リリースノート
NASフアイルシステムノカンサ
変更を提案
-
このドキュメント ページのPDF
-
ボリューム管理
-
CLI を使用した論理ストレージ管理
-
-
NAS ストレージ管理
-
CLIを使用したSMBの管理
-
SMB を使用したファイルアクセスの管理
-
-
-
セキュリティとデータ暗号化
-
PDF版ドキュメントのセット
Creating your file...
NASファイル・システムは'今日の脅威の状況で使用量が増加しています監査機能は'可視性をサポートするために不可欠です
セキュリティの維持には検証が欠かせません。ONTAP 9では、ソリューション全体をとおしてさらに多くの監査イベントや詳細が記録されます。今日の脅威の状況ではNASファイルシステムが占める割合が増加しているため、可視性を維持するには監査機能が不可欠です。ONTAP 9で強化された監査機能により、CIFS監査ではこれまでになく詳細な情報が提供されます。作成されるイベントには、次のような重要な情報が記録されます。
-
ファイル、フォルダ、共有へのアクセス
-
ファイルの作成、変更、削除
-
ファイル読み取りアクセスの成功
-
ファイルの読み取りまたは書き込みの失敗
-
フォルダ権限の変更
監査設定を作成します
監査イベントを生成するには、CIFS監査を有効にする必要があります。監査設定を作成するには、コマンドを使用し vserver audit create ます。デフォルトでは、監査ログのローテーションはサイズに基づいて行われます。ローテーション パラメータのフィールドにオプションを指定すれば、時間に基づくローテーションも使用できます。監査ログのローテーション設定には、ローテーションのスケジュール、ローテーション上限、実行する曜日、サイズなどの詳細を指定できます。次のテキストは、すべての曜日の12:30にスケジュールされた月単位の時間ベースのローテーションを使用した監査設定の例を示しています。
cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
CIFS監査イベント
CIFS監査イベントは次のとおりです。
-
ファイル共有:関連するコマンドを使用してCIFSネットワーク共有が追加、変更、または削除されたときに監査イベントを生成します
vserver cifs share。 -
監査ポリシーの変更:関連するコマンドを使用して監査ポリシーが無効化、有効化、または変更された場合に、監査イベントを生成します
vserver audit。 -
ユーザアカウント:ローカルのCIFSまたはUNIXユーザが作成または削除されたとき、ローカルユーザアカウントが有効化、無効化、変更されたとき、パスワードがリセットまたは変更されたときに監査イベントを生成します。このイベントは、コマンドまたは関連するコマンドを使用し
vserver cifs users-and-groups local-groupvserver services name-service unix-userます。 -
セキュリティグループ:コマンドまたは関連するコマンドを使用してローカルのCIFSまたはUNIXセキュリティグループが作成または削除されたときに監査イベントを生成します
vserver cifs users-and-groups local-groupvserver services name-service unix-group。 -
認証ポリシーの変更:コマンドを使用してCIFSユーザまたはCIFSグループの権限が付与または取り消されたときに、監査イベントを生成します
vserver cifs users-and-groups privilege。
|
これはシステムの監査機能に基づく機能であり、管理者は、システムが何を許可および実行しているかをデータ ユーザの視点で確認することができます。 |
NASノカンサヘノRESTAPIノエイキヨウ
ONTAPには、管理者アカウントがREST APIを使用してSMB / CIFSまたはNFSファイルにアクセスして操作する機能が含まれています。REST APIはONTAP管理者のみが実行できますが、REST APIコマンドはシステムNAS監査ログをバイパスします。また、ONTAP管理者がREST APIを使用する際にファイル権限をバイパスすることもできます。ただし、ファイルに対するREST APIを使用した管理者の操作は、システムコマンド履歴ログに記録されます。
アクセスなしREST APIロールの作成
RESTを使用してONTAPボリュームにアクセスできないREST APIロールを作成することで、ONTAP管理者がREST APIをファイルアクセスに使用できないようにすることができます。このロールをプロビジョニングするには、次の手順を実行します。
-
ストレージボリュームへのアクセスは許可されず、他のすべてのREST APIアクセスを許可する新しいRESTロールを作成します。
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
-
前の手順で作成した新しいREST APIロールに管理者アカウントを割り当てます。
cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
|
|
組み込みのONTAPクラスタ管理者アカウントがREST APIをファイルアクセスに使用しないようにするには、まずを実行する必要があり "新しい管理者アカウントを作成し、組み込みアカウントを無効化または削除する"ます。 |