Skip to main content
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Auditing del file system NAS

Collaboratori
PDF

I file system NAS occupano un impatto sempre maggiore nel panorama delle minacce di oggi, le funzioni di audit sono critiche per supportare la visibilità.

La protezione richiede convalida. ONTAP 9 fornisce maggiori eventi di controllo e dettagli in tutta la soluzione. Poiché i file system NAS occupano un impatto sempre maggiore nel panorama delle minacce odierno, le funzioni di audit sono critiche per supportare la visibilità. Grazie alla migliore funzionalità di audit di ONTAP 9, i dettagli di audit CIFS sono più abbondanti che mai. I dettagli chiave, inclusi i seguenti, vengono registrati con gli eventi creati:

  • Accesso a file, cartelle e condivisioni

  • File creati, modificati o eliminati

  • Accesso corretto ai file di lettura

  • Tentativi di lettura o scrittura dei file non riusciti

  • Modifiche ai permessi della cartella

Creare una configurazione di controllo

È necessario attivare il controllo CIFS per generare eventi di controllo. Utilizzare il vserver audit create comando per creare una configurazione di controllo. Per impostazione predefinita, il registro di controllo utilizza un metodo di rotazione basato sulle dimensioni. È possibile utilizzare un'opzione di rotazione basata sul tempo se specificata nel campo parametri di rotazione. I dettagli aggiuntivi della configurazione della rotazione del registro audit includono il programma di rotazione, i limiti di rotazione, i giorni di rotazione della settimana e le dimensioni della rotazione. Nel testo seguente viene fornita una configurazione di esempio che illustra una configurazione di controllo utilizzando una rotazione mensile basata sull'ora programmata per tutti i giorni della settimana alle 12:30.

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

Eventi di audit CIFS

Gli eventi di audit CIFS sono i seguenti:

  • Condivisione file: Genera un evento di controllo quando una condivisione di rete CIFS viene aggiunta, modificata o eliminata utilizzando i comandi correlati vserver cifs share .

  • Modifica criterio di controllo: Genera un evento di controllo quando il criterio di controllo viene disattivato, attivato o modificato utilizzando i comandi correlati vserver audit .

  • Account utente: Genera un evento di controllo quando un utente CIFS o UNIX locale viene creato o eliminato; un account utente locale viene attivato, disattivato o modificato; oppure una password viene reimpostata o modificata. Questo evento utilizza il vserver cifs users-and-groups local-group comando o il comando correlato vserver services name-service unix-user .

  • Gruppo di protezione: Genera un evento di controllo quando un gruppo di protezione CIFS o UNIX locale viene creato o eliminato utilizzando il vserver cifs users-and-groups local-group comando o il comando correlato vserver services name-service unix-group .

  • Modifica della policy di autorizzazione: Genera un evento di controllo quando vengono concessi o revocati diritti per un utente CIFS o un gruppo CIFS utilizzando il vserver cifs users-and-groups privilege comando.

Nota Questa funzionalità si basa sulla funzione di audit del sistema, che consente a un amministratore di esaminare ciò che il sistema consente e le sue prestazioni dal punto di vista di un utente di dati.

Effetto delle API REST sull'audit NAS

ONTAP include la possibilità per gli account degli amministratori di accedere e manipolare i file SMB/CIFS o NFS utilizzando le API REST. Anche se le API REST possono essere eseguite solo dagli amministratori di ONTAP, i comandi delle API REST ignorano il log di audit del NAS del sistema. Inoltre, gli amministratori di ONTAP possono ignorare le autorizzazioni dei file quando utilizzano le API REST. Tuttavia, le azioni dell'amministratore con le API REST sui file vengono acquisite nel registro della cronologia dei comandi di sistema.

Creare un ruolo API REST senza accesso

Puoi impedire agli amministratori di ONTAP di utilizzare le API REST per l'accesso al file creando un ruolo API REST che non ha accesso ai volumi ONTAP via REST. Per assegnare questo ruolo, completare i passaggi seguenti.

Fasi

  1. Creare un nuovo ruolo REST che non abbia accesso ai volumi storage ma che disponga di tutti gli altri accesso ad API REST.

    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all

  2. Assegnare l'account amministratore al nuovo ruolo API REST creato nel passaggio precedente.

    cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
Nota Se si desidera impedire all'account amministratore del cluster ONTAP integrato di utilizzare le API REST per l'accesso ai file, è necessario prima "creare un nuovo account amministratore e disattivare o eliminare l'account incorporato".