum.

SMB

Untuk volume SMB, aktifkan enkripsi AES di kebijakan Active Directory dan enkripsi SMB di volume Anda untuk keamanan maksimum.

Replikasi volume

Volume NetApp dapat mereplikasi volume di seluruh region Google Cloud untuk memberikan perlindungan data. Karena traffic berada di Google Cloud, proses transfernya aman karena menggunakan infrastruktur jaringan Google, yang memiliki akses terbatas untuk mencegah intersepsi yang tidak sah. Selain itu, traffic replikasi dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2.

Pencadangan terintegrasi

Cadangan terintegrasi membuat cadangan NetApp Volume dalam layanan. Traffic cadangan tetap berada dalam infrastruktur jaringan aman Google menggunakan enkripsi standar TLS 1.2 yang mematuhi FIPS 140-2. Selain itu, vault pencadangan menyimpan cadangan ini menggunakan kunci enkripsi yang dimiliki dan dikelola Google untuk keamanan tambahan.

Langkah selanjutnya

Mengamankan NetApp Volumes dengan perimeter layanan.