Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Blocco dell'accesso utente

Collaboratori
PDF

Una volta rilevato un attacco, Workload Security può arrestare l'attacco bloccando l'accesso dell'utente al file system. L'accesso può essere bloccato automaticamente, utilizzando le policy di risposta automatica o manualmente dalle pagine degli avvisi o dei dettagli dell'utente.

Quando si blocca l'accesso dell'utente, è necessario definire un periodo di tempo di blocco. Al termine del periodo di tempo selezionato, l'accesso dell'utente viene ripristinato automaticamente. Il blocco degli accessi è supportato per i protocolli SMB e NFS.

L'utente è direttamente bloccato per SMB e l'indirizzo IP dei computer host che causano l'attacco sarà bloccato per NFS. Gli indirizzi IP di tali macchine non potranno accedere alle macchine virtuali di storage (SVM) monitorate da workload Security.

Ad esempio, supponiamo che Workload Security gestisca 10 SVM e che la policy di risposta automatica sia configurata per quattro di queste SVM. Se l'attacco ha origine in una delle quattro SVM, l'accesso dell'utente viene bloccato in tutte le 10 SVM. Viene ancora eseguita un'istantanea sulla SVM di origine.

Se sono presenti quattro SVM con una SVM configurata per SMB, una configurata per NFS e le restanti due configurate per NFS e SMB, tutte le SVM verranno bloccate se l'attacco ha origine in una qualsiasi delle quattro SVM.

Prerequisiti per il blocco dell'accesso utente

Per il funzionamento di questa funzionalità sono necessarie credenziali a livello di cluster.

Se si utilizzano credenziali di amministrazione del cluster, non sono necessarie nuove autorizzazioni.

Se si utilizza un utente personalizzato (ad esempio csuser) con autorizzazioni assegnate all'utente, seguire la procedura riportata di seguito per assegnare le autorizzazioni a workload Security per bloccare l'utente.

Per gli utenti csuser con credenziali cluster, eseguire le seguenti operazioni dalla riga di comando ONTAP:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Assicurarsi di rivedere anche la sezione autorizzazioni della "Configurazione del Data Collector SVM di ONTAP" pagina.

Come attivare la funzione?

  • In sicurezza del carico di lavoro, accedere a sicurezza del carico di lavoro > Criteri > Criteri di risposta automatizzati. Scegliere +Criteri attacco.

  • Selezionare (selezionare) Blocca accesso file utente.

Come si imposta il blocco automatico degli accessi degli utenti?

  • Creare una nuova policy di attacco o modificare una policy di attacco esistente.

  • Selezionare le SVM su cui monitorare la policy di attacco.

  • Fare clic sulla casella di controllo "Block User file Access" (Blocca accesso file utente). La funzione viene attivata quando viene selezionata.

  • In "Time Period" (periodo di tempo), selezionare l'intervallo di tempo fino al quale applicare il blocco.

  • Per testare il blocco automatico degli utenti, è possibile simulare un attacco tramite un "script simulato".

Come verificare se nel sistema sono presenti utenti bloccati?

  • Nella pagina degli elenchi degli avvisi, viene visualizzato un banner nella parte superiore della schermata in caso di blocco di un utente.

  • Facendo clic sul banner si accede alla pagina "utenti", in cui è possibile visualizzare l'elenco degli utenti bloccati.

  • Nella pagina "utenti", all'interno di una colonna denominata "accesso utente/IP". In questa colonna viene visualizzato lo stato corrente di blocco dell'utente.

Limitare e gestire l'accesso utente manualmente

  • È possibile accedere alla schermata dei dettagli degli avvisi o dei dettagli dell'utente, quindi bloccare o ripristinare manualmente un utente da tali schermate.

Cronologia delle limitazioni di accesso dell'utente

Nella pagina dei dettagli degli avvisi e dei dettagli dell'utente, nel pannello utente, è possibile visualizzare un audit della cronologia delle limitazioni di accesso dell'utente: Tempo, azione (blocco, sblocco), durata, azione intrapresa da, Manuale/automatico e IP interessati per NFS.

Come si disattiva la funzione?

È possibile disattivare la funzione in qualsiasi momento. Se nel sistema sono presenti utenti con restrizioni, è necessario ripristinarne l'accesso.

  • In sicurezza del carico di lavoro, accedere a sicurezza del carico di lavoro > Criteri > Criteri di risposta automatizzati. Scegliere +Criteri attacco.

  • Deselezionare Blocca accesso al file utente.

La funzione verrà nascosta da tutte le pagine.

Ripristinare manualmente gli IP per NFS

Attenersi alla seguente procedura per ripristinare manualmente gli IP da ONTAP se la versione di prova di workload Security scade o se l'agente/collector non è attivo.

  1. Elencare tutti i criteri di esportazione su una SVM.

    contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. Eliminare le regole di tutti i criteri sulla SVM che hanno "cloudSecure_rule" come corrispondenza client specificando il rispettivo RuleIndex. La regola di sicurezza del carico di lavoro è solitamente 1.

     contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Assicurarsi che la regola di sicurezza del carico di lavoro sia eliminata (passaggio facoltativo per confermare).
    contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Ripristinare manualmente gli utenti per SMB

Attenersi alla seguente procedura per ripristinare manualmente gli utenti da ONTAP se la versione di prova di workload Security scade o se l'agente/collector non è attivo.

È possibile ottenere l'elenco degli utenti bloccati in workload Security dalla pagina dell'elenco utenti.

  1. Accedere al cluster ONTAP (dove si desidera sbloccare gli utenti) con le credenziali admin del cluster. (Per Amazon FSX, accedi con le credenziali FSX).

  2. Eseguire il seguente comando per elencare tutti gli utenti bloccati da workload Security per SMB in tutte le SVM:

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

Nel suddetto output, 2 utenti sono stati bloccati (US030, US040) con il dominio CSLAB.

  1. Una volta identificata la posizione dall'output precedente, eseguire il seguente comando per sbloccare l'utente:

     vserver name-mapping delete -direction win-unix -position <position>
. Verificare che gli utenti siano sbloccati eseguendo il comando:
    vserver name-mapping show -direction win-unix -replacement " "

Non devono essere visualizzate voci per gli utenti precedentemente bloccati.

Risoluzione dei problemi

Problema Provare

Alcuni utenti non sono soggetti a restrizioni, anche se si verifica un attacco.

1. Assicurarsi che Data Collector e Agent per le SVM siano in stato running. Workload Security non sarà in grado di inviare comandi se Data Collector e Agent vengono arrestati. 2. Ciò è dovuto al fatto che l'utente può avere accesso all'archivio da una macchina con un nuovo IP che non è stato utilizzato in precedenza. La limitazione avviene tramite l'indirizzo IP dell'host attraverso il quale l'utente accede allo storage. Controllare nell'interfaccia utente (Dettagli avviso > Cronologia limiti di accesso per questo utente > IP interessati) l'elenco degli indirizzi IP con restrizioni. Se l'utente accede allo storage da un host che ha un IP diverso dagli IP con restrizioni, l'utente potrà comunque accedere allo storage attraverso l'IP senza restrizioni. Se l'utente sta tentando di accedere dagli host i cui indirizzi IP sono limitati, lo storage non sarà accessibile.

Facendo clic manualmente su Restricate Access (limita accesso) si ottiene "gli indirizzi IP di questo utente sono già stati limitati".

L'IP da limitare è già stato limitato da un altro utente.

Impossibile modificare il criterio. Motivo: Non autorizzato per quel comando.

Controllare se si utilizza csuser, le autorizzazioni vengono assegnate all'utente come indicato in precedenza.

Il blocco dell'utente (indirizzo IP) per NFS funziona, ma per SMB / CIFS viene visualizzato un messaggio di errore: "Trasformazione SID in DomainName non riuscita. Timeout motivo: Socket non stabilito"

Ciò può accadere se csuser non dispone dell'autorizzazione per eseguire ssh. (Verificare la connessione a livello di cluster, quindi assicurarsi che l'utente possa eseguire ssh). il ruolo csuser richiede queste autorizzazioni. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Per csuser con credenziali cluster, effettuare le seguenti operazioni dalla riga di comando di ONTAP: Ruolo di accesso di sicurezza create -ruolo csrole -nomedesign"regola del criterio di esportazione vserver" -accedere a tutti i ruoli di accesso di sicurezza create -ruolo csruolo ONTAP

Ricevo il messaggio di errore traduzione SID non riuscita. REASON:255:Error: Command failed: Not authorized for that commandError: "Access-check" is not a recognized command, when a user would be blocked.

Questo può accadere quando csuser non dispone delle autorizzazioni corrette. Per ulteriori informazioni, vedere "Prerequisiti per il blocco dell'accesso utente" . Dopo aver applicato le autorizzazioni, si consiglia di riavviare il Data Collector di ONTAP e il Data Collector della directory utente. I comandi di autorizzazione richiesti sono elencati di seguito. ---- ruolo di accesso di sicurezza create -ruolo csrole -cmddirname "vserver export-policy rule" -accedi a tutto il ruolo di accesso di sicurezza create -ruolo csrole -cmddirname set -accedi a tutto il ruolo di accesso di sicurezza create -ruolo csrole -cmddirname "vserver cifs session" -accedi a tutto il ruolo di accesso di accesso di sicurezza create -ruolo csrole -cmddirname "vserver services access-check authentication translation" -accedi a tutto l'accesso di sicurezza creazione ruolo -ruolo csrole -cmddirname "vserver name-mapping" -access all ----