Procedure consigliate per la configurazione della funzionalità antivirus off-box in ONTAP
Prendere in considerazione i seguenti consigli per configurare la funzionalità off-box in ONTAP.
-
Limitare gli utenti con privilegi alle operazioni di scansione antivirus. Gli utenti normali devono essere scoraggiati dall'utilizzo di credenziali utente con privilegi. Questa restrizione può essere ottenuta disattivando i diritti di accesso per gli utenti con privilegi in Active Directory.
-
Gli utenti con privilegi non devono far parte di alcun gruppo di utenti con un elevato numero di diritti nel dominio, ad esempio il gruppo Administrators o il gruppo di operatori di backup. Gli utenti con privilegi devono essere convalidati solo dal sistema di archiviazione in modo che possano creare connessioni al server Vscan e accedere ai file per la scansione antivirus.
-
Utilizzare i computer su cui sono in esecuzione i server Vscan solo a scopo di scansione antivirus. Per scoraggiare l'uso generale, disattivare i servizi terminal di Windows e altre disposizioni di accesso remoto su questi computer e concedere il diritto di installare nuovo software su questi computer solo agli amministratori.
-
Dedicare i server Vscan alla scansione antivirus e non utilizzarli per altre operazioni, ad esempio i backup. Si potrebbe decidere di eseguire il server Vscan come macchina virtuale (VM). Se si esegue il server Vscan come macchina virtuale, assicurarsi che le risorse assegnate alla macchina virtuale non siano condivise e siano sufficienti per eseguire la scansione antivirus.
-
Fornire CPU, memoria e capacità del disco adeguate al server Vscan per evitare un'allocazione eccessiva delle risorse. La maggior parte dei server Vscan è progettata per utilizzare più server core CPU e per distribuire il carico tra le CPU.
-
NetApp consiglia di utilizzare una rete dedicata con una VLAN privata per la connessione dalla SVM al server Vscan, in modo che il traffico di scansione non sia influenzato da altro traffico di rete client. Creare una scheda di interfaccia di rete (NIC) separata dedicata alla VLAN antivirus sul server Vscan e alla LIF dati sulla SVM. Questo passaggio semplifica l'amministrazione e la risoluzione dei problemi in caso di problemi di rete. Il traffico antivirus deve essere segregato utilizzando una rete privata. Il server antivirus deve essere configurato per comunicare con il controller di dominio (DC) e ONTAP in uno dei seguenti modi:
-
Il controller di dominio deve comunicare con i server antivirus tramite la rete privata utilizzata per separare il traffico.
-
Il DC e il server antivirus devono comunicare attraverso una rete diversa (non la rete privata menzionata in precedenza), che non è la stessa della rete client CIFS.
-
Per attivare l'autenticazione Kerberos per la comunicazione antivirus, creare una voce DNS per la LIF privata e un nome dell'entità di servizio sul controller di dominio corrispondente alla voce DNS creata per la LIF privata. Usare questo nome quando si aggiunge una LIF al connettore antivirus. Il DNS dovrebbe essere in grado di restituire un nome univoco per ogni LIF privato collegato al connettore antivirus.
-
Se la LIF per il traffico Vscan è configurata su una porta diversa dalla LIF per il traffico client, in caso di guasto a una porta la LIF Vscan potrebbe essere sottoposta a failover su un altro nodo. La modifica rende il server Vscan non raggiungibile dal nuovo nodo e le notifiche di scansione per le operazioni sui file sul nodo non riescono. Verificare che il server Vscan sia raggiungibile tramite almeno una LIF su un nodo in modo da poter elaborare le richieste di scansione per le operazioni su file eseguite su quel nodo. |
-
Collegare il sistema storage NetApp e il server Vscan utilizzando almeno una rete 1GbE.
-
Per un ambiente con più server Vscan, collegare tutti i server con connessioni di rete simili ad alte prestazioni. La connessione dei server Vscan migliora le performance consentendo la condivisione del carico.
-
Per i siti remoti e le filiali, NetApp consiglia di utilizzare un server Vscan locale piuttosto che un server Vscan remoto, poiché il primo è il candidato ideale per ottenere una latenza elevata. Se il costo è un fattore, utilizzare un notebook o un PC per una protezione antivirus moderata. È possibile pianificare scansioni periodiche e complete del file system condividendo i volumi o i qtree ed eseguendone la scansione da qualsiasi sistema del sito remoto.
-
Utilizzare più server Vscan per eseguire la scansione dei dati sulla SVM a scopo di bilanciamento del carico e ridondanza. La quantità di carico di lavoro CIFS e il conseguente traffico antivirus varia in base alla SVM. Monitorare la latenza di scansione virus e CIFS sullo storage controller. Monitorare l'andamento dei risultati nel tempo. Se la latenza CIFS e la latenza della scansione virus aumentano a causa delle code della CPU o delle applicazioni sui server Vscan oltre le soglie di trend, i client CIFS potrebbero riscontrare lunghi tempi di attesa. Aggiungere altri server Vscan per distribuire il carico.
-
Installare la versione più recente del connettore antivirus ONTAP.
-
Mantenere aggiornati i motori e le definizioni antivirus. Consulta i partner per consigli sulla frequenza di aggiornamento.
-
In un ambiente multi-tenancy, è possibile condividere un pool di scanner (pool di server Vscan) con più SVM, a condizione che i server Vscan e le SVM facciano parte dello stesso dominio o dominio attendibile.
-
Il criterio del software antivirus per i file infetti deve essere impostato su "elimina" o "quarantena", che è il valore predefinito impostato dalla maggior parte dei fornitori di antivirus. Se "vscan-fileop-profile" è impostato su "write_only" e se viene trovato un file infetto, il file rimane nella condivisione e può essere aperto perché l'apertura di un file non attiva una scansione. La scansione antivirus viene attivata solo dopo la chiusura del file.
-
Il
scan-engine timeout
il valore deve essere inferiore a.scanner-pool request-timeout
valore. Se è impostato su un valore più alto, l'accesso ai file potrebbe subire un ritardo e alla fine potrebbe scadere. Per evitare questo problema, configurarescan-engine timeout
a 5 secondi in meno discanner-pool request-timeout
valore. Fare riferimento alla documentazione del fornitore del motore di scansione per le istruzioni su come cambiarescan-engine timeout
impostazioni. Ilscanner-pool timeout
può essere modificato utilizzando il seguente comando in modalità avanzata e fornendo il valore appropriato perrequest-timeout
parametro:vserver vscan scanner-pool modify
. -
Per un ambiente dimensionato per i carichi di lavoro di scansione ad accesso e che richiede l'utilizzo di una scansione su richiesta, NetApp consiglia di pianificare il lavoro di scansione su richiesta in orari non di punta per evitare carichi aggiuntivi sull'infrastruttura antivirus esistente.
Ulteriori informazioni sulle Best practice specifiche per i partner sono disponibili all'indirizzo "Soluzioni partner di Vscan".