Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo puede cifrar los datos en tránsito para los recursos compartidos de archivos de Azure NFS.
Importante
- El cifrado en tránsito para recursos compartidos de archivos de Azure NFS v4.1 se encuentra actualmente en versión preliminar.
- Consulte los Términos de uso de la versión preliminar | Microsoft Azure.
Los volúmenes NFS v4.1 de Azure Files mejoran la seguridad de red al habilitar conexiones TLS seguras, protegiendo los datos en tránsito frente a la interceptación, incluidos los ataques MITM.
Con Stunnel, un contenedor TLS de código abierto, Azure Files cifra la secuencia TCP entre el cliente NFS y Azure Files con cifrado seguro mediante AES-GCM, sin necesidad de Kerberos. Esto garantiza la confidencialidad de los datos al eliminar la necesidad de configuraciones complejas o sistemas de autenticación externos, como Active Directory.
El paquete de la utilidad AZNFS simplifica los montajes cifrados mediante la instalación y configuración de Stunnel en el cliente. Disponible en packages.microsoft.com, AZNFS crea un punto de conexión seguro local que reenvía de forma transparente las solicitudes de cliente NFS a través de una conexión cifrada. Los componentes clave de la arquitectura incluyen:
AZNFS Mount Helper: un paquete de utilidad de cliente que abstrae la complejidad de establecer túneles seguros para el tráfico NFSv4.1.
Proceso de Stunnel: proceso de cliente por cuenta de almacenamiento que escucha el tráfico del cliente NFS en un puerto local y lo reenvía de forma segura a través de TLS al servidor NFS de Azure Files.
AZNFS watchdog: el paquete AZNFS ejecuta un trabajo en segundo plano que garantiza que los procesos de Stunnel se están ejecutando, reinicia automáticamente los túneles terminados y limpia los procesos no utilizados después de que se desmonten todos los montajes NFS asociados.
Regiones soportadas
Todas las regiones que admiten Azure Premium Files ahora admiten el cifrado en tránsito.
Regístrate para la versión preliminar
Para habilitar el cifrado en tránsito para los recursos compartidos NFS, debe registrarse para la característica de versión preliminar.
Para registrarse en Azure Portal, busque "Cifrado en tránsito para recursos compartidos de archivos NFS de Azure" en Características de versión preliminar.
Para más información, consulte Configuración de características en versión preliminar en la suscripción de Azure.
Exigir el cifrado en tránsito
Al habilitar la opción Transferencia segura necesaria en la cuenta de almacenamiento, puede asegurarse de que todos los montajes en los volúmenes NFS de la cuenta de almacenamiento estén cifrados.
Sin embargo, para los usuarios que prefieren mantener la flexibilidad entre las conexiones TLS y no TLS en la misma cuenta de almacenamiento, la configuración de transferencia segura debe permanecer desactivada.
Cifrado de datos en tránsito para recursos compartidos NFS (versión preliminar)
Siga estos pasos para cifrar los datos en tránsito:
- Asegúrese de que el paquete auxiliar de montaje de AZNFS necesario está instalado en el cliente.
- Monte la compartición de archivos NFS con cifrado TLS.
- Compruebe que el cifrado de datos se realizó correctamente.
Paso 1: Comprobación de la instalación del paquete auxiliar de montaje AZNFS
Para comprobar si el paquete auxiliar de montaje de AZNFS está instalado en el cliente, ejecute el siguiente comando:
systemctl is-active --quiet aznfswatchdog && echo -e "\nAZNFS mounthelper is installed! \n"
Si el paquete está instalado, verá el mensaje AZNFS mounthelper is installed!. Si no está instalado, deberá usar el comando adecuado para instalar el paquete auxiliar de montaje AZNFS en el cliente.
curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/$VERSION_ID")/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
sudo apt-get update
sudo apt-get install aznfs
Importante
Las distribuciones de Linux compatibles con AZNFS son:
- Ubuntu (18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS)
- Centos7, Centos8
- RedHat7, RedHat8, RedHat9
- Rocky8, Rocky9
- SUSE (SLES 15)
- Oracle Linux
- Alma Linux
Paso 2: Montaje de un recurso compartido de archivos de Azure NFS
Para montar el recurso compartido de archivos NFS con el cifrado TLS:
- Cree un directorio en el cliente.
sudo mkdir -p /mount/<storage-account-name>/<share-name>
- Monte el recurso compartido de SMB mediante el código siguiente. Reemplace
<storage-account-name>por el nombre de la cuenta de almacenamiento y reemplace<share-name>por el nombre del recurso compartido de archivos.
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4
Para montar el recurso compartido NFS sin cifrado TLS:
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4,notls
Para que el recurso compartido se monte automáticamente al reiniciar, cree una entrada en el /etc/fstab archivo agregando la siguiente línea:
<storage-account-name>.file.core.windows.net:/<storage-account-name>/<container-name> /nfsdata aznfs defaults,sec=sys,vers=4.1,nolock,proto=tcp,nofail,_netdev 0 2
Nota:
Antes de ejecutar el comando mount, asegúrese de que la variable de entorno AZURE_ENDPOINT_OVERRIDE está establecida. Esto es necesario al montar recursos compartidos de archivos en regiones de nube de Azure no públicas o cuando se usan configuraciones DNS personalizadas.
Por ejemplo, para Azure China Cloud: export AZURE_ENDPOINT_OVERRIDE="chinacloudapi.cn"
Paso 3: Comprobar que el cifrado de datos en tránsito se realizó correctamente
Ejecute el comando df -Th.
Indica que el cliente está conectado a través del puerto local 127.0.0.1, no a una red externa. El proceso de stunnel escucha en 127.0.0.1 (localhost) para el tráfico NFS entrante desde el cliente NFS. A continuación, Stunnel intercepta este tráfico y lo reenvía de forma segura a través de TLS al servidor NFS de Azure Files en Azure.
Para comprobar si el tráfico al servidor NFS está cifrado, use el tcpdump comando para capturar paquetes en el puerto 2049.
sudo tcpdump -i any port 2049 -w nfs_traffic.pcap
Al abrir la captura en Wireshark, la carga aparecerá como "Datos de aplicación" en lugar de texto legible.
Nota:
Todo el tráfico de una máquina virtual al mismo punto de conexión del servidor usa una sola conexión. El asistente de montaje de AZNFS garantiza que no se pueden combinar configuraciones TLS y no TLS al montar recursos compartidos en ese servidor. Esta regla se aplica a los recursos compartidos de la misma cuenta de almacenamiento y diferentes cuentas de almacenamiento que se resuelven en la misma dirección IP.
Solución de problemas
Es posible que se produzca un error en una operación de montaje que no sea TLS (notls) si se finalizó un montaje cifrado de TLS anterior en el mismo servidor antes de completarse correctamente. Aunque el servicio aznfswatchdog limpia automáticamente las entradas obsoletas después de un tiempo de espera, se puede producir un error al intentar un nuevo montaje que no sea TLS antes de que se complete la limpieza.
Para resolver este problema, vuelva a montar el recurso compartido mediante la opción clean, que borra inmediatamente las entradas obsoletas:
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4,notls,clean
Si continúan los problemas de montaje, compruebe los archivos de registro para obtener más detalles de solución de problemas:
-
de registros auxiliares de montaje y guardián:
/opt/microsoft/aznfs/data/aznfs.log -
Registros de Stunnel:
/etc/stunnel/microsoft/aznfs/nfsv4_fileShare/logs