Skip to main content
Cloud Insights
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

封鎖使用者存取

貢獻者

一旦偵測到攻擊、工作負載安全功能就能封鎖使用者存取檔案系統、藉此阻止攻擊。您可以使用自動回應原則、或從警示或使用者詳細資料頁面手動封鎖存取。

註 Cloud Insights 聯邦版不提供工作負載安全功能。

當封鎖使用者存取時、您應該定義封鎖時間段。在所選期間結束後、使用者存取權會自動還原。SMB和NFS傳輸協定均支援存取封鎖。

直接封鎖使用者的SMB位址、導致NFS封鎖攻擊的主機機器IP位址。這些機器IP位址將會遭到封鎖、無法存取工作負載安全性所監控的任何儲存虛擬機器(SVM)。

例如、假設工作負載安全性管理10個SVM、而自動回應原則則是針對其中四個SVM進行設定。如果攻擊源自四個SVM之一、則使用者的存取將會在所有10個SVM中遭到封鎖。仍會在原始SVM上執行Snapshot。

如果有四個SVM、其中一個SVM設定為SMB、一個設定為NFS、其餘兩個設定為NFS和SMB、則如果攻擊源自四個SVM中的任一VM、則所有SVM都會遭到封鎖。

使用者存取封鎖的先決條件

此功能需要叢集層級認證、才能正常運作。

如果您使用叢集管理認證、則不需要新的權限。

如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予工作負載安全性權限、以封鎖使用者。

對於具有叢集認證的CsUser、請從ONTAP 下列功能執行:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all

請務必檢閱的「權限」區段 "設定ONTAP SVM Data Collector" 頁面。

如何啟用此功能?

  • 在工作負載安全性中、瀏覽至 * 工作負載安全性 > 原則 > 自動回應原則 * 。 選擇 *+ 攻擊政策 * 。

  • 選取(勾選) _ 封鎖使用者檔案存取 _ 。

如何設定自動使用者存取封鎖?

  • 建立新的攻擊原則或編輯現有的攻擊原則。

  • 選取應監控攻擊原則的SVM。

  • 按一下「封鎖使用者檔案存取」核取方塊。此功能會在選取時啟用。

  • 在「Time Period」(時間期間)下、選取應套用封鎖的時間。

  • 若要測試自動使用者封鎖、您可以透過模擬攻擊 "模擬指令碼"

如何知道系統中是否有封鎖的使用者?

  • 在警示清單頁面中、如果任何使用者遭到封鎖、畫面頂端會顯示橫幅。

  • 按一下橫幅將會帶您前往「使用者」頁面、您可以在頁面上看到封鎖的使用者清單。

  • 在「Users」(使用者)頁面中、有一欄名為「User/IP Access」(使用者/IP存取)。在該欄中、會顯示使用者封鎖的目前狀態。

手動限制及管理使用者存取

  • 您可以前往警示詳細資料或使用者詳細資料畫面、然後從這些畫面手動封鎖或還原使用者。

使用者存取限制歷程記錄

在警示詳細資料與使用者詳細資料頁面的使用者面板中、您可以檢視使用者存取限制歷程記錄的稽核:時間、動作(區塊、取消區塊)、持續時間、採取的行動、 NFS的手動/自動及受影響IP。

如何停用此功能?

您可以隨時停用此功能。如果系統中有受限的使用者、您必須先還原他們的存取權限。

  • 在工作負載安全性中、瀏覽至 * 工作負載安全性 > 原則 > 自動回應原則 * 。 選擇 *+ 攻擊政策 * 。

  • 取消選取(取消勾選) _ 封鎖使用者檔案存取 _ 。

所有頁面都會隱藏此功能。

手動還原NFS的IP

如果您的工作負載安全性試用期到期、或代理程式/收集器當機、請使用下列步驟手動還原ONTAP 任何來自VMware的IP。

  1. 列出SVM上的所有匯出原則。

    contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0        default         1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm1        default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2        test            1       nfs3,    cloudsecure_rule,     never
                                    nfs4,    10.11.12.13
                                    cifs
svm3        test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
4 entries were displayed.

  2. 在SVM上、將「cloudsecure_rRule」做為用戶端比對的所有原則中刪除規則、方法是指定其各自的規則索引。工作負載安全性規則通常為1。

     contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
. 確保工作負載安全規則已刪除(可選步驟確認)。
    contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
             Policy          Rule    Access   Client                RO
Vserver      Name            Index   Protocol Match                 Rule
------------ --------------- ------  -------- --------------------- ---------
svm0         default         4       cifs,    0.0.0.0/0             any
                                    nfs
svm2         test            3       cifs,    0.0.0.0/0             any
                                    nfs,
                                    flexcache
2 entries were displayed.

手動還原SMB的使用者

如果您的工作負載安全性試用版過期、或代理程式/收集器當機、請使用下列步驟手動還原ONTAP 任何來自VMware的使用者。

您可以從使用者清單頁面取得工作負載安全性中封鎖的使用者清單。

  1. 使用ONTAP 叢集_admin_認證登入到32個叢集(您想要解除封鎖使用者的位置)。(若為Amazon FSX、請使用FSX認證登入)。

  2. 執行下列命令、列出所有SVM中所有被SMB工作負載安全性封鎖的使用者:

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
Direction: win-unix
Position Hostname         IP Address/Mask
-------- ---------------- ----------------
1       -                 -                   Pattern: CSLAB\\US040
                                         Replacement:
2       -                 -                   Pattern: CSLAB\\US030
                                         Replacement:
2 entries were displayed.

在上述輸出中、有2位使用者被網域CSLAB封鎖(US030、US040)。

  1. 當我們從上述輸出中找出位置後、請執行下列命令以解除封鎖使用者:

     vserver name-mapping delete -direction win-unix -position <position>
. 執行下列命令、確認使用者已解除封鎖:
    vserver name-mapping show -direction win-unix -replacement " "

不應針對先前封鎖的使用者顯示任何項目。

疑難排解

問題 試試看

有些使用者並未受到限制、但仍有攻擊。

1.確定SVM的資料收集器和代理程式處於_Running狀態。如果停止資料收集器和代理程式、工作負載安全功能將無法傳送命令。2、這是因為使用者可能使用之前未使用過的新IP、從機器存取儲存設備。使用者透過其存取儲存設備的主機IP位址進行限制。請查看UI(警示詳細資料>此使用者的存取限制歷程記錄>受影響的IP)、以取得受限的IP位址清單。如果使用者從IP與受限IP不同的主機存取儲存設備、則使用者仍可透過不受限IP存取儲存設備。如果使用者嘗試從IP受限的主機存取、則儲存設備將無法存取。

手動按一下「限制存取」會顯示「此使用者的IP位址已受到限制」。

要限制的IP已受到其他使用者的限制。

無法修改原則。原因:未授權使用該命令。

請檢查是否使用CsUser、是否會如上所述授予使用者權限。

NFS的使用者(IP位址)封鎖正常運作、但對於SMB / CIFS、我看到錯誤訊息:「從SID到網域名稱的轉換失敗。原因逾時:通訊端未建立」

這種情況可能發生於_CsUser_沒有執行ssh的權限。(請確保叢集層級的連線、然後確定使用者可以執行ssh)。CsUser_角色需要這些權限。 https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking對於具有叢集認證的_CsUser、請從ONTAP 下列指令行執行下列動作: 安全性登入角色create -role csrole -cmd目錄名稱"vserver出口原則規則"-access all安全性登入角色create -role csrole -cmd目錄名稱-cmd目錄名稱set -access all安全性登入角色create -role csrole -cmd目錄名稱"vserver csse-check concall"-access"安全性登入密碼全名 角色建立-role csrole -cmd目錄名稱"vserver name-mapping "-access all如果不使用_CsUser_、而且使用叢集層級的管理員使用者、請確定管理員使用者具有ONTAP 支援Isrole的ssh權限。