Auditoria do sistema de arquivos nas
Os sistemas de arquivos nas ocupam um espaço maior no cenário de ameaças atuais. As funções de auditoria são essenciais para oferecer suporte à visibilidade.
A segurança requer validação. O ONTAP 9 fornece maiores eventos de auditoria e detalhes em toda a solução. Como os sistemas de arquivos nas ocupam um espaço físico maior no cenário de ameaças atuais, as funções de auditoria são essenciais para oferecer suporte à visibilidade. Devido à capacidade de auditoria aprimorada no ONTAP 9, os detalhes de auditoria do CIFS são mais abundantes do que nunca. Os principais detalhes, incluindo os seguintes, são registrados com eventos criados:
-
Acesso a arquivos, pastas e compartilhamentos
-
Arquivos criados, modificados ou excluídos
-
Acesso de leitura de ficheiros bem-sucedido
-
Tentativas falhadas de ler ou gravar ficheiros
-
Alterações de permissão de pasta
Crie uma configuração de auditoria
É necessário habilitar a auditoria CIFS para gerar eventos de auditoria. Use o vserver audit create
comando para criar uma configuração de auditoria. Por padrão, o log de auditoria usa um método de rotação baseado no tamanho. Você pode usar uma opção de rotação baseada no tempo, se especificado no campo Rotation Parameters (parâmetros de rotação). Os detalhes adicionais da configuração de rotação de auditoria de log incluem o cronograma de rotação, os limites de rotação, os dias de rotação da semana e o tamanho da rotação. O texto a seguir fornece um exemplo de configuração que descreve uma configuração de auditoria usando uma rotação mensal baseada em tempo agendada para todos os dias da semana às 12:30.
cluster1::> vserver audit create -vserver vs1 -destination /audit_log -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30
Eventos de auditoria CIFS
Os eventos de auditoria CIFS são os seguintes:
-
Compartilhamento de arquivos: Gera um evento de auditoria quando um compartilhamento de rede CIFS é adicionado, modificado ou excluído usando os comandos relacionados
vserver cifs share
. -
Alteração da política de auditoria: Gera um evento de auditoria quando a política de auditoria é desativada, ativada ou modificada usando os comandos relacionados
vserver audit
. -
Conta de usuário: Gera um evento de auditoria quando um usuário local CIFS ou UNIX é criado ou excluído; uma conta de usuário local é ativada, desativada ou modificada; ou uma senha é redefinida ou alterada. Este evento usa o
vserver cifs users-and-groups local-group
comando ou o comando relacionadovserver services name-service unix-user
. -
Security group: Gera um evento de auditoria quando um grupo de segurança local CIFS ou UNIX é criado ou excluído usando o
vserver cifs users-and-groups local-group
comando ou o comando relacionadovserver services name-service unix-group
. -
Alteração da política de autorização: Gera um evento de auditoria quando os direitos são concedidos ou revogados para um usuário CIFS ou um grupo CIFS usando o
vserver cifs users-and-groups privilege
comando.
Esta funcionalidade é baseada na função de auditoria do sistema, que permite que um administrador analise o que o sistema está permitindo e executando a partir da perspetiva de um usuário de dados. |
Efeito de APIS REST na auditoria nas
O ONTAP inclui a capacidade de contas de administrador acessarem e manipularem arquivos SMB/CIFS ou NFS usando APIs REST. Embora as APIS REST só possam ser executadas por administradores do ONTAP, os comandos da API REST ignoram o log de auditoria nas do sistema. Além disso, as permissões de arquivo também podem ser ignoradas pelos administradores do ONTAP ao usar APIs REST. No entanto, as ações do administrador com APIs REST em arquivos são capturadas no log do histórico de comandos do sistema.
Criar função de API REST sem acesso
É possível impedir que os administradores do ONTAP usem APIS REST para acesso a arquivos ao criar uma função de API REST que não tenha acesso a volumes do ONTAP por meio DE REST. Para provisionar essa função, execute as etapas a seguir.
-
Crie uma nova função REST que não tenha acesso a volumes de storage, além de ter todos os outros acessos à API REST.
cluster1::> security login rest-role create nofiles -vserver cluster1 "/api/storage/volumes" -access none cluster1::> security login rest-role create nofiles -vserver cluster1 "/api" -access all
-
Atribua a conta de administrador à nova função API REST que você criou na etapa anterior.
cluster1::> security login modify -user-or-group-name user1 -application http -authentication-method password -vserver cluster1 -role nofile
Se você quiser impedir que a conta de administrador de cluster do ONTAP integrada use APIS REST para acesso a arquivos, primeiro será necessário "crie uma nova conta de administrador e desative ou exclua a conta interna". |