NAS-Filesystem-Auditing
NAS-Dateisysteme nehmen in der heutigen Bedrohungslandschaft einen größeren Platz ein, Audit-Funktionen sind für die Transparenz von entscheidender Bedeutung.
Sicherheit erfordert Validierung. ONTAP 9 bietet mehr Auditing-Ereignisse und Details in der gesamten Lösung. Da NAS-Dateisysteme in der heutigen Bedrohungslandschaft einen größeren Platz einnehmen, sind Audit-Funktionen für die Transparenz von entscheidender Bedeutung. Dank der verbesserten Audit-Funktion von ONTAP 9 sind CIFS-Audit-Details zahlreicher als je zuvor. Wichtige Details, einschließlich folgender, werden mit erstellten Ereignissen protokolliert:
-
Datei-, Ordner- und Freigabezugriff
-
Erstellte, bearbeitete oder gelöschte Dateien
-
Erfolgreicher Lesezugriff auf die Datei
-
Fehlgeschlagene Versuche, Dateien zu lesen oder zu schreiben
-
Geänderte Ordnerrechte
Erstellen Sie eine Überwachungskonfiguration
Sie müssen CIFS-Überwachung aktivieren, um Auditing-Ereignisse zu generieren. Erstellen Sie mit dem vserver audit create
Befehl eine Überwachungskonfiguration. Standardmäßig verwendet das Audit-Protokoll eine auf Größe basierende Rotationsmethode. Sie können eine zeitbasierte Rotationsoption verwenden, wenn sie im Feld Rotationsparameter angegeben ist. Weitere Konfigurationsdetails für die Protokollaudit-Rotation sind der Rotationszeitplan, die Rotationsgrenzen, die Rotationstage der Woche und die Rotationsgröße. Der folgende Text enthält eine Beispielkonfiguration, die eine Überwachungskonfiguration mit einer monatlichen, zeitbasierten Rotation darstellt, die für alle Wochentage um 12:30 Uhr geplant ist.
cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
CIFS-Audit-Ereignisse
CIFS-Audit-Ereignisse sind wie folgt:
-
Dateifreigabe: Erzeugt ein Audit-Ereignis, wenn eine CIFS-Netzwerkfreigabe mit den zugehörigen Befehlen hinzugefügt, geändert oder gelöscht wird
vserver cifs share
. -
Änderung der Überwachungsrichtlinie: Erzeugt ein Audit-Ereignis, wenn die Überwachungsrichtlinie mit den zugehörigen Befehlen deaktiviert, aktiviert oder geändert wird
vserver audit
. -
Benutzerkonto: Erzeugt ein Audit-Ereignis, wenn ein lokaler CIFS- oder UNIX-Benutzer erstellt oder gelöscht wird; ein lokales Benutzerkonto aktiviert, deaktiviert oder geändert wird; oder ein Passwort zurückgesetzt oder geändert wird. Dieses Ereignis verwendet den
vserver cifs users-and-groups local-group
Befehl oder den entsprechendenvserver services name-service unix-user
Befehl. -
Sicherheitsgruppe: Erzeugt ein Auditereignis, wenn eine lokale CIFS- oder UNIX-Sicherheitsgruppe mit dem Befehl oder dem entsprechenden Befehl erstellt oder gelöscht wird
vserver cifs users-and-groups local-group
vserver services name-service unix-group
. -
Änderung der Autorisierungsrichtlinie: Erzeugt ein Auditereignis, wenn Rechte für einen CIFS-Benutzer oder eine CIFS-Gruppe mit dem Befehl gewährt oder aufgehoben werden
vserver cifs users-and-groups privilege
.
Diese Funktion basiert auf der Systemaudit-Funktion, mit der ein Administrator aus Sicht eines Datenbenutzers überprüfen kann, was das System erlaubt und was es ausführt. |
Auswirkungen von REST-APIs auf NAS-Auditing
ONTAP bietet Administratorkonten die Möglichkeit, über REST-APIs auf SMB/CIFS- oder NFS-Dateien zuzugreifen und diese zu bearbeiten. Obwohl REST-APIs nur von ONTAP Administratoren ausgeführt werden können, umgehen REST-API-Befehle das NAS-Revisionsprotokoll des Systems. Darüber hinaus können Dateiberechtigungen von ONTAP-Administratoren bei Verwendung von REST-APIs ignoriert werden. Die Aktionen des Administrators mit REST-APIs für Dateien werden jedoch im Verlaufsprotokoll des Systembefehls erfasst.
REST-API-Rolle ohne Zugriff erstellen
Sie können verhindern, dass ONTAP-Administratoren REST-APIs für den Dateizugriff verwenden, indem Sie eine REST-API-Rolle erstellen, die über REST keinen Zugriff auf ONTAP Volumes hat. Führen Sie die folgenden Schritte aus, um diese Rolle bereitzustellen.
-
Erstellen einer neuen REST-Rolle, die keinen Zugriff auf Storage-Volumes hat, aber über alle anderen REST-API-Zugriff verfügt
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
-
Weisen Sie das Administratorkonto der neuen REST-API-Rolle zu, die Sie im vorherigen Schritt erstellt haben.
cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
Wenn Sie verhindern möchten, dass das integrierte ONTAP-Cluster-Administratorkonto REST-APIs für den Dateizugriff verwendet, müssen Sie zuerst "Erstellen Sie ein neues Administratorkonto, und deaktivieren oder löschen Sie das integrierte Konto". |