사용자 액세스 차단
공격이 감지되면 워크로드 보안에서 파일 시스템에 대한 사용자 액세스를 차단하여 공격을 차단할 수 있습니다. 자동 응답 정책을 사용하거나 알림 또는 사용자 세부 정보 페이지에서 수동으로 액세스를 차단할 수 있습니다.
사용자 액세스를 차단할 때는 차단 기간을 정의해야 합니다. 선택한 기간이 끝나면 사용자 액세스가 자동으로 복원됩니다. 액세스 차단은 SMB 및 NFS 프로토콜 모두에서 지원됩니다.
사용자가 SMB 및 호스트 시스템의 IP 주소에 대해 직접 차단되어 NFS에 대한 공격이 차단됩니다. 이러한 시스템 IP 주소는 워크로드 보안에서 모니터링하는 SVM(Storage Virtual Machine)에 액세스하지 못하도록 차단됩니다.
예를 들어, 워크로드 보안이 10개의 SVM을 관리하고 자동 응답 정책이 4개의 SVM에 대해 구성되었다고 가정해 보겠습니다. 4개의 SVM 중 하나에서 공격이 발생한 경우 10개의 SVM에서 사용자의 액세스가 차단됩니다. 원래 SVM에 대해 스냅샷이 여전히 촬영됩니다.
SMB용으로 구성된 SVM 4개, NFS용으로 구성된 SVM 1개와 NFS 및 SMB용으로 구성된 나머지 2개가 있는 경우 4개의 SVM 중 하나에서 공격이 발생한 경우 모든 SVM이 차단됩니다.
사용자 액세스 차단을 위한 필수 조건
이 기능을 사용하려면 클러스터 레벨 자격 증명이 필요합니다.
클러스터 관리 자격 증명을 사용하는 경우 새 권한이 필요하지 않습니다.
사용자에게 부여된 권한으로 사용자 지정 사용자(예: CsUser)를 사용하는 경우 아래 단계에 따라 사용자를 차단하는 워크로드 보안에 권한을 부여합니다.
클러스터 자격 증명이 있는 CsUser의 경우 ONTAP 명령줄에서 다음을 수행하십시오.
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
페이지의 사용 권한 섹션도 "ONTAP SVM Data Collector 구성" 검토해야 합니다.
이 기능을 활성화하는 방법은 무엇입니까?
-
워크로드 보안에서 * 워크로드 보안 > 정책 > 자동화된 대응 정책 * 으로 이동합니다. 공격 정책 * 을 선택합니다.
-
사용자 파일 액세스 차단 _ 을(를) 선택합니다.
자동 사용자 액세스 차단을 설정하는 방법은 무엇입니까?
-
새 공격 정책을 만들거나 기존 공격 정책을 편집합니다.
-
공격 정책을 모니터링해야 하는 SVM을 선택합니다.
-
“Block User File Access(사용자 파일 액세스 차단)” 확인란을 클릭합니다. 이 옵션을 선택하면 기능이 활성화됩니다.
-
“Time Period(기간)”에서 차단 적용 기간을 선택합니다.
-
자동 사용자 차단을 테스트하기 위해 를 통해 공격을 시뮬레이션할 수 "시뮬레이션된 스크립트"있습니다.
시스템에 차단된 사용자가 있는지 어떻게 알 수 있습니까?
-
경고 목록 페이지에서 사용자가 차단된 경우 화면 상단에 배너가 표시됩니다.
-
배너를 클릭하면 “Users(사용자)” 페이지로 이동합니다. 여기에서 차단된 사용자 목록을 볼 수 있습니다.
-
“Users(사용자)” 페이지에는 “User/IP Access(사용자/IP 액세스)”라는 열이 있습니다. 이 열에서 현재 사용자 차단 상태가 표시됩니다.
사용자 액세스를 수동으로 제한 및 관리합니다
-
경고 세부 정보 또는 사용자 세부 정보 화면으로 이동한 다음 해당 화면에서 사용자를 수동으로 차단 또는 복원할 수 있습니다.
사용자 액세스 제한 기록
경고 세부 정보 및 사용자 세부 정보 페이지의 사용자 패널에서 사용자의 액세스 제한 기록에 대한 감사(시간, 작업(차단, 차단 해제), 기간, 수행한 작업, NFS에 대한 수동/자동 및 영향을 받는 IP
이 기능을 비활성화하는 방법은 무엇입니까?
언제든지 이 기능을 비활성화할 수 있습니다. 시스템에 제한된 사용자가 있는 경우 먼저 액세스 권한을 복원해야 합니다.
-
워크로드 보안에서 * 워크로드 보안 > 정책 > 자동화된 대응 정책 * 으로 이동합니다. 공격 정책 * 을 선택합니다.
-
선택 취소(선택 취소) _ 사용자 파일 액세스 차단 _.
이 기능은 모든 페이지에서 숨겨집니다.
NFS에 대한 IP를 수동으로 복구합니다
워크로드 보안 평가판이 만료되었거나 에이전트/수집기가 중단된 경우 다음 단계를 사용하여 ONTAP에서 IP를 수동으로 복원합니다.
-
SVM에 모든 엑스포트 정책을 나열하십시오.
contrail-qa-fas8020::> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm1 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm3 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 4 entries were displayed.
-
각 RuleIndex를 지정하여 "cloudsecure_rule"이 Client match인 SVM의 모든 정책 전반에 걸쳐 규칙을 삭제합니다. 워크로드 보안 규칙은 일반적으로 1입니다.
contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1 . 워크로드 보안 규칙이 삭제되었는지 확인합니다(선택적 단계 확인).
contrail-qa-fas8020::*> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 2 entries were displayed.
SMB용 사용자를 수동으로 복원합니다
워크로드 보안 평가판이 만료되었거나 에이전트/수집기가 중단된 경우 다음 단계를 사용하여 ONTAP에서 사용자를 수동으로 복원합니다.
사용자 목록 페이지에서 워크로드 보안에서 차단된 사용자 목록을 가져올 수 있습니다.
-
cluster_admin_credentials를 사용하여 ONTAP 클러스터(사용자 차단을 해제할 위치)에 로그인합니다. (Amazon FSx의 경우 FSx 자격 증명으로 로그인합니다.)
-
다음 명령을 실행하여 모든 SVM에서 SMB용 워크로드 보안으로 차단된 모든 사용자를 나열합니다.
vserver name-mapping show -direction win-unix -replacement " "
Vserver: <vservername> Direction: win-unix Position Hostname IP Address/Mask -------- ---------------- ---------------- 1 - - Pattern: CSLAB\\US040 Replacement: 2 - - Pattern: CSLAB\\US030 Replacement: 2 entries were displayed.
위 출력에서 두 명의 사용자가 CSLAB 도메인과 함께 차단되었습니다(US030, US040).
-
위 출력에서 위치를 확인한 후 다음 명령을 실행하여 사용자 차단을 해제합니다.
vserver name-mapping delete -direction win-unix -position <position> . 다음 명령을 실행하여 사용자의 차단 해제 여부를 확인합니다.
vserver name-mapping show -direction win-unix -replacement " "
이전에 차단한 사용자에 대해서는 어떤 항목도 표시되지 않아야 합니다.
문제 해결
문제 | 시도해 보십시오 |
---|---|
일부 사용자는 공격이 있어도 제한을 받지 않습니다. |
1. SVM의 Data Collector 및 Agent가 _running_state인지 확인합니다. Data Collector와 Agent가 중지된 경우 워크로드 보안에서 명령을 전송할 수 없습니다. 2. 이는 사용자가 이전에 사용되지 않은 새 IP를 사용하여 시스템에서 스토리지에 액세스했을 수 있기 때문입니다. 제한은 사용자가 스토리지에 액세스하는 데 사용하는 호스트의 IP 주소를 통해 수행됩니다. 제한된 IP 주소 목록을 보려면 UI(알림 세부 정보 > 이 사용자의 액세스 제한 기록 > 영향을 받는 IP)를 확인하십시오. 사용자가 제한된 IP와 다른 IP를 가진 호스트에서 스토리지에 액세스하는 경우 사용자는 여전히 제한되지 않은 IP를 통해 스토리지를 액세스할 수 있습니다. 사용자가 IP가 제한된 호스트에서 액세스를 시도하는 경우 스토리지를 액세스할 수 없습니다. |
액세스 제한을 수동으로 클릭하면 "이 사용자의 IP 주소가 이미 제한되었습니다"라는 메시지가 나타납니다. |
제한할 IP가 이미 다른 사용자로부터 제한되어 있습니다. |
정책을 수정할 수 없습니다. 원인: 해당 명령에 대해 권한이 없습니다. |
CsUser 사용 시, 위에서 설명한 대로 사용자에게 권한이 부여되는지 확인 |
NFS에 대한 사용자(IP 주소) 차단은 작동하지만 SMB/CIFS에 대해서는 "SID를 DomainName으로 변환하지 못했습니다. 이유 시간 초과: 소켓이 설정되지 않았습니다.” |
ssh를 수행할 권한이 _CsUser_에 없는 경우 이 문제가 발생할 수 있습니다. (클러스터 레벨에서 접속한 다음 사용자가 ssh를 수행할 수 있는지 확인합니다.) _CsUser_role에는 이러한 권한이 필요합니다. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking cssuser_with cluster credentials의 경우 ONTAP 명령줄에서 다음을 수행하십시오. 보안 로그인 역할 create-role csrole-cmddirname "vserver export-policy rule" -access 모든 보안 로그인 역할 create ONTAP-role |
Error Message_SID translate failed. __reason: 255: Error: command failed: 해당 명령에 대해 승인되지 않았습니다. Error: "access-check"는 인식할 수 없는 command _ 입니다. 사용자가 차단되어야 합니다. |
이 문제는 _CsUser_에 올바른 권한이 없을 때 발생할 수 있습니다. 자세한 내용은 을 "사용자 액세스 차단을 위한 필수 조건" 참조하십시오. 권한을 적용한 후에는 ONTAP 데이터 수집기 및 사용자 디렉터리 데이터 수집기를 다시 시작하는 것이 좋습니다. 필요한 권한 명령은 다음과 같습니다. --- 보안 로그인 역할 create-role csrole-cmddirname "vserver export-policy rule" - 모든 보안 로그인 역할 create-role csrole-cmdirname "vserver cifs session" - access 모든 보안 로그인 역할 create-role 로그인 역할 -dirname role create -role csrole -cmddirname "vserver name -mapping" -access all----- |