Refuerzo de la bóveda cibernética
Estas son las recomendaciones adicionales para fortalecer una bóveda cibernética de ONTAP . Consulte la guía de endurecimiento de ONTAP a continuación para obtener más recomendaciones y procedimientos.
Recomendaciones para reforzar las bóvedas cibernéticas
-
Aislar los planos de gestión de la bóveda cibernética
-
No habilite los LIF de datos en el clúster de destino, ya que son un vector de ataque adicional
-
En el clúster de destino, limite el acceso LIF entre clústeres al clúster de origen con una política de servicio
-
Segmente el LIF de administración en el clúster de destino para un acceso limitado con una política de servicio y un host bastión
-
Restrinja todo el tráfico de datos desde el clúster de origen a la bóveda cibernética para permitir solo los puertos necesarios para el tráfico de SnapMirror
-
Siempre que sea posible, deshabilite cualquier método de acceso de administración innecesario dentro de ONTAP para disminuir la superficie de ataque.
-
Habilitar el registro de auditoría y el almacenamiento de registros remotos
-
Habilite la verificación de múltiples administradores y requiera la verificación de un administrador externo a sus administradores de almacenamiento habituales (por ejemplo, personal de CISO)
-
Implementar controles de acceso basados en roles
-
Requerir autenticación administrativa multifactor para System Manager y ssh
-
Utilice autenticación basada en token para scripts y llamadas API REST
Por favor consulte la"Guía de endurecimiento de ONTAP" ,"Descripción general de la verificación de múltiples administradores" y"Guía de autenticación multifactor de ONTAP" para saber cómo llevar a cabo estos pasos de endurecimiento.