Skip to main content
Data Infrastructure Insights
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Bloqueando o acesso do usuário

Colaboradores netapp-alavoie
PDFs

Quando um ataque é detectado, o Workload Security pode interrompê-lo bloqueando o acesso do usuário ao sistema de arquivos. O acesso pode ser bloqueado automaticamente, usando Políticas de Resposta Automatizada ou manualmente nas páginas de alerta ou detalhes do usuário.

Ao bloquear o acesso do usuário, você deve definir um período de bloqueio. Após o término do período de tempo selecionado, o acesso do usuário será restaurado automaticamente. O bloqueio de acesso é suportado pelos protocolos SMB e NFS.

O usuário é bloqueado diretamente para SMB e o endereço IP das máquinas host que causam o ataque será bloqueado para NFS. Esses endereços IP de máquina serão bloqueados para acessar qualquer uma das Máquinas Virtuais de Armazenamento (SVMs) monitoradas pelo Workload Security.

Por exemplo, digamos que o Workload Security gerencia 10 SVMs e a Política de Resposta Automática está configurada para quatro dessas SVMs. Se o ataque tiver origem em uma das quatro SVMs, o acesso do usuário será bloqueado em todas as 10 SVMs. Um Snapshot ainda é tirado no SVM de origem.

Se houver quatro SVMs com uma SVM configurada para SMB, uma configurada para NFS e as duas restantes configuradas para NFS e SMB, todas as SVMs serão bloqueadas se o ataque tiver origem em qualquer uma das quatro SVMs.

Pré-requisitos para bloqueio de acesso do usuário

Credenciais em nível de cluster são necessárias para que esse recurso funcione.

Se você estiver usando credenciais de administração de cluster, nenhuma nova permissão será necessária.

Se você estiver usando um usuário personalizado (por exemplo, csuser) com permissões dadas ao usuário, siga as etapas abaixo para dar permissões ao Workload Security para bloquear o usuário.

Para csuser com credenciais de cluster, faça o seguinte na linha de comando do ONTAP :

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

Não deixe de revisar a seção Permissões do"Configurando o coletor de dados ONTAP SVM" página também.

Como habilitar o recurso?

  • Em Segurança de Carga de Trabalho, navegue até Segurança de Carga de Trabalho > Políticas > Políticas de Resposta Automatizada. Escolha +Política de Ataque.

  • Selecione (marque) Bloquear acesso de usuário a arquivos.

Como configurar o bloqueio automático de acesso de usuários?

  • Crie uma nova Política de Ataque ou edite uma política de Ataque existente.

  • Selecione as SVMs nas quais a política de ataque deve ser monitorada.

  • Clique na caixa de seleção “Bloquear acesso do usuário ao arquivo”. O recurso será habilitado quando esta opção for selecionada.

  • Em “Período de tempo”, selecione o tempo até o qual o bloqueio deve ser aplicado.

  • Para testar o bloqueio automático de usuários, você pode simular um ataque por meio de um"roteiro simulado" .

Como saber se há usuários bloqueados no sistema?

  • Na página de listas de alertas, um banner na parte superior da tela será exibido caso algum usuário seja bloqueado.

  • Clicar no banner levará você para a página “Usuários”, onde a lista de usuários bloqueados pode ser vista.

  • Na página “Usuários”, há uma coluna chamada “Acesso de Usuário/IP”. Nessa coluna, será exibido o estado atual do bloqueio do usuário.

Restringir e gerenciar o acesso do usuário manualmente

  • Você pode ir para a tela de detalhes do alerta ou detalhes do usuário e então bloquear ou restaurar manualmente um usuário a partir dessas telas.

Histórico de Limitação de Acesso do Usuário

Na página de detalhes do alerta e do usuário, no painel do usuário, você pode visualizar uma auditoria do histórico de limitação de acesso do usuário: Hora, Ação (Bloquear, Desbloquear), duração, ação tomada por, manual/automático e IPs afetados para NFS.

Como desabilitar o recurso?

Você pode desativar o recurso a qualquer momento. Se houver usuários restritos no sistema, você deverá restaurar o acesso deles primeiro.

  • Em Segurança de Carga de Trabalho, navegue até Segurança de Carga de Trabalho > Políticas > Políticas de Resposta Automatizada. Escolha +Política de Ataque.

  • Desmarque a opção Bloquear acesso do usuário ao arquivo.

O recurso ficará oculto em todas as páginas.

Restaurar IPs manualmente para NFS

Use as etapas a seguir para restaurar manualmente quaisquer IPs do ONTAP se o seu teste do Workload Security expirar ou se o agente/coletor estiver inativo.

  1. Listar todas as políticas de exportação em um SVM.

    contrail-qa-fas8020:> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. Exclua as regras em todas as políticas no SVM que têm “cloudsecure_rule” como Client Match especificando seu respectivo RuleIndex. A regra de segurança da carga de trabalho geralmente será 1.

     contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. Garanta que a regra de segurança da carga de trabalho seja excluída (etapa opcional para confirmação).
    contrail-qa-fas8020:*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

Restaurar usuários manualmente para SMB

Use as etapas a seguir para restaurar manualmente qualquer usuário do ONTAP se o teste do Workload Security expirar ou se o agente/coletor estiver inativo.

Você pode obter a lista de usuários bloqueados no Workload Security na página da lista de usuários.

  1. Efetue login no cluster ONTAP (onde você deseja desbloquear usuários) com as credenciais de administrador do cluster. (Para Amazon FSx, faça login com credenciais do FSx).

  2. Execute o seguinte comando para listar todos os usuários bloqueados pelo Workload Security para SMB em todas as SVMs:

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

Na saída acima, 2 usuários foram bloqueados (US030, US040) com domínio CSLAB.

  1. Depois de identificar a posição na saída acima, execute o seguinte comando para desbloquear o usuário:

     vserver name-mapping delete -direction win-unix -position <position>
. Confirme se os usuários estão desbloqueados executando o comando:
    vserver name-mapping show -direction win-unix -replacement " "

Nenhuma entrada deve ser exibida para os usuários bloqueados anteriormente.

Solução de problemas

Problema Experimente isto

Alguns usuários não estão sendo restringidos, embora haja um ataque.

1. Certifique-se de que o Coletor de Dados e o Agente para as SVMs estejam no estado Em execução. O Workload Security não poderá enviar comandos se o Data Collector e o Agent estiverem parados. 2. Isso ocorre porque o usuário pode ter acessado o armazenamento de uma máquina com um novo IP que não foi usado antes. A restrição ocorre por meio do endereço IP do host por meio do qual o usuário está acessando o armazenamento. Verifique na IU (Detalhes do alerta > Histórico de limitação de acesso para este usuário > IPs afetados) a lista de endereços IP que estão restritos. Se o usuário estiver acessando o armazenamento de um host que tenha um IP diferente dos IPs restritos, o usuário ainda poderá acessar o armazenamento por meio do IP não restrito. Se o usuário estiver tentando acessar de hosts cujos IPs são restritos, o armazenamento não estará acessível.

Clicar manualmente em Restringir acesso resulta na mensagem “Endereços IP deste usuário já foram restringidos”.

O IP a ser restrito já está sendo restringido por outro usuário.

A política não pôde ser modificada. Motivo: não autorizado para esse comando.

Verifique se ao usar csuser, as permissões são concedidas ao usuário conforme mencionado acima.

O bloqueio de usuário (endereço IP) para NFS funciona, mas para SMB/CIFS, vejo uma mensagem de erro: “Falha na transformação de SID para DomainName. Motivo do tempo limite: o soquete não foi estabelecido”

Isso pode acontecer se csuser não tiver permissão para executar ssh. (Garanta a conexão no nível do cluster e, em seguida, certifique-se de que o usuário pode executar o ssh). A função csuser requer essas permissões. https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking Para csuser com credenciais de cluster, faça o seguinte na linha de comando do ONTAP : security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all Se csuser não for usado e se o usuário administrador no nível do cluster for usado, certifique-se de que o usuário administrador tenha permissão ssh para o ONTAP.

Estou recebendo a mensagem de erro Falha na tradução do SID. Motivo:255:Erro: comando falhou: não autorizado para esse comandoErro: "access-check" não é um comando reconhecido, quando um usuário deveria ter sido bloqueado.

Isso pode acontecer quando csuser não tem permissões corretas. Ver "Pré-requisitos para bloqueio de acesso do usuário" para maiores informações. Após aplicar as permissões, é recomendável reiniciar o coletor de dados ONTAP e o coletor de dados do Diretório do Usuário. Os comandos de permissão necessários estão listados abaixo. ---- função de login de segurança create -role csrole -cmddirname "regra de política de exportação do vserver" -access all função de login de segurança create -role csrole -cmddirname set -access all função de login de segurança create -role csrole -cmddirname "sessão cifs do vserver" -access all função de login de segurança create -role csrole -cmddirname "autenticação de verificação de acesso aos serviços do vserver translate" -access all função de login de segurança create -role csrole -cmddirname "mapeamento de nomes do vserver" -access all ----