Qumulo renforce la sécurité des données avec des améliorations NFSv4.1, y compris l'authentification basée sur Kerberos et un verrouillage de fichier amélioré

Les données augmentent à un rythme sans précédent. En 2018, IDC a prédit que la quantité de nouvelles données capturées, créées et répliquées au cours d'une année donnée passerait de 33 zettaoctets en 2018 à 175 zettaoctets d'ici 2025.1 Leur dernière prédiction prévoit que ce montant fera plus que doubler d'ici 2026.

Cette avalanche de données crée non seulement des opportunités, mais aussi des menaces. En fait, les cybermenaces sont sensiblement plus fréquentes aujourd'hui, 93 % des organisations souffrant d'interruptions d'activité liées aux données à la suite d'attaques au cours des 12 derniers mois. Vous pouvez parier que la sécurité des données sera une priorité pour votre organisation, car elle dépend de plus en plus des données qu'elle crée et stocke. 

Qumulo s'engage à vous garder en avance sur les menaces imminentes. Avec la dernière version de Qumulo Core, nous avons abordé deux aspects critiques de la sécurité des données à grande échelle : 1.) savoir exactement qui accède à votre système de stockage de données et 2.) contrôler les données auxquelles certains utilisateurs sont autorisés à accéder et à modifier.

Accès sécurisé aux fichiers pour n'importe qui de n'importe où

À mesure que la complexité des environnements de données augmente, les applications, les appareils et les utilisateurs doivent accéder aux données des fichiers de différentes manières, tout en maintenant le niveau de sécurité le plus élevé. Les clients de Qumulo ont bénéficié d'une authentification forte et d'un contrôle d'accès via SMB. NFSv3 donne accès à un pool commun de données via un protocole couramment utilisé par les systèmes d'exploitation Linux, mais ne dispose pas du mécanisme d'authentification solide de SMB. Depuis l'extension de notre prise en charge multiprotocole pour inclure NFSv4.1 en 2021, nous avons construit notre pile de protocoles à partir de zéro en nous concentrant sur la simplicité, l'efficacité et la sécurité. 

Les dernières versions de Qumulo Core améliorent la sécurité des données pour les charges de travail NFSv4.1 avec la prise en charge de l'authentification via Kerberos, un contrôle amélioré du verrouillage des fichiers et une gestion plus intuitive des autorisations de données basée sur ACL pour les environnements multiprotocoles. Désormais, tout utilisateur peut bénéficier d'un accès supérieur aux données de fichiers via plusieurs protocoles, tout en maintenant les normes de sécurité et de contrôle les plus élevées. 

Authentification via Kerberos

Qumulo offre désormais une authentification forte basée sur Kerberos pour les clients NFSv4, qui présente des avantages de sécurité significatifs par rapport à NFSv3. Dans NFSv3, les utilisateurs peuvent se faire passer pour n'importe quel utilisateur de leur choix avec un accès root à leur ordinateur client. Kerberos résout ce problème en utilisant un système de clé et de ticket pour authentifier en toute sécurité les utilisateurs de Microsoft Active Directory, éliminant efficacement le problème des utilisateurs avertis qui pourraient usurper l'identité d'un autre utilisateur pour accéder aux données via NFSv3. 

Améliorations de la liste de contrôle d'accès

La dernière version de Qumulo Core comprend également un éditeur ACL plus rationalisé, fournissant des informations plus conviviales pour identifier les utilisateurs et les groupes. Cette amélioration vous permet de voir et d'exploiter les noms d'utilisateurs et de groupes AD/LDAP, plutôt que de passer par un processus compliqué et sujet aux erreurs de suivi et d'utilisation des chaînes UID et GID lors de la gestion des paramètres de propriétaire/fiduciaire/accès aux fichiers. Les ACL NFSv4.1 de Qumulo interagissent proprement dans un environnement multiprotocole. Les ACL qu'ils manipulent sur NFSv4.1 peuvent être configurées, en utilisant soit le standard Linux nfs-acl-outils depuis n'importe quel client NFSv4, ou directement depuis la CLI Qumulo, pour correspondre aux ACL Windows NTFS côté SMB, et vice-versa.

Le tableau ci-dessous montre un exemple de la façon dont les autorisations peuvent être configurées pour correspondre à la fois à NFSv4 et SMB, en utilisant le même groupe AD (Tout le monde) pour accorder un accès correspondant (Lecture/Exécution) au même fichier (myfile.ext) sur le cluster Qumulo .

 

Permissions Commande NFSv4.1 Commande CLI Qumulo Commande ACL NTFS (SMB)
Ajoutez les autorisations de lecture et d'exécution au fichier myfile.ext nfs4_setfacl -a "A::EVERYONE@:rtRx" monfichier.ext qq fs_modify_acl –-path /myfile.ext add_entry -y Autorisé -t "TOUT LE MONDE" -r Exécuter/Traverser, Lire icacls \monfichier.ext /grant TOUT LE MONDE:RX

 

La combinaison d'un contrôle ACL précis avec l'authentification basée sur Kerberos vous permet de garantir que seuls les utilisateurs autorisés peuvent accéder à certains ensembles de données et de limiter les utilisateurs à des répertoires spécifiques sur le système de fichiers. Ceci est particulièrement critique pour les organisations disposant de données hautement sensibles qui cherchent à :

1 : Consolidez les données dans de grands pools partagés, tout en maintenant un contrôle granulaire pour les différents niveaux d'accès des utilisateurs.

2 : Maintenir un niveau standard de sécurité et de connaissance des données pour la conformité réglementaire

3 : Activer un accès aux données plus sécurisé pour une large base d'utilisateurs Linux/POSIX sur NFSv4.1

Prise en charge de la gestion des serrures

La dernière version inclut également une meilleure gestion des verrous pour l'accès aux fichiers. Lorsqu'un client accède aux fichiers, ils sont placés dans un état verrouillé pour s'assurer que les autres clients ne sont pas en mesure d'écrire des données dans le fichier, ce qui évite les problèmes potentiels de corruption ou de conflit de version. NFSv3 avait des problèmes connus avec des sessions orphelines laissant des fichiers verrouillés, et les administrateurs devaient exécuter un processus pour libérer les verrous de temps en temps. NFS v4.1 fournit un contrôle de verrouillage supérieur et des délais d'attente pour libérer les fichiers verrouillés après un certain intervalle d'inactivité. 

De plus, notre protocole NFSv4.1 a été construit à partir de zéro dans Rust, ce qui nous permet de fournir le plus haut niveau d'intégration et d'interopérabilité avec nos protocoles existants. Cela garantit que les meilleures performances possibles restent cohérentes avec chaque nœud ajouté à mesure que vous évoluez. Cela nous permet également de fournir plus fréquemment des améliorations constantes et incrémentielles à votre système de fichiers, afin de garantir que tout utilisateur, appareil ou application de l'organisation puisse toujours tirer pleinement parti de vos données tout en les gardant en sécurité. 

Accéder au centre de confiance Qumulo

Protégez votre stockage de données de fichiers contre les ransomwares avec une sécurité holistique

Comment utiliser les contrôles de sécurité intégrés de Qumulo pour la protection des données

Partager cette publication