ウィルス対策アーキテクチャ
NetAppウィルス対策アーキテクチャは、Vscanサーバソフトウェアと関連する設定で構成されます。
Vscanサーバソフトウェア
このソフトウェアはVscanサーバにインストールする必要があります。
-
* ONTAP Antivirus Connector *
NetAppが提供するソフトウェアで、SVMとウィルス対策ソフトウェアの間のスキャン要求と応答の通信を処理します。仮想マシン上で実行できますが、最高のパフォーマンスを得るには物理マシンを使用します。このソフトウェアはNetAppサポートサイトからダウンロードできます(ログインが必要です)。
-
* アンチウイルスソフトウェア *
これは、ウイルスやその他の悪意のあるコードのファイルをスキャンするパートナー提供のソフトウェアです。ソフトウェアを設定する際に、感染したファイルに対して実行する処理を指定します。
Vscanソフトウェア設定
これらのソフトウェアをVscanサーバで設定する必要があります。
-
* スキャナプール *
この設定では、SVMに接続できるVscanサーバと特権ユーザを定義します。また、スキャン要求のタイムアウト時間も定義します。この時間が経過すると、代替のVscanサーバがある場合はそのサーバにスキャン要求が送信されます。
Vscanサーバ上のウィルス対策ソフトウェアのタイムアウト時間は、scanner-poolのスキャン要求タイムアウト時間よりも5秒短く設定する必要があります。これにより、ソフトウェアのタイムアウト時間がスキャン要求のタイムアウト時間よりも長いため、ファイルアクセスが遅延または拒否される状況を回避できます。
-
* 特権ユーザ *
この設定は、VscanサーバがSVMへの接続に使用するドメインユーザアカウントです。スキャナプール内の特権ユーザのリストにアカウントが存在している必要があります。
-
* スキャナポリシー *
この設定では、スキャナプールをアクティブにするかどうかを指定します。スキャナポリシーはシステムで定義されるため、カスタムのスキャナポリシーを作成することはできません。次の3つのポリシーのみを使用できます。
-
`Primary`スキャナプールをアクティブにします。
-
`Secondary`プライマリスキャナプールのVscanサーバが1つも接続されていない場合にのみスキャナプールをアクティブにします。
-
`Idle`スキャナプールを非アクティブにします。
-
-
* オンアクセスポリシー *
この設定では、オンアクセススキャンの範囲を定義します。スキャンする最大ファイルサイズ、スキャンに含めるファイル拡張子とパス、およびスキャンから除外するファイル拡張子とパスを指定できます。
デフォルトでは、読み取り/書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルタや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルタを指定することができます。
-
`scan-ro-volume`読み取り専用ボリュームのスキャンを有効にします。
-
`scan-execute-access`実行アクセス権で開かれたファイルにスキャンを制限します。
「アクセスの実行」と「アクセスの実行」は「アクセスの実行」とは異なります。 指定されたクライアントは、実行ファイルが「実行意図」で開かれている場合にのみ、実行ファイルに対して「実行アクセス」を持つことになります。
このオプションをoffに設定する `scan-mandatory`と、ウィルススキャンに使用できるVscanサーバがない場合にファイルアクセスを許可します。オンアクセスモードでは、次の2つのオプションのいずれかを選択できます。
-
必須:このオプションを指定すると、タイムアウト時間が経過するまで、Vscanはサーバへのスキャン要求の配信を試みます。サーバがスキャン要求を受け入れなかった場合、クライアントアクセス要求は拒否されます。
-
必須以外:このオプションを使用すると、Vscanサーバがウィルススキャンに使用できるかどうかに関係なく、Vscanでクライアントアクセスが常に許可されます。
-
-
* オンデマンドタスク *
この設定では、オンデマンドスキャンの範囲を定義します。スキャンする最大ファイルサイズ、スキャンに含めるファイル拡張子とパス、およびスキャンから除外するファイル拡張子とパスを指定できます。デフォルトでは、サブディレクトリ内のファイルがスキャンされます。
cronスケジュールを使用して、タスクを実行するタイミングを指定します。コマンドを使用すると、タスクをすぐに実行できます
vserver vscan on-demand-task run
。 -
* Vscan ファイル処理プロファイル(オンアクセススキャンのみ) *
コマンドのパラメータ `vserver cifs share create`は、 `vscan-fileop-profile`ウィルススキャンをトリガーするSMBファイル処理を定義します。デフォルトでは、パラメータは(NetAppのベストプラクティス)に設定され `standard`ます。このパラメータは、SMB共有を作成または変更するときに必要に応じて調整できます。
-
`no-scan`共有に対してウィルススキャンを一切トリガーしません。
-
`standard`開く、閉じる、および名前変更の各処理でウィルススキャンをトリガーします。
-
`strict`開く、読み取る、閉じる、および名前変更の各処理でウィルススキャンをトリガーします。
プロファイルを使用する `strict`と、複数のクライアントが同時に1つのファイルにアクセスする場合のセキュリティが強化されます。では、あるクライアントがウィルスを書き込んだあとにファイルを閉じたときに別のクライアントが同じファイルを開いていた場合、2番目のクライアントが `strict`ファイルを閉じる前に読み取り処理を実行したときにスキャンがトリガーされます。
`strict`同時にアクセスされる可能性があるファイルを含む共有にプロファイルを制限するように注意してください。このプロファイルはより多くのスキャン要求を生成するため、パフォーマンスに影響を与える可能性があります。
-
`writes-only`変更されたファイルが閉じられたときにのみウィルススキャンをトリガーします。
`writes-only`で生成されるスキャン要求が少なくなるため、通常はパフォーマンスが向上します。
このプロファイルを使用する場合は、修復不可能な感染ファイルを削除または隔離するようにスキャナを設定して、アクセスできないようにする必要があります。たとえば、あるクライアントがウィルスを書き込んだあとにファイルを閉じた場合、そのファイルが修復、削除、または隔離されていないと、書き込み先のファイルにアクセスしたすべてのクライアント `without`が感染します。
-
クライアントアプリケーションが名前変更処理を実行すると、ファイルは新しい名前で閉じられ、スキャンされません。このような処理によってセキュリティが懸念される環境では、または `strict`プロファイルを使用する必要があり `standard`ます。 |