Skip to main content
Cloud Insights
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

사용자 액세스 차단

기여자

공격이 감지되면 워크로드 보안에서 파일 시스템에 대한 사용자 액세스를 차단하여 공격을 차단할 수 있습니다. 자동 응답 정책을 사용하거나 알림 또는 사용자 세부 정보 페이지에서 수동으로 액세스를 차단할 수 있습니다.

참고 워크로드 보안은 Cloud Insights Federal Edition에서 사용할 수 없습니다.

사용자 액세스를 차단할 때는 차단 기간을 정의해야 합니다. 선택한 기간이 끝나면 사용자 액세스가 자동으로 복원됩니다. 액세스 차단은 SMB 및 NFS 프로토콜 모두에서 지원됩니다.

사용자가 SMB 및 호스트 시스템의 IP 주소에 대해 직접 차단되어 NFS에 대한 공격이 차단됩니다. 이러한 시스템 IP 주소는 워크로드 보안에서 모니터링하는 SVM(Storage Virtual Machine)에 액세스하지 못하도록 차단됩니다.

예를 들어, 워크로드 보안이 10개의 SVM을 관리하고 자동 응답 정책이 4개의 SVM에 대해 구성되었다고 가정해 보겠습니다. 4개의 SVM 중 하나에서 공격이 발생한 경우 10개의 SVM에서 사용자의 액세스가 차단됩니다. 원래 SVM에 대해 스냅샷이 여전히 촬영됩니다.

SMB용으로 구성된 SVM 4개, NFS용으로 구성된 SVM 1개와 NFS 및 SMB용으로 구성된 나머지 2개가 있는 경우 4개의 SVM 중 하나에서 공격이 발생한 경우 모든 SVM이 차단됩니다.

사용자 액세스 차단을 위한 필수 조건

이 기능을 사용하려면 클러스터 레벨 자격 증명이 필요합니다.

클러스터 관리 자격 증명을 사용하는 경우 새 권한이 필요하지 않습니다.

사용자에게 부여된 권한으로 사용자 지정 사용자(예: CsUser)를 사용하는 경우 아래 단계에 따라 사용자를 차단하는 워크로드 보안에 권한을 부여합니다.

클러스터 자격 증명이 있는 CsUser의 경우 ONTAP 명령줄에서 다음을 수행하십시오.

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

의 사용 권한 섹션을 검토하십시오 "ONTAP SVM Data Collector 구성" 페이지를 참조하십시오.

이 기능을 활성화하는 방법은 무엇입니까?

  • 워크로드 보안에서 * 워크로드 보안 > 정책 > 자동화된 대응 정책 * 으로 이동합니다. 공격 정책 * 을 선택합니다.

  • 사용자 파일 액세스 차단 _ 을(를) 선택합니다.

자동 사용자 액세스 차단을 설정하는 방법은 무엇입니까?

  • 새 공격 정책을 만들거나 기존 공격 정책을 편집합니다.

  • 공격 정책을 모니터링해야 하는 SVM을 선택합니다.

  • “Block User File Access(사용자 파일 액세스 차단)” 확인란을 클릭합니다. 이 옵션을 선택하면 기능이 활성화됩니다.

  • “Time Period(기간)”에서 차단 적용 기간을 선택합니다.

  • 자동 사용자 차단을 테스트하려면 을 통해 공격을 시뮬레이션할 수 있습니다 "시뮬레이션된 스크립트".

시스템에 차단된 사용자가 있는지 어떻게 알 수 있습니까?

  • 경고 목록 페이지에서 사용자가 차단된 경우 화면 상단에 배너가 표시됩니다.

  • 배너를 클릭하면 “Users(사용자)” 페이지로 이동합니다. 여기에서 차단된 사용자 목록을 볼 수 있습니다.

  • “Users(사용자)” 페이지에는 “User/IP Access(사용자/IP 액세스)”라는 열이 있습니다. 이 열에서 현재 사용자 차단 상태가 표시됩니다.

사용자 액세스를 수동으로 제한 및 관리합니다

  • 경고 세부 정보 또는 사용자 세부 정보 화면으로 이동한 다음 해당 화면에서 사용자를 수동으로 차단 또는 복원할 수 있습니다.

사용자 액세스 제한 기록

경고 세부 정보 및 사용자 세부 정보 페이지의 사용자 패널에서 사용자의 액세스 제한 기록에 대한 감사(시간, 작업(차단, 차단 해제), 기간, 수행한 작업, NFS에 대한 수동/자동 및 영향을 받는 IP

이 기능을 비활성화하는 방법은 무엇입니까?

언제든지 이 기능을 비활성화할 수 있습니다. 시스템에 제한된 사용자가 있는 경우 먼저 액세스 권한을 복원해야 합니다.

  • 워크로드 보안에서 * 워크로드 보안 > 정책 > 자동화된 대응 정책 * 으로 이동합니다. 공격 정책 * 을 선택합니다.

  • 선택 취소(선택 취소) _ 사용자 파일 액세스 차단 _.

이 기능은 모든 페이지에서 숨겨집니다.

NFS에 대한 IP를 수동으로 복구합니다

워크로드 보안 평가판이 만료되었거나 에이전트/수집기가 중단된 경우 다음 단계를 사용하여 ONTAP에서 IP를 수동으로 복원합니다.

  1. SVM에 모든 엑스포트 정책을 나열하십시오.

    contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
                 Policy          Rule    Access   Client                RO
    Vserver      Name            Index   Protocol Match                 Rule
    ------------ --------------- ------  -------- --------------------- ---------
    svm0        default         1       nfs3,    cloudsecure_rule,     never
                                        nfs4,    10.11.12.13
                                        cifs
    svm1        default         4       cifs,    0.0.0.0/0             any
                                        nfs
    svm2        test            1       nfs3,    cloudsecure_rule,     never
                                        nfs4,    10.11.12.13
                                        cifs
    svm3        test            3       cifs,    0.0.0.0/0             any
                                        nfs,
                                        flexcache
    4 entries were displayed.
  2. 각 RuleIndex를 지정하여 "cloudsecure_rule"이 Client match인 SVM의 모든 정책 전반에 걸쳐 규칙을 삭제합니다. 워크로드 보안 규칙은 일반적으로 1입니다.

     contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
    . 워크로드 보안 규칙이 삭제되었는지 확인합니다(선택적 단계 확인).
    contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
                 Policy          Rule    Access   Client                RO
    Vserver      Name            Index   Protocol Match                 Rule
    ------------ --------------- ------  -------- --------------------- ---------
    svm0         default         4       cifs,    0.0.0.0/0             any
                                        nfs
    svm2         test            3       cifs,    0.0.0.0/0             any
                                        nfs,
                                        flexcache
    2 entries were displayed.

SMB용 사용자를 수동으로 복원합니다

워크로드 보안 평가판이 만료되었거나 에이전트/수집기가 중단된 경우 다음 단계를 사용하여 ONTAP에서 사용자를 수동으로 복원합니다.

사용자 목록 페이지에서 워크로드 보안에서 차단된 사용자 목록을 가져올 수 있습니다.

  1. cluster_admin_credentials를 사용하여 ONTAP 클러스터(사용자 차단을 해제할 위치)에 로그인합니다. (Amazon FSx의 경우 FSx 자격 증명으로 로그인합니다.)

  2. 다음 명령을 실행하여 모든 SVM에서 SMB용 워크로드 보안으로 차단된 모든 사용자를 나열합니다.

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
    Direction: win-unix
    Position Hostname         IP Address/Mask
    -------- ---------------- ----------------
    1       -                 -                   Pattern: CSLAB\\US040
                                             Replacement:
    2       -                 -                   Pattern: CSLAB\\US030
                                             Replacement:
    2 entries were displayed.

위 출력에서 두 명의 사용자가 CSLAB 도메인과 함께 차단되었습니다(US030, US040).

  1. 위 출력에서 위치를 확인한 후 다음 명령을 실행하여 사용자 차단을 해제합니다.

     vserver name-mapping delete -direction win-unix -position <position>
    . 다음 명령을 실행하여 사용자의 차단 해제 여부를 확인합니다.
    vserver name-mapping show -direction win-unix -replacement " "

이전에 차단한 사용자에 대해서는 어떤 항목도 표시되지 않아야 합니다.

문제 해결

문제 시도해 보십시오

일부 사용자는 공격이 있어도 제한을 받지 않습니다.

SVM용 Data Collector 및 Agent가 _Running_상태인지 확인합니다. Data Collector와 Agent가 중지된 경우 워크로드 보안에서 명령을 전송할 수 없습니다. 이는 사용자가 이전에 사용되지 않은 새 IP가 있는 시스템에서 스토리지에 액세스했을 수 있기 때문입니다. 제한은 사용자가 스토리지에 액세스하는 데 사용하는 호스트의 IP 주소를 통해 수행됩니다. 제한된 IP 주소 목록을 보려면 UI(알림 세부 정보 > 이 사용자의 액세스 제한 기록 > 영향을 받는 IP)를 확인하십시오. 사용자가 제한된 IP와 다른 IP를 가진 호스트에서 스토리지에 액세스하는 경우 사용자는 여전히 제한되지 않은 IP를 통해 스토리지를 액세스할 수 있습니다. 사용자가 IP가 제한된 호스트에서 액세스를 시도하는 경우 스토리지를 액세스할 수 없습니다.

액세스 제한을 수동으로 클릭하면 "이 사용자의 IP 주소가 이미 제한되었습니다"라는 메시지가 나타납니다.

제한할 IP가 이미 다른 사용자로부터 제한되어 있습니다.

정책을 수정할 수 없습니다. 원인: 해당 명령에 대해 권한이 없습니다.

CsUser 사용 시, 위에서 설명한 대로 사용자에게 권한이 부여되는지 확인

NFS에 대한 사용자(IP 주소) 차단은 작동하지만 SMB/CIFS에 대해서는 "SID를 DomainName으로 변환하지 못했습니다. 이유 시간 초과: 소켓이 설정되지 않았습니다.”

ssh를 수행할 권한이 _CsUser_에 없는 경우 이 문제가 발생할 수 있습니다. (클러스터 레벨에서 접속한 다음 사용자가 ssh를 수행할 수 있는지 확인합니다.) _CsUser_role에는 이러한 권한이 필요합니다. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking클러스터 자격 증명을 사용하여 _CsUser_의 경우 ONTAP 명령줄에서 다음을 수행합니다. 보안 로그인 역할 create-role csrole-cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create-role -cmdname "vserver cifs session" -access all security login role create-role -cmddirname "vserver services access-check authentication translate" -access all security login에 액세스하십시오 role create-role csrole-cmddirname "vserver name-mapping" -access all if_CsUser_가 사용되지 않고 클러스터 레벨의 admin 사용자가 사용되는 경우 admin 사용자가 ONTAP에 대한 ssh 권한을 가지고 있는지 확인합니다.