Note di rilascio
Auditing del file system NAS
Suggerisci modifiche
-
PDF del sito di questa documentazione
-
Configurare, aggiornare e ripristinare ONTAP
-
Amministrazione del cluster
-
Amministrazione dei volumi
-
Gestione dello storage logico con la CLI
-
Utilizzare le quote per limitare o tenere traccia dell'utilizzo delle risorse
-
-
-
Gestione dello storage NAS
-
Configurare NFS con la CLI
-
Gestisci NFS con la CLI
-
Gestire SMB con la CLI
-
Gestire i server SMB
-
Gestire l'accesso ai file utilizzando SMB
-
-
-
Autenticazione e controllo dell'accesso
-
Sicurezza e crittografia dei dati
-
Utilizzare FPolicy per il monitoraggio e la gestione dei file su SVM
-
-
Protezione dei dati e disaster recovery
-
Raccolta di documenti PDF separati
Creating your file...
I file system NAS occupano un impatto sempre maggiore nel panorama delle minacce di oggi, le funzioni di audit sono critiche per supportare la visibilità.
La protezione richiede convalida. ONTAP 9 fornisce maggiori eventi di controllo e dettagli in tutta la soluzione. Poiché i file system NAS occupano un impatto sempre maggiore nel panorama delle minacce odierno, le funzioni di audit sono critiche per supportare la visibilità. Grazie alla migliore funzionalità di audit di ONTAP 9, i dettagli di audit CIFS sono più abbondanti che mai. I dettagli chiave, inclusi i seguenti, vengono registrati con gli eventi creati:
-
Accesso a file, cartelle e condivisioni
-
File creati, modificati o eliminati
-
Accesso corretto ai file di lettura
-
Tentativi di lettura o scrittura dei file non riusciti
-
Modifiche ai permessi della cartella
Creare una configurazione di controllo
È necessario attivare il controllo CIFS per generare eventi di controllo. Utilizzare il vserver audit create comando per creare una configurazione di controllo. Per impostazione predefinita, il registro di controllo utilizza un metodo di rotazione basato sulle dimensioni. È possibile utilizzare un'opzione di rotazione basata sul tempo se specificata nel campo parametri di rotazione. I dettagli aggiuntivi della configurazione della rotazione del registro audit includono il programma di rotazione, i limiti di rotazione, i giorni di rotazione della settimana e le dimensioni della rotazione. Nel testo seguente viene fornita una configurazione di esempio che illustra una configurazione di controllo utilizzando una rotazione mensile basata sull'ora programmata per tutti i giorni della settimana alle 12:30.
cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
Eventi di audit CIFS
Gli eventi di audit CIFS sono i seguenti:
-
Condivisione file: Genera un evento di controllo quando una condivisione di rete CIFS viene aggiunta, modificata o eliminata utilizzando i comandi correlati
vserver cifs share. -
Modifica criterio di controllo: Genera un evento di controllo quando il criterio di controllo viene disattivato, attivato o modificato utilizzando i comandi correlati
vserver audit. -
Account utente: Genera un evento di controllo quando un utente CIFS o UNIX locale viene creato o eliminato; un account utente locale viene attivato, disattivato o modificato; oppure una password viene reimpostata o modificata. Questo evento utilizza il
vserver cifs users-and-groups local-groupcomando o il comando correlatovserver services name-service unix-user. -
Gruppo di protezione: Genera un evento di controllo quando un gruppo di protezione CIFS o UNIX locale viene creato o eliminato utilizzando il
vserver cifs users-and-groups local-groupcomando o il comando correlatovserver services name-service unix-group. -
Modifica della policy di autorizzazione: Genera un evento di controllo quando vengono concessi o revocati diritti per un utente CIFS o un gruppo CIFS utilizzando il
vserver cifs users-and-groups privilegecomando.
|
Questa funzionalità si basa sulla funzione di audit del sistema, che consente a un amministratore di esaminare ciò che il sistema consente e le sue prestazioni dal punto di vista di un utente di dati. |
Effetto delle API REST sull'audit NAS
ONTAP include la possibilità per gli account degli amministratori di accedere e manipolare i file SMB/CIFS o NFS utilizzando le API REST. Anche se le API REST possono essere eseguite solo dagli amministratori di ONTAP, i comandi delle API REST ignorano il log di audit del NAS del sistema. Inoltre, gli amministratori di ONTAP possono ignorare le autorizzazioni dei file quando utilizzano le API REST. Tuttavia, le azioni dell'amministratore con le API REST sui file vengono acquisite nel registro della cronologia dei comandi di sistema.
Creare un ruolo API REST senza accesso
Puoi impedire agli amministratori di ONTAP di utilizzare le API REST per l'accesso al file creando un ruolo API REST che non ha accesso ai volumi ONTAP via REST. Per assegnare questo ruolo, completare i passaggi seguenti.
-
Creare un nuovo ruolo REST che non abbia accesso ai volumi storage ma che disponga di tutti gli altri accesso ad API REST.
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
-
Assegnare l'account amministratore al nuovo ruolo API REST creato nel passaggio precedente.
cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
|
|
Se si desidera impedire all'account amministratore del cluster ONTAP integrato di utilizzare le API REST per l'accesso ai file, è necessario prima "creare un nuovo account amministratore e disattivare o eliminare l'account incorporato". |