ONTAP FPolicy設定タイプ
変更を提案
PDF
FPolicyの基本設定には2つのタイプがあります。一方の設定では、通知を受けて処理と対応を行う外部FPolicyサーバを使用します。もう一方の設定では外部FPolicyサーバを使用しません。代わりに、ONTAP内部のネイティブFPolicyサーバを使用して、拡張子に基づく単純なファイル ブロッキングを行います。
-
外部FPolicyサーバー設定
FPolicyサーバに通知が送信され、そのサーバが要求をスクリーニングし、要求されたファイル処理をノードで許可するかどうかを決定するルールを適用します。同期ポリシーの場合、FPolicyサーバは、要求されたファイル処理を許可または拒否する応答をノードに送信します。
-
ネイティブ FPolicy サーバ設定
通知は内部的にスクリーニングされます。要求は、FPolicyスコープで設定されているファイル拡張子に基づいて許可または拒否されます。
注意:拒否されたファイル拡張子の要求は記録されません。
ネイティブFPolicy設定を作成するタイミング
ネイティブFPolicy設定ではONTAP内部のFPolicyエンジンを使用して、ファイルの拡張子に基づいてファイル操作を監視およびブロックします。このソリューションでは、外部FPolicyサーバ(FPolicyサーバ)は必要ありません。このシンプルなソリューションだけで十分な場合、ネイティブファイルブロッキング設定の使用が適切です。
ネイティブ ファイル ブロッキングを使用すると、設定した処理およびフィルタリング イベントに一致するすべてのファイル処理を監視したうえで、特定の拡張子のファイルへのアクセスを拒否することができます。これはデフォルトの設定です。
この設定により、ファイルの拡張子のみに基づいてファイルアクセスをブロックできます。例えば、 `mp3`拡張子を含むファイルをブロックするには、対象のファイル拡張子が `mp3`である特定の操作に対して通知を送信するポリシーを設定します。このポリシーは、通知を生成する操作に対する `mp3`ファイルリクエストを拒否するように設定されています。
ネイティブFPolicy設定には次の条件が適用されます。
-
FPolicyサーバベース ファイル スクリーニングでサポートされているフィルタとプロトコルのセットが、ネイティブ ファイル ブロッキングでもサポートされます。
-
ネイティブ ファイル ブロッキングとFPolicyサーバベースのファイル スクリーニング アプリケーションは同時に設定できます。
そのためには、Storage Virtual Machine(SVM)に2つのFPolicyポリシーを設定します。1つはネイティブ ファイル ブロッキング用、もう1つはFPolicyサーバベースのファイル スクリーニング用に設定されたポリシーです。
-
ネイティブ ファイル ブロッキング機能では、ファイルの内容でなく、拡張子のみに基づいてファイルがスクリーニングされます。
-
シンボリック リンクの場合には、ネイティブ ファイル ブロッキングは、ルート ファイルのファイル拡張子を使用します。
"FPolicy:ネイティブファイルブロッキング"についての詳細をご覧ください。
外部FPolicyサーバを使用する設定を作成する状況
ファイル拡張子に基づいて単にファイルをブロックする以上のことが求められるユース ケースの場合、通知の処理と管理に外部FPolicyサーバを使用するようにFPolicyを設定することは、堅牢なソリューションとなります。
ファイル アクセス イベントの監視および記録、クォータ サービスの提供、単純なファイルの拡張子以外の基準に基づくファイル ブロッキング、階層型ストレージ管理アプリケーションを使用したデータ移行サービス、Storage Virtual Machine(SVM)内のデータのサブセットのみを監視する詳細なポリシー セットの提供などの状況では、外部FPolicyサーバを使用する設定を作成する必要があります。