動的許可の概要
変更を提案
PDF
ONTAP 9.15.1以降では、管理者は動的許可を設定し有効化することで、ONTAPへのリモート アクセス時のセキュリティを強化するとともに、悪意のあるユーザによる攻撃の被害を軽減できます。ONTAP 9.15.1の動的許可は初期段階のフレームワークであり、ユーザにセキュリティ スコアを割り当て、その行動が不審な場合に追加の許可チェックを実施するか、操作を完全に拒否できます。管理者はルールの作成、信頼スコアの割り当て、コマンドの制限を行い、ユーザの特定の行動を許可または拒否するタイミングを指定できます。動的許可の有効化は、クラスタ全体または個別のStorage VMに対して行えます。
動的許可の仕組み
動的許可では、信頼スコア システムに基づき、許可ポリシーに応じた各種信頼レベルをユーザに割り当てます。ユーザの信頼レベルに応じて、その操作を許可または拒否するか、追加の認証を求めることができます。
"動的許可のカスタマイズ"基準スコアの重みおよびその他の動的認可属性の設定方法については、を参照してください。
信頼できるデバイス
動的認可が使用されている場合、信頼できるデバイスの定義は、ユーザが認証方式の1つとして公開鍵認証を使用してONTAPにログインするために使用するデバイスです。デバイスは、そのユーザだけが対応する秘密鍵を所有しているため、信頼されています。
動的許可の例
たとえば、3人のユーザがボリュームを削除しようとするとします。ユーザーが操作を実行しようとすると、各ユーザーのリスク評価が検査されます。
-
最初のユーザーが信頼できるデバイスからログインし、以前に認証エラーがほとんど発生しなかったため、リスクレーティングが低くなります。この操作は追加の認証なしで許可されます。
-
2番目のユーザーは、以前の認証失敗の割合が中程度で、信頼できるデバイスからログインします。これにより、リスク評価は中程度になります。操作が許可される前に、追加の認証を要求されます。
-
3番目のユーザーは、以前の認証失敗の割合が高い信頼されていないデバイスからログインします。これにより、リスクレーティングが高くなります。操作は許可されません。