Skip to main content
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Auditoría del sistema de archivos NAS

Colaboradores

Los sistemas de archivos NAS ocupan un espacio más presente en el panorama de amenazas actual, las funciones de auditoría son cruciales para respaldar la visibilidad.

La seguridad requiere validación. ONTAP 9 ofrece más eventos y detalles de auditoría en toda la solución. Dado que los sistemas de archivos NAS ocupan un espacio cada vez mayor en el panorama de amenazas actual, las funciones de auditoría son cruciales para respaldar la visibilidad. Gracias a las funcionalidades de auditoría mejoradas que ofrece ONTAP 9, los detalles de auditoría CIFS son más abundantes que nunca. Los detalles clave, incluidos los siguientes, se registran con eventos creados:

  • Acceso a archivos, carpetas y recursos compartidos

  • Archivos creados, modificados o eliminados

  • Acceso de lectura a archivo realizado

  • Intentos fallidos de leer o escribir archivos

  • Cambios de permisos de carpeta

Cree una configuración de auditoría

Debe habilitar la auditoría de CIFS para generar eventos de auditoría. Utilice vserver audit create el comando para crear una configuración de auditoría. De forma predeterminada, el registro de auditoría utiliza un método de rotación según el tamaño. Puede utilizar una opción de rotación basada en el tiempo si se especifica en el campo Parámetros de rotación. Los detalles adicionales de configuración de rotación de auditoría de log incluyen el programa de rotación, los límites de rotación, los días de rotación de la semana y el tamaño de rotación. El siguiente texto proporciona una configuración de ejemplo que representa una configuración de auditoría mediante una rotación mensual basada en el tiempo programada para todos los días de la semana a las 12:30.

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Eventos de auditoría CIFS

Los eventos de auditoría CIFS son los siguientes:

  • File Share: Genera un evento de auditoría cuando se agrega, modifica o elimina un recurso compartido de red CIFS mediante los comandos relacionados vserver cifs share .

  • Cambio de política de auditoría: Genera un evento de auditoría cuando la política de auditoría está deshabilitada, habilitada o modificada usando los comandos relacionados vserver audit .

  • Cuenta de usuario: Genera un evento de auditoría cuando se crea o elimina un usuario local de CIFS o UNIX; se habilita, deshabilita o modifica una cuenta de usuario local; o se restablece o cambia una contraseña. Este evento utiliza vserver cifs users-and-groups local-group el comando o el comando relacionado vserver services name-service unix-user .

  • Grupo de seguridad: Genera un evento de auditoría cuando se crea o elimina un grupo de seguridad local CIFS o UNIX mediante el vserver cifs users-and-groups local-group comando o el comando relacionado vserver services name-service unix-group .

  • Cambio de política de autorización: Genera un evento de auditoría cuando se otorgan o revocan derechos para un usuario de CIFS o un grupo CIFS mediante el vserver cifs users-and-groups privilege comando.

Nota Esta funcionalidad se basa en la función de auditoría del sistema, que permite a un administrador revisar lo que el sistema permite y realiza desde la perspectiva de un usuario de datos.

Efecto de las API de REST en la auditoría NAS

ONTAP incluye la capacidad de las cuentas de administrador de acceder a archivos SMB/CIFS o NFS y manipularlos usando las API de REST. Aunque los administradores de ONTAP solo pueden ejecutar las API de REST, los comandos de la API de REST omiten el registro de auditoría del sistema NAS. Además, los administradores de ONTAP también pueden omitir los permisos de archivos cuando utilizan las API DE REST. Sin embargo, las acciones del administrador con API REST en los archivos se capturan en el registro del historial de comandos del sistema.

Crear rol de API de REST sin acceso

Puede evitar que los administradores de ONTAP utilicen las API DE REST para acceder a los archivos mediante la creación de un rol de API DE REST que no tiene acceso a volúmenes de ONTAP mediante REST. Para provisionar este rol, realice los siguientes pasos.

Pasos
  1. Crear un nuevo rol DE REST que no tenga acceso a los volúmenes de almacenamiento, pero que tenga acceso a la API de REST.

    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none
    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
  2. Asigne la cuenta de administrador al nuevo rol de API DE REST que creó en el paso anterior.

    cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
Nota Si desea impedir que la cuenta de administrador de clúster de ONTAP integrada utilice las API DE REST para acceder a los archivos, primero debe "cree una nueva cuenta de administrador y desactive o elimine la cuenta integrada".