Descripción general de autorización dinámica
Sugerir cambios
PDF
A partir de ONTAP 9.15.1, los administradores pueden configurar y habilitar la autorización dinámica para aumentar la seguridad del acceso remoto a ONTAP al tiempo que se mitigan los daños potenciales que podría causar un agente malintencionado. Con ONTAP 9.15.1, la autorización dinámica proporciona un marco inicial para asignar una puntuación de seguridad a los usuarios y, si su actividad parece sospechosa, desafiarlos con comprobaciones de autorización adicionales o denegar una operación por completo. Los administradores pueden crear reglas, asignar puntuaciones de confianza y restringir comandos para determinar cuándo se permite o se deniega cierta actividad para un usuario. Los administradores pueden activar la autorización dinámica en todo el clúster o para máquinas virtuales de almacenamiento individuales.
Cómo funciona la autorización dinámica
La autorización dinámica utiliza un sistema de puntuación de confianza para asignar a los usuarios un nivel de confianza diferente en función de las políticas de autorización. Según el nivel de confianza del usuario, se puede permitir o denegar una actividad que realice, o se puede solicitar al usuario que realice una autenticación adicional.
Consulte "Personalizar la autorización dinámica"para obtener más información sobre cómo configurar ponderaciones de puntuación de criterios y otros atributos de autorización dinámica.
Dispositivos de confianza
Cuando se utiliza la autorización dinámica, la definición de un dispositivo de confianza es un dispositivo utilizado por un usuario para iniciar sesión en ONTAP mediante la autenticación de clave pública como uno de los métodos de autenticación. El dispositivo es de confianza porque solo ese usuario posee la clave privada correspondiente.
Ejemplo de autorización dinámica
Tome el ejemplo de tres usuarios diferentes que intentan eliminar un volumen. Cuando intentan realizar la operación, se examina la clasificación de riesgo de cada usuario:
-
El primer usuario inicia sesión desde un dispositivo de confianza con muy pocos fallos de autenticación anteriores, lo que hace que su calificación de riesgo sea baja; la operación se permite sin autenticación adicional.
-
El segundo usuario inicia sesión desde un dispositivo de confianza con un porcentaje moderado de fallos de autenticación anteriores, lo que hace que la clasificación de riesgo sea moderada; se le solicita autenticación adicional antes de permitir la operación.
-
El tercer usuario inicia sesión desde un dispositivo que no es de confianza con un alto porcentaje de fallos de autenticación anteriores, lo que hace que la clasificación de riesgo sea alta; la operación no está permitida.