サイバー金庫の管理プレーンを分離する

宛先クラスタでデータLIFを有効にしないでください。これは追加の攻撃ベクトルとなるためです。

宛先クラスタで、サービス ポリシーを使用してソース クラスタへのクラスタ間 LIF アクセスを制限します。

サービス ポリシーと要塞ホストを使用して、宛先クラスタの管理 LIF をセグメント化し、アクセスを制限します。

ソースクラスタからサイバーボールトへのすべてのデータトラフィックを制限し、 SnapMirrorトラフィックに必要なポートのみを許可します。

可能であれば、 ONTAP内の不要な管理アクセス方法を無効にして、攻撃対象領域を減らします。

監査ログとリモートログストレージを有効にする

複数の管理者による検証を有効にし、通常のストレージ管理者以外の管理者（CISO スタッフなど）による検証を要求します。

ロールベースのアクセス制御を実装する

システムマネージャとSSHに管理多要素認証を要求する

スクリプトとREST API呼び出しにトークンベースの認証を使用する