简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

正在阻止用户访问

提供者

检测到攻击后、工作负载安全性可以通过阻止用户访问文件系统来阻止攻击。可以使用自动响应策略自动阻止访问、也可以从警报或用户详细信息页面手动阻止访问。

注 Cloud Insights 联邦版不提供工作负载安全性。

在阻止用户访问时、您应定义一个阻止时间段。选定时间段结束后,系统将自动还原用户访问权限。SMB和NFS协议均支持访问阻止。

SMB会直接阻止用户访问、NFS会阻止导致攻击的主机的IP地址。这些计算机IP地址将被阻止访问工作负载安全性监控的任何Storage Virtual Machine (SVM)。

例如、假设工作负载安全性管理10个SVM、并且为其中4个SVM配置了自动响应策略。如果攻击源自四个SVM中的一个、则用户的访问将在所有10个SVM中被阻止。仍会在源 SVM 上创建 Snapshot 。

如果有四个SVM、其中一个SVM配置为SMB、一个配置为NFS、其余两个SVM配置为NFS和SMB、则如果攻击源自四个SVM中的任何一个、则所有SVM都将被阻止。

阻止用户访问的前提条件

要使此功能正常运行、需要集群级别的凭据。

如果您使用的是集群管理凭据、则不需要任何新权限。

如果您使用的自定义用户(例如_CSUser_)具有为该用户授予的权限、请按照以下步骤为工作负载安全性授予权限以阻止用户。

对于具有集群凭据的 CSUser ,请从 ONTAP 命令行执行以下操作:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

如何启用此功能?

  • 在工作负载安全性中、导航到*管理员>自动响应策略>响应策略设置>阻止用户访问*。

  • 将"启用块用户访问"设置为_enabled"。

如何设置自动用户访问阻止?

  • 创建新的攻击策略或编辑现有攻击策略。

  • 选择应监控攻击策略的 SVM 。

  • 单击"阻止用户文件访问"复选框。选择此选项后,此功能将启用。

  • 在"时间段"下、选择应用阻止的截止时间。

  • 要测试自动用户阻止、您可以通过模拟攻击 "模拟脚本"

如何知道系统中是否存在被阻止的用户?

  • 在警报列表页面中、如果任何用户被阻止、则屏幕顶部将显示一个横幅。

  • 单击此横幅将转到"用户"页面、在此可以看到被阻止的用户列表。

  • 在"用户"页面中、有一列名为"用户/IP访问"。在该列中、将显示用户阻止的当前状态。

手动限制和管理用户访问

  • 您可以转到警报详细信息或用户详细信息屏幕、然后从这些屏幕手动阻止或还原用户。

用户访问限制历史记录

在警报详细信息和用户详细信息页面的用户面板中、您可以查看对用户访问限制历史记录的审核:时间、操作(阻止、取消阻止)、持续时间、采取的操作、 NFS的手动/自动IP以及受影响的IP。

如何禁用此功能?

您可以随时禁用此功能。如果系统中存在受限用户,则必须先还原其访问权限。

  • 在工作负载安全性中、导航到*管理员>自动响应策略>响应策略设置>阻止用户访问*

  • 取消选择"启用块用户访问"以禁用。

此功能将在所有页面中隐藏。

手动还原NFS的IP

如果您的工作负载安全试用版已过期或代理/收集器已关闭、请按照以下步骤手动从ONTAP 还原任何IP。

  1. 列出 SVM 上的所有导出策略。

    contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. 通过指定相应的RuleIndex、删除SVM上所有策略中的规则、这些策略将"cloudsure_rule"设置为客户端匹配。工作负载安全规则通常为1。

     contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. 确保已删除工作负载安全规则(确认的可选步骤)。
    contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

手动还原SMB用户

如果您的工作负载安全试用版已过期或代理/收集器已关闭、请按照以下步骤手动从ONTAP 还原任何用户。

您可以从"用户"列表页面获取"工作负载安全性"中阻止的用户列表。

  1. 使用cluster _admin_凭据登录到ONTAP 集群(要解除对用户的阻止)。(对于Amazon FSX、使用FSX凭据登录)。

  2. 运行以下命令以列出所有SVM中受SMB工作负载安全性阻止的所有用户:

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

在上述输出中、域CSL阻止了2个用户(US030、US040)。

  1. 从上述输出中确定位置后、运行以下命令以解除对用户的阻止:

     vserver name-mapping delete -direction win-unix -position <position>
. 运行命令以确认用户未被阻止:
    vserver name-mapping show -direction win-unix -replacement " "

对于先前已阻止的用户、不应显示任何条目。

故障排除

问题 请尝试此操作

尽管存在攻击,但某些用户并未受到限制。

1. 确保 SVM 的数据收集器和代理处于 _running 状态。如果停止了Data Collector和代理、则工作负载安全性将无法发送命令。2. 这是因为用户可能已使用以前未使用的新 IP 从计算机访问存储。限制通过用户访问存储的主机的 IP 地址进行。在 UI ( "Alert Details" (警报详细信息) >"Access Limtion History" (此用户的访问限制历史记录) >"Affected IPs" (受影响的 IP ))中检查受限 IP 地址列表。如果用户要从 IP 与受限 IP 不同的主机访问存储,则用户仍可通过非受限 IP 访问存储。如果用户尝试从 IP 受限的主机访问,则无法访问存储。

手动单击限制访问会显示 " 此用户的 IP 地址已受限制 " 。

要限制的 IP 已被其他用户限制。

无法修改策略。原因:未获得该命令的授权。

检查是否使用CsUser、是否已按上述方式为用户授予权限。

NFS的用户(IP地址)阻止正常工作、但对于SMB/CIFS、我看到错误消息:"SID到DomainName转换失败。原因超时:未建立套接字"

如果_CSUser_无权执行ssh、则可能会发生这种情况。(确保在集群级别连接、然后确保用户可以执行ssh)。CSUser_角色需要这些权限。 https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking对于具有集群凭据的_CSUser、请从ONTAP 命令行执行以下操作: security login role create -role csrole -cmddirname "vserver export-policy rule"-access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session"-access all security login role create -role csrole -cmddirname "Vserver services access-check authentication translate"-all security login logine. role create -role csrole -cmddirname "vserver name-maping"-access all如果未使用_csUser_、并且使用了集群级别的管理员用户、请确保管理员用户对ONTAP 具有ssh权限。