Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPで外部接続式のウィルス対策機能を設定するためのベストプラクティス

共同作成者
PDF

ONTAPでオフボックス機能を設定する場合は、次の推奨事項を考慮してください。

  • 特権ユーザのウィルススキャン処理を制限します。通常のユーザは、特権ユーザクレデンシャルを使用しないでください。この制限は、Active Directoryの特権ユーザのログイン権限を無効にすることで実現できます。

  • AdministratorsグループやBackup Operatorsグループなど、ドメイン内で多数の権限を持つユーザグループには、特権ユーザを含める必要はありません。特権ユーザは、Vscanサーバ接続の確立およびウィルススキャン用ファイルへのアクセスを許可するために、ストレージシステムでのみ検証する必要があります。

  • Vscanサーバを実行しているコンピュータは、ウィルススキャンの目的でのみ使用してください。一般的な使用を避けるには、これらのマシンのWindowsターミナルサービスおよびその他のリモートアクセスプロビジョニングを無効にし、これらのマシンに新しいソフトウェアをインストールする権利を管理者のみに付与します。

  • Vscanサーバはウィルススキャン専用にし、バックアップなどの他の処理には使用しないでください。Vscanサーバを仮想マシン(VM)として実行することもできます。VscanサーバをVMとして実行する場合は、VMに割り当てられているリソースが共有されておらず、ウィルススキャンを実行するのに十分であることを確認してください。

  • Vscanサーバに適切なCPU、メモリ、およびディスク容量を提供して、リソースの過剰割り当てを回避します。ほとんどのVscanサーバは、複数のCPUコアサーバを使用してCPU間で負荷を分散するように設計されています。

  • SVMからVscanサーバへの接続には、スキャントラフィックが他のクライアントネットワークトラフィックの影響を受けないように、専用ネットワークとプライベートVLANを使用することを推奨しますNetApp。Vscanサーバ上のウィルス対策VLAN専用およびSVM上のデータLIF専用の、独立したネットワークインターフェイスカード(NIC)を作成します。この手順により、ネットワークの問題が発生した場合の管理とトラブルシューティングが簡単になります。アンチウイルストラフィックは、プライベートネットワークを使用して分離する必要があります。ウィルス対策サーバは、次のいずれかの方法でドメインコントローラ(DC)およびONTAPと通信するように設定する必要があります。

    • DCは、トラフィックの分離に使用されるプライベートネットワークを介してアンチウイルスサーバと通信する必要があります。

    • DCサーバとウィルス対策サーバは、CIFSクライアントネットワークとは異なる別のネットワーク(前述のプライベートネットワークではない)を介して通信する必要があります。

    • ウィルス対策通信でKerberos認証を有効にするには、プライベートLIF用のDNSエントリと、プライベートLIF用に作成したDNSエントリに対応するサービスプリンシパル名をDC上に作成します。この名前は、Antivirus ConnectorにLIFを追加するときに使用します。DNSは、Antivirus Connectorに接続されている各プライベートLIFに対して一意の名前を返すことができる必要があります。

ヒント Vscanトラフィック用のLIFがクライアントトラフィック用のLIFとは別のポートに設定されている場合、ポート障害が発生したときにVscan LIFが別のノードにフェイルオーバーする可能性があります。変更によって新しいノードからVscanサーバに到達できなくなり、ノード上のファイル処理に関するスキャン通知が失敗します。ノード上の少なくとも1つのLIFを介してVscanサーバにアクセスできることを確認し、そのノードで実行されたファイル処理のスキャン要求を処理できるようにします。

  • 少なくとも1GbEネットワークを使用して、NetAppストレージシステムとVscanサーバを接続します。

  • 複数のVscanサーバがある環境では、同様の高パフォーマンスネットワーク接続があるすべてのサーバを接続します。Vscanサーバを接続すると、負荷を分散できるためパフォーマンスが向上します。

  • リモートサイトやブランチオフィスには、NetAppではリモートのVscanサーバではなくローカルのVscanサーバを使用することを推奨します。これは、Vscanサーバが高レイテンシの場合に最適なサーバであるためです。コストが要因の場合は、中程度のウイルス保護のためにラップトップまたはPCを使用してください。ボリュームまたはqtreeを共有し、リモートサイトの任意のシステムからスキャンすることで、ファイルシステム全体の定期的なスキャンをスケジュールできます。

  • 複数のVscanサーバを使用してSVM上のデータをスキャンし、ロードバランシングと冗長性を確保します。CIFSワークロードとその結果のウィルス対策トラフィックの量は、SVMごとに異なります。ストレージコントローラでCIFSとウィルススキャンのレイテンシを監視します。時間の経過に伴う結果の傾向を監視します。VscanサーバのCPUキューやアプリケーションキューが原因でCIFSのレイテンシやウィルススキャンのレイテンシがトレンドのしきい値を超えて上昇すると、CIFSクライアントの待機時間が長くなることがあります。Vscanサーバを追加する 負荷を分散するため。

  • 最新バージョンのONTAP Antivirus Connectorをインストールします。

  • ウィルス対策エンジンと定義を最新の状態に維持します。更新頻度に関する推奨事項については、パートナーにお問い合わせください。

  • マルチテナンシー環境では、VscanサーバとSVMが同じドメインまたは信頼されたドメインに属している場合は、スキャナプール(Vscanサーバのプール)を複数のSVMで共有できます。

  • 感染したファイルのウィルス対策ソフトウェアポリシーは、ほとんどのウィルス対策ベンダーで設定されているデフォルト値である「delete」または「quarantine」に設定する必要があります。「vscan-fileop-profile」が「write_only」に設定されていて、感染したファイルが見つかった場合、ファイルは共有に残り、ファイルを開いてもスキャンはトリガーされないため開くことができます。アンチウイルススキャンは、ファイルが閉じられた後にのみトリガーされます。

  • scan-engine timeout 値は次の値より小さくする必要があります: scanner-pool request-timeout 価値。 この値を大きい値に設定すると、ファイルへのアクセスに遅延が生じ、最終的にタイムアウトする可能性があります。 これを回避するには、 scan-engine timeout 5秒未満 scanner-pool request-timeout 価値。の変更方法については、スキャンエンジンベンダーのマニュアルを参照してください。 scan-engine timeout 設定:。 scanner-pool timeout 次のコマンドをアドバンスモードで使用し、 request-timeout パラメータ: vserver vscan scanner-pool modify

  • オンアクセススキャンのワークロード向けにサイジングされていて、オンデマンドスキャンの使用が必要な環境では、NetAppでは、既存のウィルス対策インフラへの負荷の増大を避けるために、オンデマンドスキャンジョブをオフピークの時間帯にスケジュールすることを推奨しています。

パートナー様固有のベストプラクティスの詳細については、 "Vscanパートナーソリューション"