Audit du système de fichiers NAS
Les systèmes de fichiers NAS occupent une place de plus en plus importante dans le paysage actuel des menaces. Les fonctions d'audit sont essentielles pour assurer la visibilité des menaces.
La sécurité nécessite une validation. ONTAP 9 propose davantage d'événements d'audit et de détails dans l'ensemble de la solution. Dans la mesure où les menaces pèsent aujourd'hui sur les systèmes de fichiers NAS, les fonctions d'audit jouent un rôle essentiel pour assurer la visibilité. Grâce aux fonctionnalités d'audit améliorées de ONTAP 9, les informations d'audit CIFS sont plus que jamais abondantes. Les détails clés, y compris les suivants, sont consignés avec les événements créés :
-
Accès aux fichiers, aux dossiers et au partage
-
Fichiers créés, modifiés ou supprimés
-
Accès en lecture du fichier réussi
-
Échec des tentatives de lecture ou d'écriture des fichiers
-
Modification des autorisations sur les dossiers
Créer une configuration d'audit
Vous devez activer l'audit CIFS pour générer des événements d'audit. Utiliser vserver audit create
la commande pour créer une configuration d'audit. Par défaut, le journal d'audit utilise une méthode de rotation basée sur la taille. Vous pouvez utiliser une option de rotation basée sur le temps si elle est spécifiée dans le champ Paramètres de rotation. Les détails supplémentaires de la configuration de rotation de l'audit de journal incluent le planning de rotation, les limites de rotation, les jours de rotation de la semaine et la taille de rotation. Le texte suivant fournit un exemple de configuration d'audit utilisant une rotation mensuelle planifiée pour tous les jours de la semaine à 12:30.
cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
Événements d'audit CIFS
Les événements d'audit CIFS sont les suivants :
-
Partage de fichiers : génère un événement d'audit lorsqu'un partage réseau CIFS est ajouté, modifié ou supprimé à l'aide des commandes associées
vserver cifs share
. -
Changement de stratégie d'audit : génère un événement d'audit lorsque la stratégie d'audit est désactivée, activée ou modifiée à l'aide des commandes associées
vserver audit
. -
Compte utilisateur : génère un événement d'audit lorsqu'un utilisateur CIFS ou UNIX local est créé ou supprimé ; un compte utilisateur local est activé, désactivé ou modifié ; ou un mot de passe est réinitialisé ou modifié. Cet événement utilise la
vserver cifs users-and-groups local-group
commande ou la commande associéevserver services name-service unix-user
. -
Groupe de sécurité : génère un événement d'audit lorsqu'un groupe de sécurité local CIFS ou UNIX est créé ou supprimé à l'aide de la
vserver cifs users-and-groups local-group
commande ou de la commande associéevserver services name-service unix-group
. -
Changement de stratégie d'autorisation : génère un événement d'audit lorsque des droits sont accordés ou révoqués pour un utilisateur CIFS ou un groupe CIFS à l'aide de la
vserver cifs users-and-groups privilege
commande.
Cette fonctionnalité est basée sur la fonction d'audit du système, qui permet à un administrateur de vérifier ce que le système autorise et exécute du point de vue d'un utilisateur de données. |
Effet des API REST sur l'audit NAS
ONTAP permet aux comptes d'administrateur d'accéder aux fichiers SMB/CIFS ou NFS et de les manipuler à l'aide d'API REST. Bien que les API REST puissent uniquement être exécutées par les administrateurs ONTAP, les commandes de l'API REST contournent le journal d'audit NAS du système. En outre, les administrateurs ONTAP peuvent également ignorer les autorisations liées aux fichiers lors de l'utilisation des API REST. Cependant, les actions de l'administrateur avec les API REST sur les fichiers sont capturées dans le journal de l'historique des commandes du système.
Créez un rôle d'API REST sans accès
Vous pouvez empêcher les administrateurs ONTAP d'utiliser des API REST pour l'accès aux fichiers en créant un rôle d'API REST qui n'a pas accès aux volumes ONTAP via REST. Pour configurer ce rôle, procédez comme suit.
-
Créez un nouveau rôle REST qui n'a pas accès aux volumes de stockage mais qui dispose de tout autre accès API REST.
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
-
Attribuez le compte administrateur au nouveau rôle d'API REST que vous avez créé à l'étape précédente.
cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
Pour empêcher le compte d'administrateur de cluster ONTAP intégré d'utiliser les API REST pour accéder aux fichiers, vous devez d'abord "créez un nouveau compte administrateur et désactivez ou supprimez le compte intégré". |