日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ウィルス対策アーキテクチャ

寄稿者

ネットアップのウィルス対策アーキテクチャは、 Vscan サーバと一連の ONTAP 設定項目で構成されます。

Vscan サーバ

次のコンポーネントを Vscan サーバにインストールする必要があります。

  • * ONTAP Antivirus Connector *

    ネットアップが提供する ONTAP Antivirus Connector は、 ONTAP と Vscan サーバ間の通信を処理します。

  • * アンチウイルスソフトウェア *

    ONTAP 対応のサードパーティ製ウィルス対策ソフトウェアは、ファイルにウィルスなどの悪意のあるプログラムがないかをスキャンします。ソフトウェアを設定する際に、感染したファイルに対して実行する処理を指定します。

ONTAP の設定項目

ネットアップストレージシステムで次の項目を設定する必要があります。

  • * スキャナプール *

    スキャナプールは、 SVM に接続できる Vscan サーバと特権ユーザを定義します。また、スキャン要求のタイムアウト時間も定義します。この時間が経過すると、代わりの Vscan サーバがある場合はそのサーバにスキャン要求が送信されます。

    注記

    Vscan サーバのウィルス対策ソフトウェアのタイムアウト時間は、スキャナプールの要求タイムアウト時間よりも 5 秒ほど短く設定することを推奨します。 ソフトウェアのタイムアウト時間がスキャン要求のタイムアウト時間よりも長いため、ファイルアクセスが遅延または完全に拒否される状況を回避する。

  • * 特権ユーザ *

    特権ユーザは、 Vscan サーバが SVM への接続に使用するドメインユーザアカウントです。スキャナプールに定義されている特権ユーザのリストに含まれている必要があります。

  • * スキャナポリシー *

    スキャナポリシーは、スキャナプールがアクティブかどうかを決定します。スキャナポリシーには次のいずれかの値が設定されます。

    • 「 Primary 」は、スキャナプールがアクティブであることを示します。

    • 'econdary' は ' プライマリ・スキャナ・プール内のどの Vscan サーバも接続されていない場合にのみ ' スキャナ・プールをアクティブにすることを指定します

    • 「 Idle 」は、スキャナプールが非アクティブであることを示します。スキャナポリシーはシステムで定義されます。カスタムのスキャナポリシーを作成することはできません。

  • * オンアクセスポリシー *

    オンアクセスポリシーはオンアクセススキャンの範囲を定義します。スキャンするファイルの最大サイズ、スキャン対象に含めるファイルの拡張子、およびスキャン対象から除外するファイルの拡張子とパスを指定できます。

    デフォルトでは、読み取り / 書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルタや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルタを指定することができます。

    • 'can -ro-volume ' 読み取り専用ボリュームのスキャンを有効にします

    • 「 CAN-execute-access 」を指定すると、実行アクセス権で開かれたファイルのみがスキャンされます。

      注記

      「 Execute access 」は「 execute permission 」と同じではありません。 指定されたクライアントには ' 実行アクセス権が付与されますが ' 実行目的でファイルを開いた場合にのみ ' 実行アクセス権が付与されます

    「 mandatory-mandatory 」オプションを off に設定すると、ウィルススキャンに使用できる Vscan サーバがない場合にファイルアクセスを許可するように指定できます。

  • * オンデマンドタスク *

    オンデマンドタスクは、オンデマンドスキャンの範囲を定義します。スキャンするファイルの最大サイズ、スキャン対象に含めるファイルの拡張子とパス、およびスキャン対象から除外するファイルの拡張子とパスを指定できます。デフォルトでは、サブディレクトリ内のファイルがスキャンされます。

    cron スケジュールを使用していつタスクを実行するかを指定できます。「 vserver vscan on-demand task run 」コマンドを使用して、タスクをすぐに実行できます。

  • * Vscan ファイル処理プロファイル(オンアクセススキャンのみ) *

    vserver cifs share create コマンドの -vscan-fileop-profile パラメータでは、ウィルススキャンをトリガーする SMB 共有での処理を定義します。デフォルトでは、パラメータは「標準」に設定されています。これは、ネットアップのベストプラクティスです。

    このパラメータは、 SMB 共有を作成または変更するときに必要に応じて調整できます。

    • 「 no-scan 」を指定すると、ウィルス・スキャンは共有に対して一切トリガーされません。

    • 'tandard' は、開く、閉じる、および名前変更操作によってウイルススキャンをトリガーできることを指定します。

    • 「 stict 」は、開く、読み取る、閉じる、名前変更の各操作によってウィルススキャンをトリガーすることを指定します。

      「 stict 」プロファイルは、複数のクライアントが同時にファイルにアクセスする状況でのセキュリティを強化します。あるクライアントがウィルスを書き込んだ後にファイルを閉じ、同じファイルが別のクライアントで開いている場合、「 trict 」により、 2 番目のクライアントがファイルを閉じる前に読み取り処理を実行した場合にもスキャンがトリガーされます。

      「 stict 」プロファイルは、同時にアクセスされる可能性のあるファイルを含む共有に制限するように注意してください。プロファイルは他のプロファイルよりも多くのスキャン要求を生成するため、パフォーマンスの低下を招く可能性があります。

    • 「 writes-only 」を指定すると、変更されたファイルが閉じられたときにのみウィルススキャンがトリガーされます。

      注記

      クライアントアプリケーションが名前変更操作を実行すると、ファイルは新しい名前で閉じられ、スキャンされません。このような操作が環境内でセキュリティ上の問題となる場合は、「標準」または「管理」プロファイルを使用する必要があります。

      「 writes-only 」は他のプロファイル(「 no-scan 」を除く)よりも生成されるスキャン要求が少ないため、通常はパフォーマンスが向上します。

    ただし、このプロファイルを共有に使用する場合は、修復不可能な感染ファイルを削除または隔離するようにスキャナを設定し、以降クライアントがアクセスできないようにする必要があります。たとえば、あるクライアントがウィルスを書き込んだあとにファイルを閉じ、そのファイルが修復、削除、または隔離されていない場合、 file_deleton_writing にアクセスするクライアントはすべて感染します。