隔离网络存储的管理平台

请勿在目标集群上启用数据生命周期、因为数据生命周期是额外的攻击媒介

在目标集群上、使用服务策略限制对源集群的集群间LIF访问

对目标集群上的管理LIF进行分段、以便使用服务策略和基站主机进行有限的访问

将源集群中的所有数据流量限制为网络存储、以便仅允许SnapMirror流量所需的端口

如有可能、请在ONTAP中禁用任何不需要的管理访问方法、以减少攻击面

启用审核日志记录和远程日志存储

启用多管理员验证、并需要常规存储管理员以外的管理员(例如CISO员工)进行验证

实施基于角色的访问控制

需要对System Manager和ssh进行管理多因素身份验证

对脚本和REST API调用使用基于令牌的身份验证