Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ユーザーアクセスのブロック

共同作成者 netapp-alavoie
PDF

攻撃が検出されると、Workload Security はファイルシステムへのユーザー アクセスをブロックして攻撃を阻止できます。アクセスは、自動応答ポリシーを使用して自動的にブロックすることも、アラートまたはユーザーの詳細ページから手動でブロックすることもできます。

ユーザー アクセスをブロックする場合は、ブロック期間を定義する必要があります。選択した期間が終了すると、ユーザー アクセスは自動的に復元されます。アクセス ブロックは、SMB プロトコルと NFS プロトコルの両方でサポートされています。

ユーザーは SMB に対して直接ブロックされ、攻撃の原因となっているホスト マシンの IP アドレスは NFS に対してブロックされます。これらのマシン IP アドレスは、Workload Security によって監視されるストレージ仮想マシン (SVM) へのアクセスがブロックされます。

たとえば、Workload Security が 10 個の SVM を管理しており、そのうち 4 個の SVM に対して自動応答ポリシーが設定されているとします。攻撃が 4 つの SVM のいずれかから発生した場合、ユーザーのアクセスは 10 個の SVM すべてでブロックされます。スナップショットは元の SVM で引き続き作成されます。

4 つの SVM があり、そのうち 1 つの SVM が SMB 用、1 つの SVM が NFS 用、残りの 2 つが NFS と SMB の両方用に設定されている場合、攻撃が 4 つの SVM のいずれかから発生した場合、すべての SVM がブロックされます。

ユーザーアクセスブロックの前提条件

この機能が動作するには、クラスター レベルの資格情報が必要です。

クラスター管理資格情報を使用している場合は、新しい権限は必要ありません。

ユーザーに権限が付与されたカスタム ユーザー (たとえば、csuser) を使用している場合は、以下の手順に従って、Workload Security にユーザーをブロックする権限を付与します。

クラスタ認証情報を持つ csuser の場合は、 ONTAPコマンドラインから次の操作を実行します。

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

必ず権限セクションを確認してください。"ONTAP SVMデータコレクターの設定"ページも同様です。

この機能を有効にするにはどうすればいいですか?

  • Workload Security で、Workload Security > ポリシー > 自動応答ポリシー に移動します。 *+攻撃ポリシー*を選択します。

  • _ユーザーファイルアクセスをブロック_を選択(チェック)します。

自動ユーザーアクセスブロックを設定するにはどうすればいいですか?

  • 新しい攻撃ポリシーを作成するか、既存の攻撃ポリシーを編集します。

  • 攻撃ポリシーを監視する SVM を選択します。

  • 「ユーザーファイルアクセスをブロックする」チェックボックスをクリックします。これを選択すると機能が有効になります。

  • 「期間」の下で、ブロックを適用する期間を選択します。

  • 自動ユーザーブロックをテストするには、"シミュレートされたスクリプト"

システム内にブロックされたユーザーがいるかどうかを知るにはどうすればいいですか?

  • アラート リスト ページでは、ユーザーがブロックされている場合に画面上部にバナーが表示されます。

  • バナーをクリックすると、「ユーザー」ページに移動し、ブロックされたユーザーのリストが表示されます。

  • 「ユーザー」ページに、「ユーザー/IP アクセス」という列があります。その列には、ユーザーのブロックの現在の状態が表示されます。

ユーザーアクセスを手動で制限および管理する

  • アラートの詳細画面またはユーザーの詳細画面に移動し、それらの画面からユーザーを手動でブロックまたは復元することができます。

ユーザーアクセス制限履歴

アラートの詳細とユーザーの詳細ページのユーザー パネルでは、ユーザーのアクセス制限履歴の監査を表示できます。時間、アクション (ブロック、ブロック解除)、期間、実行されたアクション、手動/自動、NFS の影響を受ける IP などが表示されます。

機能を無効にするにはどうすればいいですか?

この機能はいつでも無効にすることができます。システムに制限されたユーザーが存在する場合は、まずそのユーザーのアクセスを復元する必要があります。

  • Workload Security で、Workload Security > ポリシー > 自動応答ポリシー に移動します。 *+攻撃ポリシー*を選択します。

  • _ユーザーファイルアクセスをブロック_を選択解除します。

この機能はすべてのページで非表示になります。

NFSのIPを手動で復元する

Workload Security のトライアルの有効期限が切れた場合、またはエージェント/コレクターがダウンしている場合は、次の手順に従ってONTAPから IP を手動で復元します。

  1. SVM 上のすべてのエクスポート ポリシーを一覧表示します。

    contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. それぞれの RuleIndex を指定して、クライアント マッチとして「cloudsecure_rule」を持つ SVM 上のすべてのポリシーのルールを削除します。ワークロード セキュリティ ルールは通常 1 になります。

     contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Workload Security ルールが削除されていることを確認します (確認のためのオプションの手順)。
    contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

SMBのユーザーを手動で復元する

Workload Security のトライアルの有効期限が切れた場合、またはエージェント/コレクターがダウンしている場合は、次の手順に従ってONTAPからユーザーを手動で復元します。

Workload Security でブロックされているユーザーのリストは、ユーザー リスト ページから取得できます。

  1. クラスタ admin 認証情報を使用して、 ONTAPクラスタ (ユーザーのブロックを解除するクラスタ) にログインします。 ( Amazon FSxの場合は、FSx 認証情報を使用してログインします)。

  2. 次のコマンドを実行して、すべての SVM で Workload Security for SMB によってブロックされているすべてのユーザーを一覧表示します。

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

上記の出力では、ドメイン CSLAB で 2 人のユーザー (US030、US040) がブロックされました。

  1. 上記の出力から位置を特定したら、次のコマンドを実行してユーザーのブロックを解除します。

     vserver name-mapping delete -direction win-unix -position <position>
. 次のコマンドを実行して、ユーザーがブロック解除されていることを確認します。
    vserver name-mapping show -direction win-unix -replacement " "

以前にブロックされたユーザーについてはエントリが表示されません。

トラブルシューティング

問題 試してみてください

攻撃があるにもかかわらず、一部のユーザーは制限を受けていません。

1.SVM のデータ コレクターとエージェントが 実行中 状態であることを確認します。データコレクタとエージェントが停止している場合、Workload Security はコマンドを送信できません。2.これは、ユーザーがこれまで使用されたことのない新しい IP を持つマシンからストレージにアクセスした可能性があるためです。制限は、ユーザーがストレージにアクセスしているホストの IP アドレスによって行われます。制限されている IP アドレスのリストについては、UI (アラートの詳細 > このユーザーのアクセス制限履歴 > 影響を受ける IP) で確認してください。ユーザーが制限された IP とは異なる IP を持つホストからストレージにアクセスしている場合でも、ユーザーは制限されていない IP を通じてストレージにアクセスできます。ユーザーが IP が制限されているホストからアクセスしようとすると、ストレージにアクセスできなくなります。

「アクセスの制限」を手動でクリックすると、「このユーザーの IP アドレスは既に制限されています」というメッセージが表示されます。

制限対象の IP は既に別のユーザーから制限されています。

ポリシーを変更できませんでした。理由: そのコマンドを実行する権限がありません。

csuser を使用している場合は、上記のようにユーザーに権限が付与されていることを確認します。

NFS のユーザー (IP アドレス) ブロックは機能しますが、SMB/CIFS の場合は、「SID から DomainName への変換に失敗しました」というエラー メッセージが表示されます。理由タイムアウト: ソケットが確立されていません

これは、csuser に ssh を実行する権限がない場合に発生する可能性があります。 (クラスター レベルでの接続を確認し、ユーザーが ssh を実行できることを確認します)。 csuser ロールにはこれらの権限が必要です。 https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blockingクラスタ認証情報を持つ csuser の場合は、 ONTAPコマンドラインから次の操作を実行します。security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all csuser が使用されず、クラスタ レベルの管理者ユーザが使用される場合は、管理者ユーザがONTAPへの SSH 権限を持っていることを確認します。

ユーザーがブロックされるはずなのに、エラー メッセージ「SID の変換に失敗しました。 理由:255:エラー: コマンドが失敗しました: このコマンドに対して権限がありませんエラー: "access-check" は認識されたコマンドではありません」が表示されます。

これは、csuser に適切な権限がない場合に発生する可能性があります。見る"ユーザーアクセスブロックの前提条件"詳細についてはこちらをご覧ください。権限を適用した後、 ONTAPデータ コレクターとユーザー ディレクトリ データ コレクターを再起動することをお勧めします。必要な権限コマンドは以下のとおりです。 ---- security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all ----