無論是本地端還是公有雲上的IT環境,任何像是檔案儲存服務這類以「共享」存取為目的的應用,無可避免地,也帶來了非授權存取與資料外洩的風險。

於是為了因應這些風險,共享儲存區的存取行為管制、用戶端身分識別與權限的管理,以及資料的加密,也成為檔案共享存取服務的管理中,不可或缺的一環。

檔案儲存服務層級的獨立控管機制

與應用在本地端的NAS產品相似,公有雲服務商為其檔案儲存服務提供的存取權限管理功能,大致包括儲存區的網路連接管理,以及用戶端身分識別與存取管理(Identity and Access Management,IAM)等兩大類,有些服務商還會為共享檔案儲存區供獨立的防火牆設定功能。

必須注意的是,一些公有雲服務,商是以涵蓋整個用戶雲端環境的存取管制功能,來管理檔案儲存服務的存取,因此沒有在檔案儲存服務這一層級中,提供太多獨立的存取管理功能。

在儲存資料加密功能方面,所有公有雲檔案儲存服務,基本上都支援靜態加密(Encryption at rest),多數也能支援傳輸中加密(Encryption in transit),有些服務商還提供金鑰管理服務(Key Management Service,KMS)。

AWS支援多樣化存取管制功能

AWS為EFS提供了VPC安全群組規則、 身分識別與存取管理政策(IAM),以及EFS存取點(Access Point)等幾種存取權限管理方式。

其中的VPC安全群組規則,用於管理用戶虛擬私人網路(VPC)與EFS檔案系統間的網路連接,IAM政策用於設定用戶端的存取權限,而EFS存取點則用於應用程式存取EFS檔案系統的管理。

在加密功能方面,EFS提供了靜態加密與傳輸中加密,前者用於加密EFS儲存區中的靜態資料,後者用於執行個體與EFS磁碟區之間傳輸資料時的加密。

AWS還另外提供了金鑰管理服務(KMS),可簡化用戶管理加密金鑰的麻煩。

Azure 提供基於AD的存取管制

Azure是透過Active Directory Domain Services (AD DS),以及Azure Active Directory Domain Services(Azure AD DS)兩種網域服務,來為File Storage檔案儲存服務提供用戶端身分識別,以及存取權限管理。

另外File Storage也支援Azure儲存體的防火牆功能,以便獨立控管共享儲存區的網路連接與傳輸流量。

在加密功能方面,Azure File Storage同時支援靜態加密與傳輸中加密,Azure也提供金鑰管理服務。

Google Cloud提供多樣化存取管制

Google Cloud提供了幾種Filestore的存取管制功能,包括共享儲存區匯出的網路IP位址連接控制、Filestore儲存區的共享設定權限,以及用戶端的身分識別與存取管理(IAM)權限等。

若用戶使用Google Cloud預設的虛擬私人網路(VPC)相關設定,那麼將無須另外對Filestore設定防火牆規則,不過在必要時(如用戶的VPC有自身的設定,或是應用程式透過NFS鎖定來存取共享儲存區),那麼也能獨立為Filestore設定防火牆規則,以便對共享儲存區的網路傳輸作進一步控管。

在加密功能方面,Filestore的資料儲存與傳輸,分別是基於靜態加密與傳輸中加密,存放在持久儲存裝置上的資料都是加密的,資料傳輸到共享儲存區之外的傳輸過程中,也自動進行加密。當刪除Filestore的執行個體時,系統會丟棄金鑰,因而也不可能恢復被刪除的資料。

IBM Cloud支援基本存取管制與加密

IBM Cloud在File Storage服務中,提供的存取控制功能相對較為簡單,用戶可以設定授權,只允許指定的用戶端主機,存取File Storage共享儲存區。

而在加密功能方面,目前IBM只在File Storage上提供靜態加密。

Oracle Cloud擁有多層次存取管制架構

Oracle Cloud Infrastructure(OCI)為File Storage服務,提供相當完整的存取管制功能,一共包括4個層級:

● Oracle Cloud Infrastructure政策:針對用戶在整個Oracle Cloud環境內的存取政策,如建立虛擬雲端網路(VCN)安全規則、File Storage的檔案系統掛載與匯出目標清單等。

● 網路安全清單:透過VCN安全規則設定用戶端網路位址安全存取清單,只允許授權的用戶端連接共享儲存區。

● NFS v3 Unix安全模式:對個別使用者執行掛載、存取與其他作業的權限控制。

● NFS匯出控制:將存取控制規則,套用到上述網路安全清單與NFS v3安全模式,對每個檔案系統的匯出建立存取控制,還可藉此建立多租戶環境下的存取控制,隔離多個用戶端的檔案存取。

而在加密功能方面,OCI的File Storage支援靜態加密,以及傳輸中加密,並能透過Oracle Cloud Infrastructure Vault提供金鑰管理服務。

阿里雲提供多層次存取管制機制

與其他服務商的檔案儲存服務相比,阿里雲NAS File Storage由於同時支援了NFS與SMB兩種共享檔案存取環境,因而存取管制功能也比較複雜。

最基本的存取管制功能,是基於權限群組(Permission Group)提供的存取白名單設定,以及透過資源存取管理(Resource Access Management,RAM)政策設定的檔案系統操作與存取權限。針對SMB協定的連接,阿里雲提供了SMB存取控制清單(SMB ACL),以及藉由AD網域提供的用戶身分識別與存取控制等兩種功能;針對NFS協定的連接,則提供了基於POSIX與NFS v4的存取控制清單(ACL)功能。

而在加密功能方面,目前阿里雲NAS File Storage只提供靜態加密。

 相關報導  透視公有雲檔案儲存服務


Advertisement

更多 iThome相關內容