简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。
动态授权概述
贡献者
建议更改
从ONTAP 9.151开始、管理员可以配置和启用动态授权、以提高远程访问ONTAP的安全性、同时缓解恶意攻击者可能造成的潜在损害。在ONTAP 9.151中、动态授权提供了一个初始框架、用于为用户分配安全得分、如果用户的活动看起来可疑、则通过额外的授权检查向用户提出质疑或完全拒绝操作。管理员可以创建规则、分配信任得分和限制命令、以确定何时允许或拒绝用户执行某些活动。管理员可以在集群范围内启用动态授权、也可以为各个Storage VM启用动态授权。
动态授权的工作原理
动态授权使用信任评分系统根据授权策略为用户分配不同的信任级别。根据用户的信任级别、可以允许或拒绝他们执行的活动、也可以提示用户进行进一步的身份验证。
请参见"自定义动态授权"、了解有关如何配置标准分数权重和其他动态授权属性的更多信息。
可信设备
使用动态授权时、可信设备的定义是用户使用公共密钥身份验证作为身份验证方法之一登录到ONTAP时使用的设备。设备是可信的、因为只有该用户拥有相应的私钥。
动态授权示例
以三个不同用户尝试删除卷为例。当他们尝试执行操作时、会检查每个用户的风险等级:
-
第一个用户从可信设备登录时、以前的身份验证失败很少、这使她的风险等级较低;无需额外身份验证即可操作。
-
第二个用户从可信设备登录、之前的身份验证失败率中等、因此风险评级为中等;系统会提示她在允许执行此操作之前进行其他身份验证。
-
第三个用户从先前身份验证失败的百分比较高的不可信设备登录、这会使风险等级较高;不允许执行此操作。
下一步行动