Bonnes pratiques de configuration de la fonctionnalité antivirus externe dans ONTAP
Envisagez les recommandations suivantes pour la configuration de la fonctionnalité externe dans ONTAP.
-
Limiter les utilisateurs privilégiés aux opérations d'analyse antivirus. Les utilisateurs normaux doivent être déconseillés d'utiliser des informations d'identification d'utilisateur privilégiées. Cette restriction peut être obtenue en désactivant les droits de connexion pour les utilisateurs privilégiés sur Active Directory.
-
Les utilisateurs privilégiés ne sont pas tenus de faire partie d'un groupe d'utilisateurs disposant d'un grand nombre de droits dans le domaine, tels que le groupe d'administrateurs ou le groupe d'opérateurs de sauvegarde. Les utilisateurs privilégiés doivent être validés uniquement par le système de stockage de sorte qu'ils soient autorisés à créer des connexions au serveur Vscan et à accéder aux fichiers pour l'analyse antivirus.
-
Utiliser les ordinateurs exécutant des serveurs Vscan uniquement à des fins d'analyse antivirus. Pour décourager l'utilisation générale, désactivez les services de terminal Windows et les autres dispositions d'accès à distance sur ces ordinateurs et accordez le droit d'installer de nouveaux logiciels sur ces ordinateurs uniquement aux administrateurs.
-
Dédiez les serveurs Vscan à l'analyse antivirus et ne les utilisez pas pour d'autres opérations, telles que les sauvegardes. Vous pouvez décider d'exécuter le serveur Vscan en tant que machine virtuelle (VM). Si vous exécutez le serveur Vscan en tant que VM, assurez-vous que les ressources allouées à la VM ne sont pas partagées et suffisantes pour effectuer une analyse antivirus.
-
Fournir le CPU, la mémoire et la capacité disque appropriés au serveur Vscan pour éviter toute sur-allocation des ressources La plupart des serveurs Vscan sont conçus pour utiliser plusieurs serveurs CPU core et pour répartir la charge entre les CPU.
-
NetApp recommande d'utiliser un réseau dédié avec un VLAN privé pour la connexion de la SVM au serveur Vscan de sorte que le trafic de scan n'est pas affecté par d'autres trafic réseau client. Créer une carte d'interface réseau (NIC) distincte dédiée au VLAN antivirus sur le serveur Vscan et à la LIF de données sur la SVM Cette étape simplifie l'administration et le dépannage en cas de problèmes réseau. Le trafic antivirus doit être isolé à l'aide d'un réseau privé. Le serveur antivirus doit être configuré pour communiquer avec le contrôleur de domaine (DC) et ONTAP de l'une des manières suivantes :
-
Le DC doit communiquer avec les serveurs antivirus via le réseau privé utilisé pour isoler le trafic.
-
Le serveur DC et antivirus doivent communiquer via un autre réseau (pas le réseau privé mentionné précédemment), qui n'est pas le même que le réseau client CIFS.
-
Pour activer l'authentification Kerberos pour la communication antivirus, créez une entrée DNS pour les LIFs privées et un nom principal de service sur le DC correspondant à l'entrée DNS créée pour la LIF privée. Utiliser ce nom lors de l'ajout d'une LIF au antivirus Connector. Le DNS doit pouvoir renvoyer un nom unique pour chaque LIF privée connectée au connecteur antivirus.
-
Si la LIF du trafic Vscan est configurée sur un port différent de la LIF pour le trafic client, la LIF Vscan peut basculer vers un autre nœud en cas de défaillance de port. La modification rend le serveur Vscan inaccessible depuis le nouveau nœud et les notifications de scan pour les opérations de fichier sur le nœud échouent. Vérifier que le serveur Vscan est accessible via au moins une LIF sur un nœud de sorte qu'il puisse traiter les demandes de scan pour les opérations de fichier effectuées sur ce nœud. |
-
Connecter le système de stockage NetApp et le serveur Vscan en utilisant au moins un réseau 1GbE.
-
Pour un environnement avec plusieurs serveurs Vscan, connectez tous les serveurs qui ont des connexions réseau hautes performances similaires. La connexion des serveurs Vscan améliore les performances en permettant le partage de charge.
-
Pour les sites distants et les succursales, NetApp recommande d'utiliser un serveur Vscan local plutôt qu'un serveur Vscan distant, car le premier est le candidat idéal à une latence élevée. Si le coût est un facteur, utilisez un ordinateur portable ou un PC pour une protection antivirus modérée. Vous pouvez planifier des analyses complètes périodiques du système de fichiers en partageant les volumes ou les qtrees et en les analysant à partir de n'importe quel système du site distant.
-
Utiliser plusieurs serveurs Vscan pour scanner les données sur la SVM à des fins d'équilibrage de charge et de redondance La quantité de charge de travail CIFS et le trafic antivirus résultant varient selon les SVM. Surveillez la latence CIFS et l'analyse antivirus sur le contrôleur de stockage. Surveiller la tendance des résultats au fil du temps. Si la latence CIFS et la latence de l'analyse antivirus augmentent en raison des files d'attente des processeurs ou des applications sur les serveurs Vscan, les clients CIFS peuvent rencontrer de longs délais d'attente. Ajouter des serveurs Vscan supplémentaires pour distribuer la charge.
-
Installez la dernière version de ONTAP antivirus Connector.
-
Maintenez les moteurs antivirus et les définitions à jour. Consultez vos partenaires pour obtenir des recommandations sur la fréquence de mise à jour.
-
Dans un environnement multi-tanancy, un pool de scanner (pool de serveurs Vscan) peut être partagé avec plusieurs SVM à condition que les serveurs Vscan et les SVM fassent partie du même domaine ou du même domaine de confiance.
-
La stratégie de logiciel antivirus pour les fichiers infectés doit être définie sur « delete » ou « quarantine », qui est la valeur par défaut définie par la plupart des fournisseurs d'antivirus. Si le « vscan-fileop-profile » est défini sur « write_only » et si un fichier infecté est trouvé, le fichier reste dans le partage et peut être ouvert car l'ouverture d'un fichier ne déclenche pas de scan. Le scan antivirus est déclenché uniquement après la fermeture du fichier.
-
Le
scan-engine timeout
la valeur doit être inférieure àscanner-pool request-timeout
valeur. Si la valeur est supérieure, l'accès aux fichiers peut être retardé et peut éventuellement prendre du temps. Pour éviter cela, configurez lescan-engine timeout
à 5 secondes de moins que lescanner-pool request-timeout
valeur. Reportez-vous à la documentation du fournisseur du moteur de numérisation pour obtenir des instructions sur la façon de modifier lescan-engine timeout
paramètres. Lescanner-pool timeout
peut être modifié à l'aide de la commande suivante en mode avancé et en fournissant la valeur appropriée pourrequest-timeout
paramètre :vserver vscan scanner-pool modify
. -
Pour un environnement dimensionné pour les charges de travail d'analyse à l'accès et nécessitant l'analyse à la demande, NetApp recommande de planifier la tâche d'analyse à la demande en dehors des heures de pointe afin d'éviter toute charge supplémentaire sur l'infrastructure antivirus existante.
Pour en savoir plus sur les meilleures pratiques propres aux partenaires"Solutions partenaires Vscan", rendez-vous sur .