Présentation de l'autorisation dynamique
Suggérer des modifications
PDF
À partir de ONTAP 9.15.1, les administrateurs peuvent configurer et activer l'autorisation dynamique afin d'accroître la sécurité de l'accès à distance à ONTAP, tout en limitant les dommages potentiels causés par un acteur malveillant. Avec ONTAP 9.15.1, l'autorisation dynamique fournit une structure initiale pour attribuer une note de sécurité aux utilisateurs et, si leur activité semble suspecte, les défier avec des vérifications d'autorisation supplémentaires ou refuser complètement une opération. Les administrateurs peuvent créer des règles, attribuer des scores de confiance et restreindre des commandes pour déterminer si certaines activités sont autorisées ou refusées pour un utilisateur. Les administrateurs peuvent activer l'autorisation dynamique à l'échelle du cluster ou pour des machines virtuelles de stockage individuelles.
Fonctionnement de l'autorisation dynamique
L'autorisation dynamique utilise un système de notation de confiance pour attribuer aux utilisateurs un niveau de confiance différent en fonction des stratégies d'autorisation. En fonction du niveau de confiance de l'utilisateur, une activité qu'il effectue peut être autorisée ou refusée, ou l'utilisateur peut être invité à demander une authentification supplémentaire.
Reportez-vous "Personnaliser l'autorisation dynamique"à la pour en savoir plus sur la configuration de la pondération des scores des critères et d'autres attributs d'autorisation dynamique.
Périphériques de confiance
Lorsque l'autorisation dynamique est utilisée, la définition d'un périphérique approuvé est un périphérique utilisé par un utilisateur pour se connecter à ONTAP à l'aide de l'authentification par clé publique comme une des méthodes d'authentification. Le périphérique est approuvé car seul cet utilisateur possède la clé privée correspondante.
Exemple d'autorisation dynamique
Prenons l'exemple de trois utilisateurs différents qui tentent de supprimer un volume. Lorsqu'ils tentent d'effectuer l'opération, la cote de risque de chaque utilisateur est examinée :
-
Le premier utilisateur se connecte à partir d'un périphérique de confiance avec très peu d'échecs d'authentification précédents, ce qui rend son niveau de risque faible ; l'opération est autorisée sans authentification supplémentaire.
-
Le deuxième utilisateur se connecte à partir d'un périphérique de confiance avec un pourcentage modéré d'échecs d'authentification précédents, ce qui rend la note de risque modérée ; il est invité à demander une authentification supplémentaire avant que l'opération ne soit autorisée.
-
Le troisième utilisateur se connecte à partir d'un périphérique non approuvé avec un pourcentage élevé d'échecs d'authentification précédents, ce qui rend l'indice de risque élevé ; l'opération n'est pas autorisée.