隔离网络保险库的管理平面

不要在目标集群上启用数据 LIF，因为它们是额外的攻击媒介

在目标集群上，使用服务策略限制对源集群的集群间 LIF 访问

使用服务策略和堡垒主机对目标集群上的管理 LIF 进行分段，以限制访问

限制从源集群到网络保管库的所有数据流量，仅允许SnapMirror流量所需的端口

尽可能禁用ONTAP中任何不需要的管理访问方法，以减少攻击面

启用审计日志记录和远程日志存储

启用多管理员验证，并要求常规存储管理员之外的管理员（例如 CISO 员工）进行验证

实施基于角色的访问控制

要求系统管理员和 ssh 进行多因素管理身份验证

对脚本和 REST API 调用使用基于令牌的身份验证