Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Créez et utilisez un NetApp FPolicy

Contributeurs

Vous pouvez créer et utiliser un composant d'infrastructure FPolicy de la solution ONTAP, qui permet à des applications partenaires de surveiller et définir les autorisations d'accès aux fichiers. L'une des applications les plus puissantes est Storage Workload Security, une application SaaS NetApp qui offre une visibilité et un contrôle centralisés sur tous les accès aux données de l'entreprise dans les environnements de cloud hybride afin d'assurer la conformité et la sécurité.

Le contrôle d'accès est un concept de sécurité clé. La visibilité des accès aux fichiers et des opérations sur fichiers ainsi que la possibilité d'y réagir sont critiques pour maintenir le niveau de sécurité requis. Pour fournir cette visibilité et ce contrôle d'accès aux fichiers, la solution ONTAP utilise la fonction NetApp FPolicy.

Les règles peuvent être définies en fonction des types de fichiers. FPolicy détermine la façon dont le système de stockage gère les requêtes de chaque système client pour des opérations telles que les créations, ouvertures, renommages et suppressions. Depuis ONTAP 9, le système de notification d'accès aux fichiers FPolicy possède des commandes de filtrage et supporte de brèves coupures de réseau.

Étapes
  1. Pour exploiter la fonction FPolicy, vous devez d'abord créer la règle FPolicy avec la vserver fpolicy policy create commande.

    Remarque En outre, utilisez le -events paramètre si vous utilisez FPolicy pour la visibilité et la collecte des événements. La granularité supplémentaire fournie par ONTAP permet de filtrer les données et d'accéder au niveau de contrôle par nom d'utilisateur. Pour contrôler les privilèges et l'accès avec des noms d'utilisateur, spécifiez le -privilege-user-name paramètre.

    Le texte suivant fournit un exemple de création FPolicy :

    cluster1::> vserver fpolicy policy create -vserver vs1.example.com -policy-name vs1_pol -events cserver_evt,v1e1 -engine native -is-mandatory true -allow-privileged-access no -is-passthrough-read-enabled false
  2. Une fois que vous avez créé la règle FPolicy, vous devez l'activer avec vserver fpolicy enable la commande. Cette commande définit également la priorité ou la séquence de l'entrée FPolicy.

    Remarque La séquence FPolicy est importante car, si plusieurs règles ont souscrit au même événement d'accès aux fichiers, la séquence détermine l'ordre dans lequel l'accès est accordé ou refusé.

    Le texte suivant fournit un exemple de configuration pour l'activation de la règle FPolicy et la validation de la configuration avec la vserver fpolicy show commande :

    cluster1::> vserver fpolicy enable -vserver vs2.example.com -policy-name vs2_pol -sequence-number 5
    
    cluster1::> vserver fpolicy show
    Vserver                 Policy Name                    Sequence  Status   Engine
    ----------------------- ------------------------------ --------  -------  -------
    vs1.example.com         vs1_pol
    vs2.example.com         vs2_pol
     external
    2 entries were displayed.

Améliorations de FPolicy

ONTAP 9 inclut les améliorations de FPolicy décrites dans les sections suivantes.

Filtrage des contrôles

De nouveaux filtres sont disponibles pour SetAttr et pour la suppression de notifications sur les activités d'annuaire.

Résilience asynchrone

Lorsqu'un serveur FPolicy fonctionnant en mode asynchrone est en panne du réseau, les notifications FPolicy générées lors de la panne sont stockées sur le nœud de stockage. Lorsque le serveur FPolicy est de nouveau en ligne, il est averti des notifications stockées et peut les récupérer du nœud de stockage. La durée pendant laquelle les notifications peuvent être stockées en cas de panne peut être configurée pendant 10 minutes.