Skip to main content
Data Infrastructure Insights
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

사용자 액세스 차단

기여자 netapp-alavoie
PDF

공격이 감지되면 Workload Security는 사용자가 파일 시스템에 액세스하는 것을 차단하여 공격을 막을 수 있습니다. 자동 응답 정책을 사용하여 자동으로 액세스를 차단하거나 알림 또는 사용자 세부 정보 페이지에서 수동으로 액세스를 차단할 수 있습니다.

사용자 액세스를 차단할 경우 차단 기간을 정의해야 합니다. 선택한 기간이 끝나면 사용자 액세스가 자동으로 복원됩니다. SMB 및 NFS 프로토콜 모두에 대한 액세스 차단이 지원됩니다.

사용자는 SMB에 대해 직접 차단되고, 공격을 일으키는 호스트 머신의 IP 주소는 NFS에 대해 차단됩니다. 해당 머신 IP 주소는 Workload Security에서 모니터링하는 스토리지 가상 머신(SVM)에 액세스하는 것이 차단됩니다.

예를 들어, Workload Security가 10개의 SVM을 관리하고 그 중 4개의 SVM에 대해 자동 응답 정책이 구성되어 있다고 가정해 보겠습니다. 공격이 4개의 SVM 중 하나에서 시작된 경우, 사용자 액세스는 10개의 SVM 모두에서 차단됩니다. 원래 SVM에서 스냅샷이 계속 생성됩니다.

SMB용으로 구성된 SVM 1개, NFS용으로 구성된 SVM 1개, NFS와 SMB용으로 구성된 나머지 2개로 구성된 SVM이 4개 있는 경우, 공격이 4개 SVM 중 하나에서 시작되면 모든 SVM이 차단됩니다.

사용자 액세스 차단을 위한 전제 조건

이 기능을 사용하려면 클러스터 수준 자격 증명이 필요합니다.

클러스터 관리 자격 증명을 사용하는 경우 새로운 권한이 필요하지 않습니다.

사용자 지정 사용자(예: csuser)에게 권한이 부여된 경우 아래 단계에 따라 Workload Security에 사용자를 차단할 수 있는 권한을 부여하세요.

클러스터 자격 증명이 있는 csuser의 경우 ONTAP 명령줄에서 다음을 수행합니다.

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

권한 섹션을 검토하세요."ONTAP SVM 데이터 수집기 ​​구성" 페이지도 마찬가지.

이 기능을 어떻게 활성화하나요?

  • 워크로드 보안에서 *워크로드 보안 > 정책 > 자동 응답 정책*으로 이동합니다. *+공격 정책*을 선택하세요.

  • _사용자 파일 액세스 차단_을 선택합니다.

사용자 접근 자동 차단을 설정하는 방법은 무엇입니까?

  • 새로운 공격 정책을 만들거나 기존 공격 정책을 편집합니다.

  • 공격 정책을 모니터링할 SVM을 선택합니다.

  • "사용자 파일 액세스 차단" 확인란을 클릭합니다. 이 옵션을 선택하면 해당 기능이 활성화됩니다.

  • "기간"에서 차단이 적용될 기간을 선택합니다.

  • 자동 사용자 차단을 테스트하려면 다음을 통해 공격을 시뮬레이션할 수 있습니다."시뮬레이션된 스크립트" .

시스템에 차단된 사용자가 있는지 어떻게 알 수 있나요?

  • 알림 목록 페이지에서는 사용자가 차단된 경우 화면 상단에 배너가 표시됩니다.

  • 배너를 클릭하면 차단된 사용자 목록을 볼 수 있는 "사용자" 페이지로 이동합니다.

  • "사용자" 페이지에 "사용자/IP 액세스"라는 열이 있습니다. 해당 열에는 현재 사용자 차단 상태가 표시됩니다.

사용자 액세스를 수동으로 제한하고 관리합니다.

  • 알림 세부 정보 또는 사용자 세부 정보 화면으로 이동한 다음 해당 화면에서 사용자를 수동으로 차단하거나 복원할 수 있습니다.

사용자 접근 제한 내역

알림 세부 정보 및 사용자 세부 정보 페이지의 사용자 패널에서 사용자의 액세스 제한 기록에 대한 감사를 볼 수 있습니다. 여기에는 시간, 작업(차단, 차단 해제), 기간, 수행된 작업, 수동/자동, NFS에 대한 영향을 받은 IP가 포함됩니다.

해당 기능을 비활성화하려면 어떻게 해야 하나요?

언제든지 해당 기능을 비활성화할 수 있습니다. 시스템에 제한된 사용자가 있는 경우 먼저 해당 사용자의 접근 권한을 복구해야 합니다.

  • 워크로드 보안에서 *워크로드 보안 > 정책 > 자동 응답 정책*으로 이동합니다. *+공격 정책*을 선택하세요.

  • _사용자 파일 액세스 차단_을 선택 해제합니다.

해당 기능은 모든 페이지에서 숨겨집니다.

NFS에 대한 IP 수동 복원

Workload Security 평가판이 만료되거나 에이전트/수집기가 다운된 경우 다음 단계에 따라 ONTAP 에서 모든 IP를 수동으로 복원하세요.

  1. SVM의 모든 내보내기 정책을 나열합니다.

    contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. SVM의 모든 정책에서 클라이언트 일치 항목으로 "cloudsecure_rule"이 있는 규칙을 삭제하려면 해당 RuleIndex를 지정합니다. 워크로드 보안 규칙은 일반적으로 1입니다.

     contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. 워크로드 보안 규칙이 삭제되었는지 확인합니다(확인을 위한 선택 단계).
    contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

SMB에 대한 사용자 수동 복원

Workload Security 평가판이 만료되거나 에이전트/수집기가 다운된 경우 다음 단계에 따라 ONTAP 에서 모든 사용자를 수동으로 복원하세요.

Workload Security에서 차단된 사용자 목록은 사용자 목록 페이지에서 확인할 수 있습니다.

  1. 클러스터 admin 자격 증명을 사용하여 ONTAP 클러스터(사용자 차단을 해제하려는 클러스터)에 로그인합니다. ( Amazon FSx 의 경우 FSx 자격 증명으로 로그인하세요).

  2. 다음 명령을 실행하여 모든 SVM에서 Workload Security for SMB에 의해 차단된 모든 사용자를 나열합니다.

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

위의 출력에서 2명의 사용자(US030, US040)가 CSLAB 도메인을 사용하여 차단되었습니다.

  1. 위의 출력에서 위치를 확인한 후 다음 명령을 실행하여 사용자 차단을 해제합니다.

     vserver name-mapping delete -direction win-unix -position <position>
. 다음 명령을 실행하여 사용자 차단이 해제되었는지 확인하세요.
    vserver name-mapping show -direction win-unix -replacement " "

이전에 차단된 사용자에 대해서는 아무 항목도 표시되지 않습니다.

문제 해결

문제 이것을 시도해보세요

일부 사용자는 공격을 받고 있음에도 제한을 받지 않습니다.

1. SVM의 데이터 수집기와 에이전트가 실행 상태인지 확인하세요. 데이터 수집기와 에이전트가 중지되면 워크로드 보안이 명령을 보낼 수 없습니다. 2. 이는 사용자가 이전에 사용되지 않은 새로운 IP를 가진 컴퓨터에서 저장소에 액세스했을 수 있기 때문입니다. 제한은 사용자가 저장소에 액세스하는 호스트의 IP 주소를 통해 발생합니다. UI(경고 세부 정보 > 이 사용자에 대한 액세스 제한 기록 > 영향을 받는 IP)에서 제한된 IP 주소 목록을 확인하세요. 사용자가 제한된 IP와 다른 IP를 가진 호스트에서 스토리지에 액세스하는 경우에도 사용자는 제한되지 않은 IP를 통해 스토리지에 액세스할 수 있습니다. 사용자가 IP가 제한된 호스트에서 액세스하려고 하면 저장소에 액세스할 수 없습니다.

수동으로 액세스 제한을 클릭하면 "이 사용자의 IP 주소는 이미 제한되었습니다"라는 메시지가 표시됩니다.

제한할 IP는 이미 다른 사용자에게 제한을 받고 있습니다.

정책을 수정할 수 없습니다. 이유: 해당 명령에 대한 권한이 없습니다.

csuser를 사용하는지 확인하세요. 위에서 언급한 대로 사용자에게 권한이 부여됩니다.

NFS의 경우 사용자(IP 주소) 차단이 작동하지만 SMB/CIFS의 경우 "SID에서 DomainName으로의 변환에 실패했습니다."라는 오류 메시지가 표시됩니다. 사유 시간 초과: 소켓이 설정되지 않았습니다”

csuser_에게 ssh를 수행할 권한이 없는 경우 이런 일이 발생할 수 있습니다. (클러스터 수준에서 연결을 보장한 다음 사용자가 ssh를 수행할 수 있는지 확인합니다). _csuser 역할에는 이러한 권한이 필요합니다. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking 클러스터 자격 증명이 있는 _csuser_의 경우 ONTAP 명령줄에서 다음을 수행합니다. security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all _csuser_를 사용하지 않고 클러스터 수준에서 관리자 사용자를 사용하는 경우 관리자 사용자에게 ONTAP 에 대한 ssh 권한이 있는지 확인합니다.

사용자가 차단되어야 할 때 SID 변환에 실패했습니다. _이유: 255: 오류: 명령 실패: 해당 명령에 대한 권한이 없습니다. 오류: "access-check"는 인식할 수 없는 명령입니다._라는 오류 메시지가 나타납니다.

이는 _csuser_에게 올바른 권한이 없는 경우 발생할 수 있습니다. 보다 "사용자 액세스 차단을 위한 전제 조건" 자세한 내용은. 권한을 적용한 후에는 ONTAP 데이터 수집기와 사용자 디렉터리 데이터 수집기를 다시 시작하는 것이 좋습니다. 필요한 권한 명령은 아래와 같습니다. ---- 보안 로그인 역할 생성 -role csrole -cmddirname "vserver 내보내기 정책 규칙" -액세스 모두 보안 로그인 역할 생성 -role csrole -cmddirname 설정 -액세스 모두 보안 로그인 역할 생성 -role csrole -cmddirname "vserver cifs 세션" -액세스 모두 보안 로그인 역할 생성 -role csrole -cmddirname "vserver 서비스 액세스 확인 인증 변환" -액세스 모두 보안 로그인 역할 생성 -role csrole -cmddirname "vserver 이름 매핑" -액세스 모두 ----