本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

封鎖使用者存取

貢獻者

一旦偵測到攻擊、Cloud Secure 利用阻止使用者存取檔案系統、即可停止攻擊。您可以使用自動回應原則、或從警示或使用者詳細資料頁面手動封鎖存取。

當封鎖使用者存取時、您應該定義封鎖時間段。在所選期間結束後、使用者存取權會自動還原。SMB和NFS傳輸協定均支援存取封鎖。

直接封鎖使用者的SMB位址、導致NFS封鎖攻擊的主機機器IP位址。這些機器IP位址將會被封鎖、無法存取Cloud Secure 由VMware監控的任何儲存虛擬機器(SVM)。

舉例Cloud Secure 來說、我們可以說、此功能可管理10個SVM、而其中4個SVM則設定了自動回應原則。如果攻擊源自四個SVM之一、則使用者的存取將會在所有10個SVM中遭到封鎖。仍會在原始SVM上執行Snapshot。

如果有四個SVM、其中一個SVM設定為SMB、一個設定為NFS、其餘兩個設定為NFS和SMB、則如果攻擊源自四個SVM中的任一VM、則所有SVM都會遭到封鎖。

使用者存取封鎖的先決條件

此功能需要叢集層級認證、才能正常運作。

附註 使用Amazon FSX資料收集器時、SMB的使用者封鎖功能無法終止目前的使用者工作階段。請參閱 疑難排解 章節以取得更多資訊。

如果您使用叢集管理認證、則不需要新的權限。

如果您使用的自訂使用者(例如、CsUser)具有授予使用者的權限、請依照下列步驟授予Cloud Secure 權限、以便封鎖使用者。

對於具有叢集認證的CsUser、請從ONTAP 下列功能執行:

security login role create -role csrole -cmddirname "vserver export-policy rule" -access all
security login role create -role csrole -cmddirname set -access all
security login role create -role csrole -cmddirname "vserver cifs session" -access all
security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all
security login role create -role csrole -cmddirname "vserver name-mapping" -access all
security login role create -role csrole -cmddirname "cluster show" -access readonly

如何啟用此功能?

  • 在「支援」中Cloud Secure 、瀏覽至*管理>自動回應原則>回應原則設定>封鎖使用者存取*。

  • 將「Enable Block User Access(啟用區塊使用者存取)」設為_enabled(啟用)。

如何設定自動使用者存取封鎖?

  • 建立新的攻擊原則或編輯現有的攻擊原則。

  • 選取應監控攻擊原則的SVM。

  • 按一下「封鎖使用者檔案存取」核取方塊。此功能會在選取時啟用。

  • 在「限制使用者存取」下、選取應套用的限制模式。

  • 在「Time Period」(時間期間)下、選取應套用封鎖的時間。

  • 若要測試自動使用者封鎖、您可以透過模擬攻擊 "模擬指令碼"

如何知道系統中是否有封鎖的使用者?

  • 在警示清單頁面中、如果任何使用者遭到封鎖、畫面頂端會顯示橫幅。

  • 按一下橫幅將會帶您前往「使用者」頁面、您可以在頁面上看到封鎖的使用者清單。

  • 在「Users」(使用者)頁面中、有一欄名為「User/IP Access」(使用者/IP存取)。在該欄中、會顯示使用者封鎖的目前狀態。

手動限制及管理使用者存取

  • 您可以前往警示詳細資料或使用者詳細資料畫面、然後從這些畫面手動封鎖或還原使用者。

使用者存取限制歷程記錄

在警示詳細資料與使用者詳細資料頁面的使用者面板中、您可以檢視使用者存取限制歷程記錄的稽核:時間、動作(區塊、取消區塊)、持續時間、採取的行動、 NFS的手動/自動及受影響IP。

如何停用此功能?

您可以隨時停用此功能。如果系統中有受限的使用者、您必須先還原他們的存取權限。

  • 在「支援」中Cloud Secure 、瀏覽至*管理>自動回應原則>回應原則設定>封鎖使用者存取*

  • 取消選取「Enable Block User Access(啟用區塊使用者存取)」以停用。

所有頁面都會隱藏此功能。

手動還原NFS的IP

如果您的VMware試用版過期、或代理程式/收集器當機、請使用下列步驟手動還原ONTAP 任何來自VMware的IP Cloud Secure 。

  1. 列出SVM上的所有匯出原則。

    contrail-qa-fas8020::> export-policy rule show -vserver <svm name>
                 Policy          Rule    Access   Client                RO
    Vserver      Name            Index   Protocol Match                 Rule
    ------------ --------------- ------  -------- --------------------- ---------
    svm0        default         1       nfs3,    cloudsecure_rule,     never
                                        nfs4,    10.11.12.13
                                        cifs
    svm1        default         4       cifs,    0.0.0.0/0             any
                                        nfs
    svm2        test            1       nfs3,    cloudsecure_rule,     never
                                        nfs4,    10.11.12.13
                                        cifs
    svm3        test            3       cifs,    0.0.0.0/0             any
                                        nfs,
                                        flexcache
    4 entries were displayed.
  2. 在SVM上、將「cloudsecure_rRule」做為用戶端比對的所有原則中刪除規則、方法是指定其各自的規則索引。通常情況下、這個規則是1。Cloud Secure

     contrail-qa-fas8020::*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1
    . 確保Cloud Secure 刪除此規則(可選的確認步驟)。
    contrail-qa-fas8020::*> export-policy rule show -vserver <svm name>
                 Policy          Rule    Access   Client                RO
    Vserver      Name            Index   Protocol Match                 Rule
    ------------ --------------- ------  -------- --------------------- ---------
    svm0         default         4       cifs,    0.0.0.0/0             any
                                        nfs
    svm2         test            3       cifs,    0.0.0.0/0             any
                                        nfs,
                                        flexcache
    2 entries were displayed.
    == Manually Restore Users for SMB

如果您的VMware試用版過期、或代理程式/收集器當機、請使用下列步驟手動還原ONTAP 任何來自VMware的使用者Cloud Secure 。

您可以從Cloud Secure 使用者清單頁面取得遭封鎖的使用者清單。

  1. 使用ONTAP 叢集_admin_認證登入到32個叢集(您想要解除封鎖使用者的位置)。(若為Amazon FSX、請使用FSX認證登入)。

  2. 執行下列命令、列出Cloud Secure 所有SVM中所有被支援Sfor SMB的所有使用者:

    vserver name-mapping show -direction win-unix -replacement " "
    Vserver:   <vservername>
    Direction: win-unix
    Position Hostname         IP Address/Mask
    -------- ---------------- ----------------
    1       -                 -                   Pattern: CSLAB\\US040
                                             Replacement:
    2       -                 -                   Pattern: CSLAB\\US030
                                             Replacement:
    2 entries were displayed.

在上述輸出中、有2位使用者被網域CSLAB封鎖(US030、US040)。

  1. 當我們從上述輸出中找出位置後、請執行下列命令以解除封鎖使用者:

     vserver name-mapping delete -direction win-unix -position <position>
    . 執行下列命令、確認使用者已解除封鎖:
    vserver name-mapping show -direction win-unix -replacement " "

不應針對先前封鎖的使用者顯示任何項目。

疑難排解

問題 試試看

有些使用者並未受到限制、但仍有攻擊。

1.確定SVM的資料收集器和代理程式處於_Running狀態。如果停止資料收集器和代理程式、則無法傳送命令。Cloud Secure2、這是因為使用者可能使用之前未使用過的新IP、從機器存取儲存設備。使用者透過其存取儲存設備的主機IP位址進行限制。請查看UI(警示詳細資料>此使用者的存取限制歷程記錄>受影響的IP)、以取得受限的IP位址清單。如果使用者從IP與受限IP不同的主機存取儲存設備、則使用者仍可透過不受限IP存取儲存設備。如果使用者嘗試從IP受限的主機存取、則儲存設備將無法存取。

手動按一下「限制存取」會顯示「此使用者的IP位址已受到限制」。

要限制的IP已受到其他使用者的限制。

無法修改原則。原因:未授權使用該命令。

請檢查是否使用CsUser、是否會如上所述授予使用者權限。

我看到錯誤:svm1:使用者網域\user01的現有CIFS工作階段未關閉。此錯誤會顯示在警示詳細資料頁面的「採取行動」區段、以及警示與使用者清單頁面下方的「存取限制歷程記錄」。看到此錯誤時、使用者目前的工作階段不會關閉、但是在連結期間到期之前、使用者將會遭到任何新工作階段的封鎖。

這是Amazon FSX的已知問題。無法關閉現有的SMB工作階段。Cloud Secure目前沒有任何因應措施可封鎖Amazon FSX現有的SMB工作階段。如果收集器類型為CVO或ONTAP 不一致、請務必確認所述的權限正確無誤 先決條件 區段。