Avec NFSv4.1, les clients Qumulo pourront déléguer un contrôle précis des autorisations aux utilisateurs finaux, améliorant ainsi l'expérience en termes d'évolutivité, d'interopérabilité, de sécurité et de facilité de gestion.

En 2021, la sécurité et la confidentialité des données sont les principales préoccupations, en particulier dans les services d'information financière (FIS), les sciences de la vie et l'enseignement supérieur. Les administrateurs de stockage de ces entreprises sont de plus en plus préoccupés par :

  1. Savoir exactement qui accède à votre système de stockage de données
  2. Contrôler les données auxquelles ils sont autorisés à accéder et à modifier

Qu'est-ce que le protocole NFS (Network File System) ?

Le protocole NFS a été inventé dans les années 1980 pour résoudre le problème de fournir une expérience de système de fichiers local aux utilisateurs de données de fichiers qui étaient en fait stockées à distance sur le réseau. Le protocole fournit une spécification pour les appels de procédure à distance (RPC) qui imitent les mêmes API de système de fichiers internes utilisées dans les applications basées sur des fichiers - comme lire des données, écrire des données, rechercher un répertoire, définir des autorisations, etc. Systèmes d'exploitation comme Unix, Solaris, BSD , et les distributions basées sur Linux telles que Ubuntu, RedHat, CentOS, Fedora et Debian sont toutes livrées avec un client NFS intégré permettant à ces systèmes de se connecter et de présenter un point de montage aux utilisateurs et aux applications sans avoir besoin d'installer des pilotes personnalisés ou un fournisseur -un logiciel spécifique.

Qu'est-ce que NFSv4.1 ?

Historiquement, Qumulo n'a pris en charge que la version 3 du protocole NFS. Bien que nous fournissions actuellement une authentification forte et un contrôle d'accès via SMB aux utilisateurs Windows et Mac, NFSv3 manque de mécanismes d'authentification forte pour les utilisateurs Linux/POSIX, et aucune possibilité d'utiliser directement des autorisations à granularité fine via des ACL (listes de contrôle d'accès) de type Windows.

L'histoire change avec NFSv4.1. La version du protocole NFS est capable de prendre en charge de solides mécanismes d'authentification cryptographique via Kerberos, ainsi que la défense contre les attaques de l'homme du milieu et le chiffrement sur le fil. NFSv4.1 fournit également une méthode pour afficher et modifier les ACL de type Windows pour un contrôle précis des autorisations sur les fichiers et les répertoires. Cela signifie que les responsables informatiques peuvent déléguer le contrôle d'accès aux données à un propriétaire de projet/utilisateur final afin que le propriétaire de projet puisse accorder un accès à des individus spécifiques. Les données ne sont accessibles qu'aux collaborateurs qui sont ajoutés à l'ACL par le propriétaire du projet/l'utilisateur final.

A l'inverse, la manière traditionnelle de le faire via POSIX NFSv3 est plus complexe. Pour ajouter un nouvel utilisateur, le responsable informatique doit identifier tous les membres d'un groupe qui souhaitent partager des données. Ils doivent ensuite créer et gérer le groupe dans leur service d'annuaire (c'est-à-dire LDAP). Cela crée un goulot d'étranglement pour la collaboration. Cela crée également un cauchemar de gestion car le nombre de permutations différentes d'utilisateurs qui doivent collaborer augmente avec le temps. NFSv4.1 résout ce problème pour le service informatique, le propriétaire du projet et les utilisateurs finaux.

Comment aider à résoudre le problème d'accès sécurisé aux données de fichiers et de collaboration pour les clients

Pour aider les clients à simplifier et à sécuriser la collaboration de données entre des groupes d'utilisateurs larges et diversifiés, Qumulo a construit une toute nouvelle pile de protocoles NFSv4.1 pour prendre en charge les charges de travail et les clients qui ont besoin d'une sécurité plus forte que celle actuellement fournie par NFSv3. Qumulo prend en charge Protocole du système de fichiers réseau version 4.1 dans la dernière version de Noyau Qumulo®. La prise en charge de NFSv4.1 est incluse dans Qumulo Core version 4.3.0 sans frais supplémentaires.

« Le principal avantage qu'apporte Qumulo dans notre prise en charge de cette nouvelle version de NFS - comme tous nos protocoles d'accès aux fichiers - est qu'elle est intégrée à Qumulo Core, notre logiciel, ce qui signifie qu'elle est optimisée pour les performances, la fiabilité et la sécurité de à la base, évolue de manière linéaire à mesure que les clients étendent leurs systèmes et fonctionne de manière uniforme, quel que soit l'endroit où les clients déploient Qumulo », a déclaré Ben Gitenstein, vice-président des produits chez Qumulo.

La gestion des autorisations entre les protocoles dans un seul espace de noms peut être difficile, en particulier lorsqu'une modification apportée à un protocole n'est pas automatiquement répliquée sur les autres. Qumulo offre la prise en charge des autorisations interprotocoles (XPP) pour gérer automatiquement les autorisations complexes entre les protocoles. NFSv4.1 prend en charge XPP prêt à l'emploi, éliminant la complexité de la gestion de plusieurs contextes de sécurité sur NFSv4.1 en plus de SMB, NFSv3 et de nos autres protocoles pris en charge. Cela permet aux clients de réunir des groupes de travail afin que tout utilisateur puisse travailler sur n'importe quel fichier à partir de n'importe quelle plate-forme sans conserver les autorisations de fichier.

« Nos clients doivent servir toutes leurs charges de travail de fichiers à partir d'un espace de noms et d'une expérience de gestion simple », explique Gitenstein. « De plus en plus, ces organisations ont adopté NFSv4.1 afin de tirer parti de sa sécurité plus robuste, de ses meilleures performances sur des réseaux dispersés comme le cloud et d'une gestion plus simple. C'est pourquoi nous avons apporté NFSv4.1 à Qumulo Core.

Pour en savoir plus sur XPP, y compris « qu'est-ce qu'une liste de contrôle d'accès ? » lire: Gestion des flux de travail d'accès aux données de fichiers multi-protocoles avec des autorisations inter-protocoles par Jacqueline Kong, ingénieur logiciel et membre du personnel technique de Qumulo.

Collaborez avec un accès transparent aux fichiers de vos données sur les applications Linux, Windows et Mac

Les clients du cloud Qumulo peuvent immédiatement profiter de NFSv4.1 sur n'importe laquelle de leurs charges de travail dans AWS, Google Cloud ou Microsoft Azure. NFSv4.1 est idéal pour les environnements cloud avec des complexités supplémentaires de groupes de sécurité réseau, des équilibreurs de charge et une latence plus élevée. NFSv4.1 n'utilise qu'un seul port réseau, contre 3-5 pour NFSv3, simplifiant la configuration du réseau cloud. Le protocole regroupe également davantage de travaux en une seule requête, ce qui contribue au débit de transfert de données sur les liaisons à latence élevée.

L'évolutivité supérieure de Qumulo signifie que Qumulo Core 4.3 et versions ultérieures avec la prise en charge de NFSv4.1 permet la création du plus grand espace de noms de fichiers multi-protocoles possible pour le stockage actif par rapport à n'importe quelle plate-forme concurrente ou à n'importe quelle offre de fournisseur de services cloud (CSP).

« L'architecture système simple et directe de Qumulo le rend très bien adapté pour nous », a déclaré Clint Miller, directeur de la technologie d'Igniter Media. « Nous avons une petite équipe, donc la facilité d'utilisation est importante et fait gagner un temps précieux. Nous préférons de loin garder nos opérations fluides et simples.

Par rapport à NFSv3, le protocole NFSv4.1 offre une porte plus sécurisée pour l'interaction et l'accès aux données. Pour le rendre encore plus sécurisé et performant, nous avons construit le protocole à partir de zéro, dans le langage de programmation Rust, en tant que fonctionnalité de notre NAS distribué et évolutif. Nous avons dû le faire principalement parce que NFSv4.1 est un protocole avec état, et prendre une implémentation standard et essayer de la coller à notre système entraînerait un problème chaque fois que nous échouions sur un nœud ou que nous essayions d'implémenter le verrouillage sur un système distribué sans partage.

Rust, par rapport à C, fournit également certaines garanties de sécurité de la mémoire en obligeant nos programmeurs à faire attention à la façon dont la mémoire est partagée et accessible entre les différentes parties du système. Cela permet aux ingénieurs de Qumulo de fournir rapidement du code avec une grande confiance en l'exactitude et la sécurité de la mémoire, ce qui signifie que vos données sont plus sûres sur un système Qumulo que sur d'autres.

De plus, en implémentant NFSv4 dans Qumulo Core au niveau du code, nous évitons les abstractions désordonnées qui ajoutent une surcharge de traitement, une commutation de contexte de noyau et une copie de données importantes. Ces inefficacités sont inévitables lorsque vous placez simplement une implémentation de protocole tiers devant un système de stockage, et presque impossibles à optimiser.

Enfin, l'avantage de Qumulo ayant sa propre implémentation par rapport à celle d'un tiers signifie que nous ne sommes pas sensibles aux problèmes de sécurité graves dans les implémentations open source ou autres qui nécessitent un exercice d'incendie pour être corrigés. Cela offre une tranquillité d'esprit lorsque des CVE majeures sont divulguées.

Ce sont vos données. Accédez-y comme vous le souhaitez.

Nos clients n'ont pas à se soucier de savoir si une application est dans le cloud, sur site ou une application héritée - les utilisateurs peuvent accéder au système de fichiers Qumulo par n'importe quel nombre de portes pour obtenir les données dont ils ont besoin pour la collaboration, y compris SMB, HTTP, REST, NFS3 et, maintenant, NFSv4.1.

NVSv4.1 est livré en standard avec un abonnement logiciel Qumulo et des versions logicielles incrémentielles sont disponibles pour les clients toutes les deux semaines. Le cycle de publication d'innovation continue/livraison continue (CI/CD) de Qumulo garantit que les clients n'ont pas à attendre de nouvelles fonctionnalités. Le protocole NFSv4.1 prendra en charge toutes les fonctionnalités disponibles sur l'implémentation NFSv3 de Qumulo, ainsi que les ACL et l'authentification du protocole réseau Kerberos.

Testez gratuitement Qumulo

Testez gratuitement Qumulo

Explorez un environnement Qumulo entièrement fonctionnel, directement dans votre navigateur.

Try Demo