使用“seal”和“sec=ntlmssp”时 mount.cifs (SMB) 是否安全？

我正在使用csi-driver-smbKubernetes 的驱动程序来挂载 SMB 卷。一切运行良好，但现在我看到默认安全模式是sec=ntlmssp。从我在网上看到的内容来看，我担心这是不安全的。

我也使用这个seal选项，哪个

Request encryption at the SMB layer. The encryption algorithm used is AES-128-CCM. Requires SMB3 or above (see vers).

但是 NTLMSSP 也加密了吗？或者这发生在 SMB 协议启动之前？

替代方案似乎是使用 Kerberos。我不熟悉 Kerberos，但看起来机器必须加入域？那不是一个选项，卷只能使用用户名/密码安装。