Blocage de l'accès des utilisateurs
Suggérer des modifications
PDF
Une fois qu'une attaque est détectée, Workload Security peut arrêter l'attaque en bloquant l'accès de l'utilisateur au système de fichiers. L'accès peut être bloqué automatiquement, à l'aide de politiques de réponse automatisées ou manuellement à partir des pages d'alerte ou de détails de l'utilisateur.
Lorsque vous bloquez l'accès d'un utilisateur, vous devez définir une période de blocage. Une fois la période sélectionnée terminée, l'accès de l'utilisateur est automatiquement restauré. Le blocage d'accès est pris en charge pour les protocoles SMB et NFS.
L'utilisateur est directement bloqué pour SMB et l'adresse IP des machines hôtes à l'origine de l'attaque sera bloquée pour NFS. Ces adresses IP de machine ne pourront pas accéder aux machines virtuelles de stockage (SVM) surveillées par Workload Security.
Par exemple, disons que Workload Security gère 10 SVM et que la stratégie de réponse automatique est configurée pour quatre de ces SVM. Si l'attaque provient de l'une des quatre SVM, l'accès de l'utilisateur sera bloqué dans les 10 SVM. Un instantané est toujours pris sur le SVM d'origine.
S'il existe quatre SVM, dont une configurée pour SMB, une configurée pour NFS et les deux autres configurées pour NFS et SMB, toutes les SVM seront bloquées si l'attaque provient de l'une des quatre SVM.
Conditions préalables au blocage de l'accès utilisateur
Les informations d’identification au niveau du cluster sont nécessaires pour que cette fonctionnalité fonctionne.
Si vous utilisez les informations d’identification d’administration de cluster, aucune nouvelle autorisation n’est nécessaire.
Si vous utilisez un utilisateur personnalisé (par exemple, csuser) avec des autorisations accordées à l'utilisateur, suivez les étapes ci-dessous pour accorder des autorisations à Workload Security afin de bloquer l'utilisateur.
Pour csuser avec les informations d'identification du cluster, procédez comme suit à partir de la ligne de commande ONTAP :
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
Assurez-vous de consulter la section Autorisations du"Configuration du collecteur de données ONTAP SVM" page aussi.
Comment activer la fonctionnalité ?
-
Dans Sécurité de la charge de travail, accédez à Sécurité de la charge de travail > Politiques > Politiques de réponse automatisée. Choisissez +Politique d'attaque.
-
Sélectionnez (cochez) Bloquer l'accès aux fichiers utilisateur.
Comment configurer le blocage automatique de l'accès des utilisateurs ?
-
Créez une nouvelle politique d’attaque ou modifiez une politique d’attaque existante.
-
Sélectionnez les SVM sur lesquelles la politique d’attaque doit être surveillée.
-
Cochez la case « Bloquer l’accès aux fichiers des utilisateurs ». La fonctionnalité sera activée lorsque cette option est sélectionnée.
-
Sous « Période », sélectionnez la durée jusqu’à laquelle le blocage doit être appliqué.
-
Pour tester le blocage automatique des utilisateurs, vous pouvez simuler une attaque via un"script simulé" .
Comment savoir s'il y a des utilisateurs bloqués dans le système ?
-
Dans la page des listes d'alertes, une bannière en haut de l'écran sera affichée au cas où un utilisateur serait bloqué.
-
En cliquant sur la bannière, vous serez redirigé vers la page « Utilisateurs », où la liste des utilisateurs bloqués peut être consultée.
-
Dans la page « Utilisateurs », il y a une colonne nommée « Accès utilisateur/IP ». Dans cette colonne, l’état actuel du blocage de l’utilisateur sera affiché.
Restreindre et gérer manuellement l'accès des utilisateurs
-
Vous pouvez accéder aux détails de l'alerte ou à l'écran des détails de l'utilisateur, puis bloquer ou restaurer manuellement un utilisateur à partir de ces écrans.
Historique des limitations d'accès des utilisateurs
Dans la page des détails de l'alerte et des détails de l'utilisateur, dans le panneau utilisateur, vous pouvez afficher un audit de l'historique des limitations d'accès de l'utilisateur : heure, action (bloquer, débloquer), durée, action entreprise par, manuel/automatique et adresses IP affectées pour NFS.
Comment désactiver la fonctionnalité ?
À tout moment, vous pouvez désactiver la fonctionnalité. S'il y a des utilisateurs restreints dans le système, vous devez d'abord restaurer leur accès.
-
Dans Sécurité de la charge de travail, accédez à Sécurité de la charge de travail > Politiques > Politiques de réponse automatisée. Choisissez +Politique d'attaque.
-
Décochez (désélectionnez) Bloquer l'accès aux fichiers utilisateur.
La fonctionnalité sera masquée sur toutes les pages.
Restaurer manuellement les adresses IP pour NFS
Utilisez les étapes suivantes pour restaurer manuellement toutes les adresses IP d' ONTAP si votre essai de Workload Security expire ou si l'agent/collecteur est en panne.
-
Répertoriez toutes les politiques d’exportation sur un SVM.
contrail-qa-fas8020:> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm1 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm3 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 4 entries were displayed. -
Supprimez les règles de toutes les stratégies sur la SVM qui ont « cloudsecure_rule » comme correspondance client en spécifiant son RuleIndex respectif. La règle de sécurité de la charge de travail sera généralement à 1.
contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1 . Assurez-vous que la règle de sécurité de la charge de travail est supprimée (étape facultative pour confirmer).
contrail-qa-fas8020:*> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 2 entries were displayed.
Restaurer manuellement les utilisateurs pour SMB
Utilisez les étapes suivantes pour restaurer manuellement tous les utilisateurs d' ONTAP si votre essai de Workload Security expire ou si l'agent/collecteur est en panne.
Vous pouvez obtenir la liste des utilisateurs bloqués dans Workload Security à partir de la page de la liste des utilisateurs.
-
Connectez-vous au cluster ONTAP (où vous souhaitez débloquer les utilisateurs) avec les informations d'identification admin du cluster. (Pour Amazon FSx, connectez-vous avec les informations d'identification FSx).
-
Exécutez la commande suivante pour répertorier tous les utilisateurs bloqués par Workload Security for SMB dans tous les SVM :
vserver name-mapping show -direction win-unix -replacement " "
Vserver: <vservername> Direction: win-unix Position Hostname IP Address/Mask -------- ---------------- ---------------- 1 - - Pattern: CSLAB\\US040 Replacement: 2 - - Pattern: CSLAB\\US030 Replacement: 2 entries were displayed.
Dans la sortie ci-dessus, 2 utilisateurs ont été bloqués (US030, US040) avec le domaine CSLAB.
-
Une fois que nous avons identifié la position à partir de la sortie ci-dessus, exécutez la commande suivante pour débloquer l'utilisateur :
vserver name-mapping delete -direction win-unix -position <position> . Confirmez que les utilisateurs sont débloqués en exécutant la commande :
vserver name-mapping show -direction win-unix -replacement " "
Aucune entrée ne doit être affichée pour les utilisateurs précédemment bloqués.
Dépannage
| Problème | Essayez ceci |
|---|---|
Certains utilisateurs ne sont pas restreints, même s'il y a une attaque. |
1. Assurez-vous que le collecteur de données et l'agent pour les SVM sont à l'état Running. Workload Security ne pourra pas envoyer de commandes si le collecteur de données et l'agent sont arrêtés. 2. Cela est dû au fait que l’utilisateur a peut-être accédé au stockage à partir d’une machine avec une nouvelle IP qui n’a pas été utilisée auparavant. La restriction s'effectue via l'adresse IP de l'hôte via lequel l'utilisateur accède au stockage. Consultez l'interface utilisateur (Détails de l'alerte > Historique des limitations d'accès pour cet utilisateur > IP affectées) pour obtenir la liste des adresses IP restreintes. Si l'utilisateur accède au stockage à partir d'un hôte dont l'adresse IP est différente des adresses IP restreintes, l'utilisateur pourra toujours accéder au stockage via l'adresse IP non restreinte. Si l'utilisateur tente d'accéder à partir des hôtes dont les adresses IP sont restreintes, le stockage ne sera pas accessible. |
Cliquer manuellement sur Restreindre l’accès donne le message « Les adresses IP de cet utilisateur ont déjà été restreintes ». |
L'adresse IP à restreindre est déjà restreinte pour un autre utilisateur. |
La politique n'a pas pu être modifiée. Motif : non autorisé pour cette commande. |
Vérifiez si vous utilisez csuser, les autorisations sont accordées à l'utilisateur comme mentionné ci-dessus. |
Le blocage des utilisateurs (adresse IP) pour NFS fonctionne, mais pour SMB / CIFS, je vois un message d'erreur : « La transformation SID en DomainName a échoué. Raison du délai d'attente : le socket n'est pas établi » |
Cela peut arriver si csuser n'a pas l'autorisation d'exécuter ssh. (Assurez-vous de la connexion au niveau du cluster, puis assurez-vous que l'utilisateur peut exécuter ssh). Le rôle csuser nécessite ces autorisations. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Pour csuser avec les informations d'identification du cluster, procédez comme suit à partir de la ligne de commande ONTAP : security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Si csuser n'est pas utilisé et si l'utilisateur admin au niveau du cluster est utilisé, assurez-vous que l'utilisateur admin dispose de l'autorisation ssh sur ONTAP. |
J'obtiens le message d'erreur SID translate failed. Raison : 255 : Erreur : échec de la commande : non autorisé pour cette commandeErreur : « access-check » n'est pas une commande reconnue, alors qu'un utilisateur aurait dû être bloqué. |
Cela peut se produire lorsque csuser ne dispose pas des autorisations correctes. Voir "Conditions préalables au blocage de l'accès utilisateur" pour plus d'informations. Après avoir appliqué les autorisations, il est recommandé de redémarrer le collecteur de données ONTAP et le collecteur de données de l'annuaire utilisateur. Les commandes d’autorisation requises sont répertoriées ci-dessous. ---- création du rôle de connexion de sécurité -role csrole -cmddirname "règle de politique d'exportation vserver" -access all création du rôle de connexion de sécurité -role csrole -cmddirname set -access all création du rôle de connexion de sécurité -role csrole -cmddirname "session cifs vserver" -access all création du rôle de connexion de sécurité -role csrole -cmddirname "traduction d'authentification de vérification d'accès aux services vserver" -access all création du rôle de connexion de sécurité -role csrole -cmddirname "mappage de noms vserver" -access all ---- |