ONTAP動的認証について学ぶ
変更を提案
PDF
ONTAP 9.15.1以降では、管理者は動的許可を設定し有効化することで、ONTAPへのリモート アクセス時のセキュリティを強化するとともに、悪意のあるユーザによる攻撃の被害を軽減できます。ONTAP 9.15.1の動的許可は初期段階のフレームワークであり、ユーザにセキュリティ スコアを割り当て、その行動が不審な場合に追加の許可チェックを実施するか、操作を完全に拒否できます。管理者はルールの作成、信頼スコアの割り当て、コマンドの制限を行い、ユーザの特定の行動を許可または拒否するタイミングを指定できます。動的許可の有効化は、クラスタ全体または個別のStorage VMに対して行えます。
動的許可の仕組み
動的許可では、信頼スコア システムに基づき、許可ポリシーに応じた各種信頼レベルをユーザに割り当てます。ユーザの信頼レベルに応じて、その操作を許可または拒否するか、追加の認証を求めることができます。
"動的許可のカスタマイズ"を参照して、基準スコアの重みやその他の動的承認属性を構成する方法の詳細を確認してください。
信頼済みのデバイス
動的許可が使用されている場合、信頼済みのデバイスの定義は、ユーザが認証方法の1つとして公開鍵認証を使用してONTAPにログインするために使用するデバイスです。そのデバイスは、そのユーザのみが対応する秘密鍵を所有しているため、信頼されます。
動的許可の例
例として、3名のユーザがボリュームの削除を試みた場合を考えます。各ユーザの操作試行時には、それぞれのリスクが以下のように評価されます。
-
1番目のユーザは、以前に数回だけ認証に失敗した信頼済みのデバイスからログインしました。そのため、リスクは低いと評価され、追加の認証不要で操作が許可されます。
-
2番目のユーザは、以前に認証に失敗した割合が中程度の信頼済みのデバイスからログインしました。そのため、リスクは中程度と評価され、操作の許可前に追加の認証が求められます。
-
3番目のユーザは、以前に認証に失敗した割合が高い、信頼されていないデバイスからログインしました。そのため、リスクは高いと評価され、操作が拒否されます。