Note di rilascio
Architettura antivirus
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
L'architettura antivirus di NetApp è costituita dal software del server Vscan e dalle relative impostazioni.
Software del server Vscan
È necessario installare questo software sul server Vscan.
-
Connettore antivirus ONTAP
Si tratta di un software fornito da NetApp che gestisce le comunicazioni di risposta e richiesta di scansione tra le SVM e il software antivirus. Può essere eseguito su una macchina virtuale, ma per ottenere le migliori performance utilizza una macchina fisica. È possibile scaricare questo software dal sito del supporto NetApp (richiede l'accesso).
-
Software antivirus
Si tratta di un software fornito dal partner che esegue la scansione dei file alla ricerca di virus o altro codice dannoso. Specificare le azioni correttive da intraprendere sui file infetti durante la configurazione del software.
Impostazioni del software Vscan
È necessario configurare queste impostazioni software sul server Vscan.
-
Scanner pool
Questa impostazione definisce i server Vscan e gli utenti con privilegi che possono connettersi alle SVM. Definisce inoltre un periodo di timeout della richiesta di scansione, trascorso il quale la richiesta di scansione viene inviata a un server Vscan alternativo, se disponibile.
Impostare il periodo di timeout nel software antivirus sul server Vscan su un valore inferiore di cinque secondi rispetto al periodo di timeout della richiesta di scansione del pool di scanner. In questo modo si evitano situazioni in cui l'accesso al file viene ritardato o negato del tutto perché il periodo di timeout sul software è superiore al periodo di timeout per la richiesta di scansione.
-
Utente con privilegi
Questa impostazione è un account utente di dominio utilizzato da un server Vscan per connettersi a SVM. L'account deve essere presente nell'elenco degli utenti con privilegi nel pool di scanner.
-
Criterio scanner
Questa impostazione determina se un pool di scanner è attivo. I criteri dello scanner sono definiti dal sistema, pertanto non è possibile creare policy personalizzate dello scanner. Sono disponibili solo queste tre policy:
-
Primaryspecifica che il pool di scanner è attivo. -
SecondarySpecifica che il pool di scanner è attivo, solo quando nessuno dei server Vscan nel pool di scanner primario è connesso. -
Idlespecifica che il pool di scanner non è attivo.
-
-
Policy di accesso
Questa impostazione definisce l'ambito di una scansione all'accesso. È possibile specificare le dimensioni massime dei file da sottoporre a scansione, le estensioni e i percorsi dei file da includere nella scansione e le estensioni e i percorsi dei file da escludere dalla scansione.
Per impostazione predefinita, viene eseguita la scansione solo dei volumi di lettura/scrittura. È possibile specificare i filtri che consentono la scansione di volumi di sola lettura o che limitano la scansione ai file aperti con accesso di esecuzione:
-
scan-ro-volumeconsente la scansione di volumi di sola lettura. -
scan-execute-accesslimita la scansione ai file aperti con accesso di esecuzione.
“Execute access” è diverso da “Execute permission”. Un determinato client avrà “Execute Access” su un file eseguibile solo se il file è stato aperto con “Execute Intent”.
È possibile impostare
scan-mandatorySelezionare Off per specificare che l'accesso al file è consentito quando non sono disponibili server Vscan per la scansione dei virus. Nella modalità on-access è possibile scegliere tra queste due opzioni che si escludono a vicenda: -
Obbligatorio: Con questa opzione, Vscan tenta di inviare la richiesta di scansione al server fino alla scadenza del periodo di timeout. Se la richiesta di scansione non viene accettata dal server, la richiesta di accesso client viene negata.
-
Non obbligatorio: Con questa opzione, Vscan consente sempre l'accesso al client, indipendentemente dal fatto che sia disponibile un server Vscan per la scansione dei virus.
-
-
Attività on-demand
Questa impostazione definisce l'ambito di una scansione on-demand. È possibile specificare le dimensioni massime dei file da sottoporre a scansione, le estensioni e i percorsi dei file da includere nella scansione e le estensioni e i percorsi dei file da escludere dalla scansione. Per impostazione predefinita, i file nelle sottodirectory vengono sottoposti a scansione.
Si utilizza una pianificazione cron per specificare quando eseguire l'attività. È possibile utilizzare
vserver vscan on-demand-task runper eseguire l'attività immediatamente. -
Profilo delle operazioni del file Vscan (solo scansione all'accesso)
Il
vscan-fileop-profileparametro pervserver cifs share createIl comando definisce quali operazioni di file SMB attivano la scansione dei virus. Per impostazione predefinita, il parametro è impostato sustandard, Che è la Best practice di NetApp. È possibile regolare questo parametro in base alle necessità quando si crea o si modifica una condivisione SMB:-
no-scanspecifica che le scansioni antivirus non vengono mai attivate per la condivisione. -
standardspecifica che le scansioni antivirus vengono attivate da operazioni di apertura, chiusura e ridenominazione. -
strictspecifica che le scansioni antivirus vengono attivate da operazioni di apertura, lettura, chiusura e ridenominazione.Il
strictprofile offre una maggiore sicurezza per le situazioni in cui più client accedono a un file contemporaneamente. Se un client chiude un file dopo averlo scritto e lo stesso file rimane aperto su un secondo client,strictgarantisce che un'operazione di lettura sul secondo client attivi una scansione prima della chiusura del file.Fare attenzione a limitare il
strict`il profilo alle condivisioni contenenti file che prevedi sia accessibile contemporaneamente. Poiché questo profilo genera più richieste di scansione, potrebbe avere un impatto sulle performance. -
writes-onlyspecifica che le scansioni antivirus vengono attivate solo quando i file modificati vengono chiusi.Da
writes-onlygenera meno richieste di scansione, in genere migliora le performance.
Se si utilizza questo profilo, lo scanner deve essere configurato per eliminare o mettere in quarantena i file infetti non riparabili, in modo che non sia possibile accedervi. Se, ad esempio, un client chiude un file dopo la scrittura di un virus e il file non viene riparato, eliminato o messo in quarantena, qualsiasi client che accede al file
withoutla scrittura su di esso sarà infetto. -
|
|
Se un'applicazione client esegue un'operazione di ridenominazione, il file viene chiuso con il nuovo nome e non viene sottoposto a scansione. Se tali operazioni rappresentano un problema di sicurezza nell'ambiente in uso, è necessario utilizzare |