サイバーボールトの管理プレーンを分離

デスティネーションクラスタのデータLIFは追加の攻撃ベクトルであるため、有効にしないでください。

デスティネーションクラスタで、サービスポリシーを使用してクラスタ間LIFへのアクセスをソースクラスタに制限する

サービスポリシーと要塞ホストを使用して、デスティネーションクラスタの管理LIFをアクセスを制限できるように分割する

ソースクラスタからサイバーボールトへのすべてのデータトラフィックを制限して、SnapMirrorトラフィックに必要なポートだけを許可する

可能な場合は、ONTAP内で不要な管理アクセス方法を無効にして、攻撃対象領域を減らします。

監査ログとリモートログストレージを有効にする

複数の管理者による検証を可能にし、通常のストレージ管理者（CISOスタッフなど）以外の管理者による検証を必要とする

ロールベースアクセス制御の実装

System Managerとsshで管理者の多要素認証が必要

スクリプトとREST API呼び出しにトークンベースの認証を使用する