La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Blocco dell'accesso utente

03/20/2024 Collaboratori

PDF

Una volta rilevato un attacco, Workload Security può arrestare l'attacco bloccando l'accesso dell'utente al file system. L'accesso può essere bloccato automaticamente, utilizzando le policy di risposta automatica o manualmente dalle pagine degli avvisi o dei dettagli dell'utente.

La sicurezza del carico di lavoro non è disponibile nell'edizione federale di Cloud Insights.

Quando si blocca l'accesso dell'utente, è necessario definire un periodo di tempo di blocco. Al termine del periodo di tempo selezionato, l'accesso dell'utente viene ripristinato automaticamente. Il blocco degli accessi è supportato per i protocolli SMB e NFS.

L'utente è direttamente bloccato per SMB e l'indirizzo IP dei computer host che causano l'attacco sarà bloccato per NFS. Gli indirizzi IP di tali macchine non potranno accedere alle macchine virtuali di storage (SVM) monitorate da workload Security.

Ad esempio, supponiamo che Workload Security gestisca 10 SVM e che la policy di risposta automatica sia configurata per quattro di queste SVM. Se l'attacco ha origine in una delle quattro SVM, l'accesso dell'utente viene bloccato in tutte le 10 SVM. Viene ancora eseguita un'istantanea sulla SVM di origine.

Se sono presenti quattro SVM con una SVM configurata per SMB, una configurata per NFS e le restanti due configurate per NFS e SMB, tutte le SVM verranno bloccate se l'attacco ha origine in una qualsiasi delle quattro SVM.

Prerequisiti per il blocco dell'accesso utente

Per il funzionamento di questa funzionalità sono necessarie credenziali a livello di cluster.

Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

Se si utilizza un utente personalizzato (ad esempio csuser) con autorizzazioni assegnate all'utente, seguire la procedura riportata di seguito per assegnare le autorizzazioni a workload Security per bloccare l'utente.

Per gli utenti csuser con credenziali cluster, eseguire le seguenti operazioni dalla riga di comando ONTAP:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Assicurarsi di esaminare la sezione autorizzazioni di "Configurazione del Data Collector SVM di ONTAP" pagina pure.

Come attivare la funzione?

In sicurezza del carico di lavoro, accedere a sicurezza del carico di lavoro > Criteri > Criteri di risposta automatizzati. Scegliere +Criteri attacco.
Selezionare (selezionare) Blocca accesso file utente.

Come si imposta il blocco automatico degli accessi degli utenti?

Creare una nuova policy di attacco o modificare una policy di attacco esistente.
Selezionare le SVM su cui monitorare la policy di attacco.
Fare clic sulla casella di controllo "Block User file Access" (Blocca accesso file utente). La funzione viene attivata quando viene selezionata.
In "Time Period" (periodo di tempo), selezionare l'intervallo di tempo fino al quale applicare il blocco.
Per testare il blocco automatico dell'utente, è possibile simulare un attacco tramite un "script simulato".

Come verificare se nel sistema sono presenti utenti bloccati?

Nella pagina degli elenchi degli avvisi, viene visualizzato un banner nella parte superiore della schermata in caso di blocco di un utente.
Facendo clic sul banner si accede alla pagina "utenti", in cui è possibile visualizzare l'elenco degli utenti bloccati.
Nella pagina "utenti", all'interno di una colonna denominata "accesso utente/IP". In questa colonna viene visualizzato lo stato corrente di blocco dell'utente.

Limitare e gestire l'accesso utente manualmente

È possibile accedere alla schermata dei dettagli degli avvisi o dei dettagli dell'utente, quindi bloccare o ripristinare manualmente un utente da tali schermate.

Cronologia delle limitazioni di accesso dell'utente

Nella pagina dei dettagli degli avvisi e dei dettagli dell'utente, nel pannello utente, è possibile visualizzare un audit della cronologia delle limitazioni di accesso dell'utente: Tempo, azione (blocco, sblocco), durata, azione intrapresa da, Manuale/automatico e IP interessati per NFS.

Come si disattiva la funzione?

È possibile disattivare la funzione in qualsiasi momento. Se nel sistema sono presenti utenti con restrizioni, è necessario ripristinarne l'accesso.

In sicurezza del carico di lavoro, accedere a sicurezza del carico di lavoro > Criteri > Criteri di risposta automatizzati. Scegliere +Criteri attacco.
Deselezionare Blocca accesso al file utente.

La funzione verrà nascosta da tutte le pagine.

Ripristinare manualmente gli IP per NFS

Attenersi alla seguente procedura per ripristinare manualmente gli IP da ONTAP se la versione di prova di workload Security scade o se l'agente/collector non è attivo.

Elencare tutti i criteri di esportazione su una SVM.

contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

Eliminare le regole di tutti i criteri sulla SVM che hanno "cloudSecure_rule" come corrispondenza client specificando il rispettivo RuleIndex. La regola di sicurezza del carico di lavoro è solitamente 1.

 contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Assicurarsi che la regola di sicurezza del carico di lavoro sia eliminata (passaggio facoltativo per confermare).

contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Ripristinare manualmente gli utenti per SMB

Attenersi alla seguente procedura per ripristinare manualmente gli utenti da ONTAP se la versione di prova di workload Security scade o se l'agente/collector non è attivo.

È possibile ottenere l'elenco degli utenti bloccati in workload Security dalla pagina dell'elenco utenti.

Accedere al cluster ONTAP (dove si desidera sbloccare gli utenti) con le credenziali admin del cluster. (Per Amazon FSX, accedi con le credenziali FSX).

Eseguire il seguente comando per elencare tutti gli utenti bloccati da workload Security per SMB in tutte le SVM:

vserver name-mapping show -direction win-unix -replacement " "

Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

Nel suddetto output, 2 utenti sono stati bloccati (US030, US040) con il dominio CSLAB.

Una volta identificata la posizione dall'output precedente, eseguire il seguente comando per sbloccare l'utente:

 vserver name-mapping delete -direction win-unix -position <position>
. Verificare che gli utenti siano sbloccati eseguendo il comando:

vserver name-mapping show -direction win-unix -replacement " "

Non devono essere visualizzate voci per gli utenti precedentemente bloccati.

Risoluzione dei problemi

Problema	Provare
Alcuni utenti non sono soggetti a restrizioni, anche se si verifica un attacco.	1. Assicurarsi che Data Collector e Agent per le SVM siano in stato running. Workload Security non sarà in grado di inviare comandi se Data Collector e Agent vengono arrestati. 2. Questo perché l'utente potrebbe aver effettuato l'accesso allo storage da un computer con un nuovo IP che non è stato utilizzato in precedenza. La limitazione avviene tramite l'indirizzo IP dell'host attraverso il quale l'utente accede allo storage. Controllare nell'interfaccia utente (Dettagli avviso > Cronologia limiti di accesso per questo utente > IP interessati) l'elenco degli indirizzi IP con restrizioni. Se l'utente accede allo storage da un host che ha un IP diverso dagli IP con restrizioni, l'utente potrà comunque accedere allo storage attraverso l'IP senza restrizioni. Se l'utente sta tentando di accedere dagli host i cui indirizzi IP sono limitati, lo storage non sarà accessibile.
Facendo clic manualmente su Restricate Access (limita accesso) si ottiene "gli indirizzi IP di questo utente sono già stati limitati".	L'IP da limitare è già stato limitato da un altro utente.
Impossibile modificare il criterio. Motivo: Non autorizzato per quel comando.	Controllare se si utilizza csuser, le autorizzazioni vengono assegnate all'utente come indicato in precedenza.
Il blocco dell'utente (indirizzo IP) per NFS funziona, ma per SMB / CIFS viene visualizzato un messaggio di errore: "Trasformazione SID in DomainName non riuscita. Timeout motivo: Socket non stabilito"	Ciò può accadere se csuser non dispone dell'autorizzazione per eseguire ssh. (Verificare la connessione a livello di cluster, quindi assicurarsi che l'utente possa eseguire ssh). il ruolo csuser richiede queste autorizzazioni. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blockingPer csuser con credenziali cluster, eseguire le seguenti operazioni dalla riga di comando ONTAP: ruolo di login di sicurezza create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole role -role csrole -cmddirname -cmddirname "vserver access service access service access-check authentication" Role create -role csrole -cmddirname "vserver name-mapping" -access all se csuser non viene utilizzato e se viene utilizzato l'utente admin a livello di cluster, assicurarsi che l'utente admin disponga dell'autorizzazione ssh per ONTAP.

Problema

Provare

Alcuni utenti non sono soggetti a restrizioni, anche se si verifica un attacco.

1. Assicurarsi che Data Collector e Agent per le SVM siano in stato running. Workload Security non sarà in grado di inviare comandi se Data Collector e Agent vengono arrestati. 2. Questo perché l'utente potrebbe aver effettuato l'accesso allo storage da un computer con un nuovo IP che non è stato utilizzato in precedenza. La limitazione avviene tramite l'indirizzo IP dell'host attraverso il quale l'utente accede allo storage. Controllare nell'interfaccia utente (Dettagli avviso > Cronologia limiti di accesso per questo utente > IP interessati) l'elenco degli indirizzi IP con restrizioni. Se l'utente accede allo storage da un host che ha un IP diverso dagli IP con restrizioni, l'utente potrà comunque accedere allo storage attraverso l'IP senza restrizioni. Se l'utente sta tentando di accedere dagli host i cui indirizzi IP sono limitati, lo storage non sarà accessibile.

Facendo clic manualmente su Restricate Access (limita accesso) si ottiene "gli indirizzi IP di questo utente sono già stati limitati".

L'IP da limitare è già stato limitato da un altro utente.

Impossibile modificare il criterio. Motivo: Non autorizzato per quel comando.

Controllare se si utilizza csuser, le autorizzazioni vengono assegnate all'utente come indicato in precedenza.

Il blocco dell'utente (indirizzo IP) per NFS funziona, ma per SMB / CIFS viene visualizzato un messaggio di errore: "Trasformazione SID in DomainName non riuscita. Timeout motivo: Socket non stabilito"

Ciò può accadere se csuser non dispone dell'autorizzazione per eseguire ssh. (Verificare la connessione a livello di cluster, quindi assicurarsi che l'utente possa eseguire ssh). il ruolo csuser richiede queste autorizzazioni. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blockingPer csuser con credenziali cluster, eseguire le seguenti operazioni dalla riga di comando ONTAP: ruolo di login di sicurezza create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole role -role csrole -cmddirname -cmddirname "vserver access service access service access-check authentication" Role create -role csrole -cmddirname "vserver name-mapping" -access all se csuser non viene utilizzato e se viene utilizzato l'utente admin a livello di cluster, assicurarsi che l'utente admin disponga dell'autorizzazione ssh per ONTAP.