ONTAPでの動的許可のカスタマイズ
管理者は、動的許可のさまざまな設定をカスタマイズして、自身がONTAPクラスタにリモートでSSH接続する際のセキュリティを高められます。
セキュリティのニーズに応じて、以下の動的許可設定をカスタマイズできます。
動的認証グローバル設定の構成
動的許可のグローバル設定を行うことができます。これには、セキュアなStorage VM、認証チャレンジの抑制間隔、信頼スコアの設定などが含まれます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-modify.html[security dynamic-authorization modify
^]コマンドを参照してください。
-
動的認可のグローバル設定を構成します。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。かっこ<>の値を環境に合わせて更新します。
security dynamic-authorization modify \ -lower-challenge-boundary <percent> \ -upper-challenge-boundary <percent> \ -suppression-interval <interval> \ -vserver <storage_VM_name>
-
作成された構成を表示します。
security dynamic-authorization show
制限されたコマンドの設定
ダイナミック許可をイネーブルにすると、この機能には制限されたコマンドのデフォルトセットが含まれます。このリストは、必要に応じて変更できます。制限されたコマンドのデフォルトリストについては、を参照して"Multi-Admin Verification(MAV)ドキュメント"ください。
制限されたコマンドの追加
動的許可で制限されているコマンドのリストにコマンドを追加できます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-rule-create.html[security dynamic-authorization rule create
^]コマンドを参照してください。
-
コマンドを追加します。角かっこ(<>)内の値は環境に合わせて変更してください。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization rule create \ -query <query> \ -operation <text> \ -index <integer> \ -vserver <storage_VM_name>
-
変更後の制限コマンド リストを確認します。
security dynamic-authorization rule show
制限コマンドの削除
動的許可で制限するコマンドのリストからコマンドを削除できます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-rule-delete.html[security dynamic-authorization rule delete
^]コマンドを参照してください。
-
コマンドを削除します。角かっこ(<>)内の値は環境に合わせて変更してください。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization rule delete \ -operation <text> \ -vserver <storage_VM_name>
-
変更後の制限コマンド リストを確認します。
security dynamic-authorization rule show
動的許可グループの設定
デフォルトでは、動的許可を有効化すると、ただちにすべてのユーザとグループに適用されます。ただし、コマンドを使用してグループを作成すると security dynamic-authorization group create
、動的認可が特定のユーザにのみ適用されるようになります。
動的認可グループを追加します。
ダイナミック認可グループを追加できます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-group-create.html[security dynamic-authorization group create
^]コマンドを参照してください。
-
グループを作成します。角かっこ(<>)内の値は環境に合わせて変更してください。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization group create \ -name <group-name> \ -vserver <storage_VM_name> \ -excluded-usernames <user1,user2,user3...>
-
変更後の動的許可グループを確認します。
security dynamic-authorization group show
動的許可グループの削除
動的許可グループを削除できます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-group-delete.html[security dynamic-authorization group delete
^]コマンドを参照してください。
-
グループを削除します。角かっこ(<>)内の値は環境に合わせて変更してください。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization group delete \ -name <group-name> \ -vserver <storage_VM_name>
-
変更後の動的許可グループを確認します。
security dynamic-authorization group show
動的認証信頼スコアコンポーネントの設定
スコアリング基準の優先度を変更したり、リスクスコアリングから特定の基準を削除したりするために、最大スコアウェイトを設定できます。
ベストプラクティスとして、デフォルトのスコアウェイト値はそのままにし、必要な場合にのみ調整することを推奨します。 |
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-trust-score-component-modify.html[security dynamic-authorization trust-score-component modify
^]コマンドを参照してください。
変更可能なコンポーネントは、デフォルトのスコアとパーセンテージの重みとともに次のとおりです。
基準 | コンポーネント名 | デフォルトの未加工スコアの重み | デフォルトの重量パーセンテージ |
---|---|---|---|
信頼できるデバイス |
|
20 |
50 |
ユーザのログイン認証履歴 |
|
20 |
50 |
-
信頼スコアコンポーネントを変更します。括弧<>の値を環境に合わせて更新します。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization trust-score-component modify \ -component <component-name> \ -weight <integer> \ -vserver <storage_VM_name>
-
変更後の信頼スコア コンポーネント設定を確認します。
security dynamic-authorization trust-score-component show
ユーザの信頼スコアのリセット
ユーザがシステム ポリシーによりアクセスを拒否されたものの、その身元を証明可能な場合、管理者はそのユーザの信頼スコアをリセットできます。
リンクの詳細については、を参照してください。NetAppONTAPコマンドリファレンスに記載されているhttps://docs com/us-en/ ONTAP -cli/security-dynamic-authorization-user-trust-score-reset.html`^][`security dynamic-authorization user-trust-score reset`コマンドを参照してください。
-
コマンドを追加します。リセット可能な信頼スコアコンポーネントのリストについては、を参照してください動的認証信頼スコアコンポーネントの設定。括弧<>の値を環境に合わせて更新します。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization user-trust-score reset \ -username <username> \ -component <component-name> \ -vserver <storage_VM_name>
信頼スコアの閲覧
ユーザは、ログイン セッションにおける自分の信頼スコアを閲覧できます。
-
信頼スコアを表示します。
security login whoami
次のような出力が表示されます。
User: admin Role: admin Trust Score: 50
カスタム信頼スコアプロバイダの設定
外部の信頼スコアプロバイダーからスコアリングメソッドをすでに受信している場合は、カスタムプロバイダーを動的認可設定に追加できます。
-
カスタム信頼スコアプロバイダはJSON応答を返す必要があります。次の構文要件を満たす必要があります。
-
信頼スコアを返すフィールドは、配列要素ではなくスカラーである必要があります。
-
信頼スコアを返すフィールドは、のようにネストされたフィールドにすることができます
trust_score.value
。 -
JSON応答内に数値の信頼スコアを返すフィールドが必要です。これがネイティブで利用できない場合は、この値を返すラッパースクリプトを記述できます。
-
-
提供される値は、信頼スコアまたはリスクスコアのいずれかです。違いは、信頼スコアが昇順で、高いスコアが高い信頼レベルを示し、リスクスコアが降順であることです。たとえば、0~100のスコア範囲の信頼スコアが90の場合、そのスコアが非常に信頼性が高く、追加のチャレンジなしで「許可」になる可能性があることを示します。一方、0~100のスコア範囲のリスクスコアが90の場合は、リスクが高く、追加のチャレンジなしで「拒否」になる可能性があります。
-
カスタム信頼スコアプロバイダには、ONTAP REST API経由でアクセスできる必要があります。
-
カスタム信頼スコアプロバイダは、サポートされているパラメータのいずれかを使用して設定する必要があります。サポートされているパラメータリストにない設定を必要とするカスタム信頼スコアプロバイダはサポートされません。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-trust-score-component-create.html[security dynamic-authorization trust-score-component create
^]コマンドを参照してください。
-
カスタム信頼スコアプロバイダを追加します。括弧<>の値を環境に合わせて更新します。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization trust-score-component create \ -component <text> \ -provider-uri <text> \ -score-field <text> \ -min-score <integer> \ -max-score <integer> \ -weight <integer> \ -secret-access-key "<key_text>" \ -provider-http-headers <list<header,header,header>> \ -vserver <storage_VM_name>
-
変更後の信頼スコア プロバイダ設定を確認します。
security dynamic-authorization trust-score-component show
カスタム信頼スコア プロバイダ タグの設定
外部の信頼スコア プロバイダとの通信にタグを使用できます。こうすることで、機密情報を漏えいさせることなく、URLで信頼スコア プロバイダに情報を送信できます。
リンクhttps://docsの詳細については、ONTAPコマンドリファレンスを参照してください。NetApp .com /us-en/ ONTAP -CLI/ security-dynamic-authorization-trust-score-component-create.html[security dynamic-authorization trust-score-component create
^]コマンドを参照してください。
-
信頼スコアプロバイダタグを有効にします。括弧<>の値を環境に合わせて更新します。パラメータを使用しない場合、 `-vserver`コマンドはクラスタレベルで実行されます。太字のパラメータは必須です。
security dynamic-authorization trust-score-component create \ -component <component_name> \ -weight <initial_score_weight> \ -max-score <max_score_for_provider> \ -provider-uri <provider_URI> \ -score-field <REST_API_score_field> \ -secret-access-key "<key_text>"
例:
security dynamic-authorization trust-score-component create -component comp1 -weight 20 -max-score 100 -provider-uri https://<url>/trust-scores/users/<user>/<ip>/component1.html?api-key=<access-key> -score-field score -access-key "MIIBBjCBrAIBArqyTHFvYdWiOpLkLKHGjUYUNSwfzX"