본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

사용자 액세스 차단

기여자

공격이 감지되면 Cloud Secure는 파일 시스템에 대한 사용자 액세스를 차단하여 공격을 차단할 수 있습니다. 자동 응답 정책을 사용하거나 알림 또는 사용자 세부 정보 페이지에서 수동으로 액세스를 차단할 수 있습니다.

사용자 액세스를 차단할 때는 차단 기간을 정의해야 합니다. 선택한 기간이 끝나면 사용자 액세스가 자동으로 복원됩니다. 액세스 차단은 SMB 및 NFS 프로토콜 모두에서 지원됩니다.

사용자가 SMB 및 호스트 시스템의 IP 주소에 대해 직접 차단되어 NFS에 대한 공격이 차단됩니다. 이러한 머신 IP 주소는 Cloud Secure에서 모니터링하는 SVM(스토리지 가상 머신)에 액세스하지 못하도록 차단됩니다.

예를 들어, Cloud Secure가 10개의 SVM을 관리하고 이러한 4개의 SVM에 대해 자동 응답 정책을 구성한다고 가정해 보겠습니다. 4개의 SVM 중 하나에서 공격이 발생한 경우 10개의 SVM에서 사용자의 액세스가 차단됩니다. 원래 SVM에 대해 스냅샷이 여전히 촬영됩니다.

SMB용으로 구성된 SVM 4개, NFS용으로 구성된 SVM 1개와 NFS 및 SMB용으로 구성된 나머지 2개가 있는 경우 4개의 SVM 중 하나에서 공격이 발생한 경우 모든 SVM이 차단됩니다.

사용자 액세스 차단을 위한 필수 조건

이 기능을 사용하려면 클러스터 레벨 자격 증명이 필요합니다.

참고 Amazon FSx 데이터 수집기를 사용하는 경우 SMB에 대한 사용자 차단은 현재 사용자 세션을 종료할 수 없습니다. 를 참조하십시오 문제 해결 섹션을 참조하십시오.

클러스터 관리 자격 증명을 사용하는 경우 새 권한이 필요하지 않습니다.

사용자에게 부여된 권한으로 사용자 지정 사용자(예: CsUser)를 사용하는 경우 아래 단계를 따라 Cloud Secure에 사용자 차단 권한을 부여합니다.

클러스터 자격 증명이 있는 CsUser의 경우 ONTAP 명령줄에서 다음을 수행하십시오.

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all
security login role create -role csrole -cmddirname "cluster show" -access readonly

이 기능을 활성화하는 방법은 무엇입니까?

  • Cloud Secure에서 * 관리자 > 자동 응답 정책 > 응답 정책 설정 > 사용자 액세스 차단 * 으로 이동합니다.

  • "사용자 액세스 차단 사용"을 _ENABLED_로 설정합니다.

자동 사용자 액세스 차단을 설정하는 방법은 무엇입니까?

  • 새 공격 정책을 만들거나 기존 공격 정책을 편집합니다.

  • 공격 정책을 모니터링해야 하는 SVM을 선택합니다.

  • “Block User File Access(사용자 파일 액세스 차단)” 확인란을 클릭합니다. 이 옵션을 선택하면 기능이 활성화됩니다.

  • “Limit User Access(사용자 액세스 제한)”에서 적용할 제한 모드를 선택합니다.

  • “Time Period(기간)”에서 차단 적용 기간을 선택합니다.

  • 자동 사용자 차단을 테스트하려면 을 통해 공격을 시뮬레이션할 수 있습니다 "시뮬레이션된 스크립트".

시스템에 차단된 사용자가 있는지 어떻게 알 수 있습니까?

  • 경고 목록 페이지에서 사용자가 차단된 경우 화면 상단에 배너가 표시됩니다.

  • 배너를 클릭하면 “Users(사용자)” 페이지로 이동합니다. 여기에서 차단된 사용자 목록을 볼 수 있습니다.

  • “Users(사용자)” 페이지에는 “User/IP Access(사용자/IP 액세스)”라는 열이 있습니다. 이 열에서 현재 사용자 차단 상태가 표시됩니다.

사용자 액세스를 수동으로 제한 및 관리합니다

  • 경고 세부 정보 또는 사용자 세부 정보 화면으로 이동한 다음 해당 화면에서 사용자를 수동으로 차단 또는 복원할 수 있습니다.

사용자 액세스 제한 기록

경고 세부 정보 및 사용자 세부 정보 페이지의 사용자 패널에서 사용자의 액세스 제한 기록에 대한 감사(시간, 작업(차단, 차단 해제), 기간, 수행한 작업, NFS에 대한 수동/자동 및 영향을 받는 IP

이 기능을 비활성화하는 방법은 무엇입니까?

언제든지 이 기능을 비활성화할 수 있습니다. 시스템에 제한된 사용자가 있는 경우 먼저 액세스 권한을 복원해야 합니다.

  • Cloud Secure에서 * 관리자 > 자동 응답 정책 > 응답 정책 설정 > 사용자 액세스 차단 * 으로 이동합니다

  • "사용자 액세스 차단 활성화"를 선택 해제하여 비활성화합니다.

이 기능은 모든 페이지에서 숨겨집니다.

NFS에 대한 IP를 수동으로 복구합니다

Cloud Secure 평가판이 만료되거나 에이전트/수집기가 중단된 경우 다음 단계를 사용하여 ONTAP에서 IP를 수동으로 복원합니다.

  1. SVM에 모든 엑스포트 정책을 나열하십시오.

    contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
                 Policy          Rule    Access   Client                RO
    Vserver      Name            Index   Protocol Match                 Rule
    ------------ --------------- ------  -------- --------------------- ---------
    svm0        default         1       nfs3,    cloudsecure_rule,     never
                                        nfs4,    10.11.12.13
                                        cifs
    svm1        default         4       cifs,    0.0.0.0/0             any
                                        nfs
    svm2        test            1       nfs3,    cloudsecure_rule,     never
                                        nfs4,    10.11.12.13
                                        cifs
    svm3        test            3       cifs,    0.0.0.0/0             any
                                        nfs,
                                        flexcache
    4 entries were displayed.
  2. 각 RuleIndex를 지정하여 "cloudsecure_rule"이 Client match인 SVM의 모든 정책 전반에 걸쳐 규칙을 삭제합니다. Cloud Secure 규칙은 일반적으로 1입니다.

     contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
    . Cloud Secure 규칙이 삭제되었는지 확인합니다(선택적 단계 확인).
    contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
                 Policy          Rule    Access   Client                RO
    Vserver      Name            Index   Protocol Match                 Rule
    ------------ --------------- ------  -------- --------------------- ---------
    svm0         default         4       cifs,    0.0.0.0/0             any
                                        nfs
    svm2         test            3       cifs,    0.0.0.0/0             any
                                        nfs,
                                        flexcache
    2 entries were displayed.
    == Manually Restore Users for SMB

Cloud Secure 평가판이 만료되거나 에이전트/수집기가 중단된 경우 다음 단계를 사용하여 ONTAP에서 사용자를 수동으로 복원합니다.

Cloud Secure에서 차단된 사용자 목록을 사용자 목록 페이지에서 가져올 수 있습니다.

  1. cluster_admin_credentials를 사용하여 ONTAP 클러스터(사용자 차단을 해제할 위치)에 로그인합니다. (Amazon FSx의 경우 FSx 자격 증명으로 로그인합니다.)

  2. 다음 명령을 실행하여 모든 SVM에서 Cloud Secure for SMB에 의해 차단된 모든 사용자를 나열합니다.

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
    Direction: win-unix
    Position Hostname         IP Address/Mask
    -------- ---------------- ----------------
    1       -                 -                   Pattern: CSLAB\\US040
                                             Replacement:
    2       -                 -                   Pattern: CSLAB\\US030
                                             Replacement:
    2 entries were displayed.

위 출력에서 두 명의 사용자가 CSLAB 도메인과 함께 차단되었습니다(US030, US040).

  1. 위 출력에서 위치를 확인한 후 다음 명령을 실행하여 사용자 차단을 해제합니다.

     vserver name-mapping delete -direction win-unix -position <position>
    . 다음 명령을 실행하여 사용자의 차단 해제 여부를 확인합니다.
    vserver name-mapping show -direction win-unix -replacement " "

이전에 차단한 사용자에 대해서는 어떤 항목도 표시되지 않아야 합니다.

문제 해결

문제 시도해 보십시오

일부 사용자는 공격이 있어도 제한을 받지 않습니다.

SVM용 Data Collector 및 Agent가 _Running_상태인지 확인합니다. 데이터 수집기 및 에이전트가 중지된 경우 Cloud Secure에서 명령을 전송할 수 없습니다. 이는 사용자가 이전에 사용되지 않은 새 IP가 있는 시스템에서 스토리지에 액세스했을 수 있기 때문입니다. 제한은 사용자가 스토리지에 액세스하는 데 사용하는 호스트의 IP 주소를 통해 수행됩니다. 제한된 IP 주소 목록을 보려면 UI(알림 세부 정보 > 이 사용자의 액세스 제한 기록 > 영향을 받는 IP)를 확인하십시오. 사용자가 제한된 IP와 다른 IP를 가진 호스트에서 스토리지에 액세스하는 경우 사용자는 여전히 제한되지 않은 IP를 통해 스토리지를 액세스할 수 있습니다. 사용자가 IP가 제한된 호스트에서 액세스를 시도하는 경우 스토리지를 액세스할 수 없습니다.

액세스 제한을 수동으로 클릭하면 "이 사용자의 IP 주소가 이미 제한되었습니다"라는 메시지가 나타납니다.

제한할 IP가 이미 다른 사용자로부터 제한되어 있습니다.

정책을 수정할 수 없습니다. 원인: 해당 명령에 대해 권한이 없습니다.

CsUser 사용 시, 위에서 설명한 대로 사용자에게 권한이 부여되는지 확인

svm1: 사용자 도메인에 대한 기존 CIFS 세션이 닫혀있지 않습니다. 이 오류는 경고 세부 정보 페이지의 조치 수행 섹션과 경고 및 사용자 목록 페이지의 액세스 제한 기록에서 나타납니다. 이 오류가 표시되면 사용자의 현재 세션이 닫히지 않지만, bocking 기간이 만료될 때까지 새 세션에 대해 사용자가 차단됩니다.

이는 Amazon FSx에서 알려진 문제입니다. Cloud Secure는 기존 SMB 세션을 닫을 수 없습니다. 현재 Amazon FSx에 대한 기존 SMB 세션을 차단할 수 있는 해결 방법이 없습니다. 수집기 유형이 CVO 또는 ONTAP인 경우 에 설명된 대로 올바른 권한을 확인합니다 필수 구성 요소 섹션을 참조하십시오.