Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

NAS 파일 시스템 감사

기여자

NAS 파일 시스템이 차지하는 공간 증가 오늘날의 위협 환경에서 감사 기능은 가시성을 지원하는 데 매우 중요합니다.

보안에는 검증이 필요합니다. ONTAP 9은 솔루션 전반에 걸쳐 향상된 감사 이벤트와 세부 정보를 제공합니다. NAS 파일 시스템은 오늘날의 위협 환경에서 차지하는 공간이 늘어나기 때문에 감사 기능은 가시성을 지원하는 데 매우 중요합니다. ONTAP 9의 감사 기능이 개선되었기 때문에 CIFS 감사 세부 정보가 그 어느 때보다 많이 제공됩니다. 생성된 이벤트로 다음을 비롯한 키 세부 정보가 기록됩니다.

  • 파일, 폴더 및 공유 액세스

  • 생성, 수정 또는 삭제된 파일

  • 파일 읽기 액세스가 성공했습니다

  • 파일 읽기 또는 쓰기 시도가 실패했습니다

  • 폴더 권한 변경

감사 구성을 생성합니다

감사 이벤트를 생성하려면 CIFS 감사를 설정해야 합니다. 명령을 사용하여 vserver audit create 감사 구성을 생성합니다. 기본적으로 감사 로그는 크기에 따라 순환 방법을 사용합니다. Rotation Parameters(회전 매개변수) 필드에 지정된 경우 시간 기반 회전 옵션을 사용할 수 있습니다. 추가 로그 감사 회전 구성 세부 정보에는 회전 일정, 회전 제한, 주중 회전 날짜 및 회전 크기가 포함됩니다. 다음 텍스트는 12:30에 모든 요일에 대해 예약된 월별 시간 기반 순환을 사용하는 감사 구성을 보여 주는 예제 구성을 제공합니다.

cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

CIFS 감사 이벤트입니다

CIFS 감사 이벤트는 다음과 같습니다.

  • * File share *: CIFS 네트워크 공유가 추가, 수정 또는 삭제될 때 관련 명령을 사용하여 감사 이벤트를 vserver cifs share 생성합니다.

  • * 감사 정책 변경 *: 감사 정책이 비활성화, 활성화 또는 수정된 경우 관련 명령을 사용하여 감사 이벤트를 vserver audit 생성합니다.

  • * 사용자 계정 *: 로컬 CIFS 또는 UNIX 사용자가 생성 또는 삭제되거나, 로컬 사용자 계정이 활성화, 비활성화 또는 수정되거나, 암호가 재설정되거나 변경될 때 감사 이벤트를 생성합니다. 이 이벤트는 vserver cifs users-and-groups local-group 명령 또는 관련 vserver services name-service unix-user 명령을 사용합니다.

  • * Security group *: 명령 또는 관련 명령을 사용하여 로컬 CIFS 또는 UNIX 보안 그룹을 생성하거나 삭제할 때 감사 이벤트를 vserver cifs users-and-groups local-group vserver services name-service unix-group 생성합니다.

  • * 권한 부여 정책 변경 *: 명령을 사용하여 CIFS 사용자 또는 CIFS 그룹에 대한 권한이 부여되거나 취소될 때 감사 이벤트를 vserver cifs users-and-groups privilege 생성합니다.

참고 이 기능은 시스템 감사 기능을 기반으로 합니다. 이 기능을 사용하면 관리자가 데이터 사용자의 관점에서 시스템에서 허용하고 수행하는 작업을 검토할 수 있습니다.

REST API가 NAS 감사에 미치는 영향

ONTAP에는 관리자 계정이 REST API를 사용하여 SMB/CIFS 또는 NFS 파일에 액세스하고 조작할 수 있는 기능이 포함되어 있습니다. REST API는 ONTAP 관리자만 실행할 수 있지만 REST API 명령은 시스템 NAS 감사 로그를 무시합니다. 또한 REST API를 사용할 때 ONTAP 관리자가 파일 권한을 무시할 수도 있습니다. 그러나 파일에 대한 REST API를 사용한 관리자의 작업은 시스템 명령 기록 로그에 기록됩니다.

액세스할 수 없는 REST API 역할을 생성합니다

REST를 통해 ONTAP 볼륨에 액세스할 수 없는 REST API 역할을 생성하여 ONTAP 관리자가 파일 액세스에 REST API를 사용하지 못하도록 할 수 있습니다. 이 역할을 프로비저닝하려면 다음 단계를 완료하십시오.

단계
  1. 스토리지 볼륨에 대한 액세스 권한이 없지만 다른 모든 REST API 액세스가 가능한 새 REST 역할을 생성합니다.

    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none
    cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
  2. 이전 단계에서 만든 새 REST API 역할에 관리자 계정을 할당합니다.

    cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
참고 기본 제공 ONTAP 클러스터 관리자 계정에서 파일 액세스에 REST API를 사용하지 않으려면 먼저 해야 "새 관리자 계정을 만들고 기본 제공 계정을 사용 안 함 또는 삭제합니다"합니다.