Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NASフアイルシステムノカンサ

共同作成者
PDF

NASファイル・システムは'今日の脅威の状況で使用量が増加しています監査機能は'可視性をサポートするために不可欠です

セキュリティの維持には検証が欠かせません。ONTAP 9では、ソリューション全体をとおしてさらに多くの監査イベントや詳細が記録されます。今日の脅威の状況ではNASファイルシステムが占める割合が増加しているため、可視性を維持するには監査機能が不可欠です。ONTAP 9で強化された監査機能により、CIFS監査ではこれまでになく詳細な情報が提供されます。作成されるイベントには、次のような重要な情報が記録されます。

  • ファイル、フォルダ、共有へのアクセス

  • ファイルの作成、変更、削除

  • ファイル読み取りアクセスの成功

  • ファイルの読み取りまたは書き込みの失敗

  • フォルダ権限の変更

監査設定を作成します

監査イベントを生成するには、CIFS監査を有効にする必要があります。監査設定を作成するには、コマンドを使用し vserver audit create ます。デフォルトでは、監査ログのローテーションはサイズに基づいて行われます。ローテーション パラメータのフィールドにオプションを指定すれば、時間に基づくローテーションも使用できます。監査ログのローテーション設定には、ローテーションのスケジュール、ローテーション上限、実行する曜日、サイズなどの詳細を指定できます。次のテキストは、すべての曜日の12:30にスケジュールされた月単位の時間ベースのローテーションを使用した監査設定の例を示しています。

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

CIFS監査イベント

CIFS監査イベントは次のとおりです。

  • ファイル共有:関連するコマンドを使用してCIFSネットワーク共有が追加、変更、または削除されたときに監査イベントを生成します vserver cifs share

  • 監査ポリシーの変更:関連するコマンドを使用して監査ポリシーが無効化、有効化、または変更された場合に、監査イベントを生成します vserver audit

  • ユーザアカウント:ローカルのCIFSまたはUNIXユーザが作成または削除されたとき、ローカルユーザアカウントが有効化、無効化、変更されたとき、パスワードがリセットまたは変更されたときに監査イベントを生成します。このイベントは、コマンドまたは関連するコマンドを使用し vserver cifs users-and-groups local-group vserver services name-service unix-user ます。

  • セキュリティグループ:コマンドまたは関連するコマンドを使用してローカルのCIFSまたはUNIXセキュリティグループが作成または削除されたときに監査イベントを生成します vserver cifs users-and-groups local-group vserver services name-service unix-group

  • 認証ポリシーの変更:コマンドを使用してCIFSユーザまたはCIFSグループの権限が付与または取り消されたときに、監査イベントを生成します vserver cifs users-and-groups privilege

メモ これはシステムの監査機能に基づく機能であり、管理者は、システムが何を許可および実行しているかをデータ ユーザの視点で確認することができます。

NASノカンサヘノRESTAPIノエイキヨウ

ONTAPには、管理者アカウントがREST APIを使用してSMB / CIFSまたはNFSファイルにアクセスして操作する機能が含まれています。REST APIはONTAP管理者のみが実行できますが、REST APIコマンドはシステムNAS監査ログをバイパスします。また、ONTAP管理者がREST APIを使用する際にファイル権限をバイパスすることもできます。ただし、ファイルに対するREST APIを使用した管理者の操作は、システムコマンド履歴ログに記録されます。

アクセスなしREST APIロールの作成

RESTを使用してONTAPボリュームにアクセスできないREST APIロールを作成することで、ONTAP管理者がREST APIをファイルアクセスに使用できないようにすることができます。このロールをプロビジョニングするには、次の手順を実行します。

手順

  1. ストレージボリュームへのアクセスは許可されず、他のすべてのREST APIアクセスを許可する新しいRESTロールを作成します。

    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all

  2. 前の手順で作成した新しいREST APIロールに管理者アカウントを割り当てます。

    cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
メモ 組み込みのONTAPクラスタ管理者アカウントがREST APIをファイルアクセスに使用しないようにするには、まずを実行する必要があり "新しい管理者アカウントを作成し、組み込みアカウントを無効化または削除する"ます。