阻止用戶訪問
建議變更
PDF
一旦偵測到攻擊,Workload Security 可以透過阻止使用者存取檔案系統來阻止攻擊。可以使用自動回應策略自動阻止訪問,也可以從警報或使用者詳細資料頁面手動阻止訪問。
當阻止使用者存取時,應該定義一個阻止時間段。選定的時間段結束後,使用者存取權限將自動恢復。 SMB 和 NFS 協定均支援存取阻止。
使用者的 SMB 存取將直接被阻止,而引發攻擊的主機的 IP 位址的 NFS 存取將被阻止。這些機器 IP 位址將被阻止存取由工作負載安全監控的任何儲存虛擬機器 (SVM)。
例如,假設工作負載安全管理 10 個 SVM,並且為其中 4 個 SVM 配置了自動回應策略。如果攻擊源自四個 SVM 中的一個,則使用者的存取將在所有 10 個 SVM 中被封鎖。仍在原始 SVM 上拍攝快照。
如果有四個 SVM,其中一個 SVM 配置為 SMB,一個 SVM 配置為 NFS,其餘兩個 SVM 同時配置為 NFS 和 SMB,則如果攻擊源自四個 SVM 中的任何一個,則所有 SVM 都會被阻止。
使用者存取阻止的先決條件
此功能需要集群級憑證才能運作。
如果您使用叢集管理憑證,則不需要新的權限。
如果您正在使用具有指定權限的自訂使用者(例如,csuser),請依照下列步驟向 Workload Security 授予封鎖使用者的權限。
對於具有叢集憑證的 csuser,請從ONTAP命令列執行下列操作:
security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role csrole -cmddirname set -access all security login role create -role csrole -cmddirname "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmddirname "vserver name-mapping" -access all
請務必查看"配置ONTAP SVM 資料收集器"頁面也是如此。
如何啟用該功能?
-
在工作負載安全性中,導覽至*工作負載安全性>策略>自動回應策略*。選擇*+攻擊策略*。
-
選擇(選取)阻止使用者檔案存取。
如何設定自動用戶存取阻止?
-
建立新的攻擊策略或編輯現有的攻擊策略。
-
選擇應監控攻擊策略的 SVM。
-
點選複選框「阻止使用者檔案存取」。選擇此項目後,該功能將會啟用。
-
在「時間段」下選擇套用封鎖的時間。
-
若要測試自動用戶阻止,您可以透過以下方式模擬攻擊"類比腳本"。
如何知道系統中是否有被封鎖的使用者?
-
在警報清單頁面中,如果有任何使用者被封鎖,螢幕頂部將顯示橫幅。
-
點擊橫幅將帶您進入「使用者」頁面,您可以在此查看被封鎖使用者的清單。
-
在「使用者」頁面中,有一個名為「使用者/IP存取」的欄位。在該欄位中將顯示使用者封鎖的目前狀態。
手動限制和管理用戶訪問
-
您可以轉到警報詳細資訊或使用者詳細資料螢幕,然後從這些螢幕手動封鎖或還原使用者。
使用者存取限制歷史記錄
在警報詳細資訊和使用者詳細資料頁面的使用者面板中,您可以查看使用者存取限制歷史記錄的審核:時間、操作(封鎖、解除封鎖)、持續時間、採取的操作、手動/自動以及受影響的 NFS IP。
如何停用該功能?
您可以隨時停用該功能。如果系統中有受限用戶,則必須先恢復他們的存取權限。
-
在工作負載安全性中,導覽至*工作負載安全性>策略>自動回應策略*。選擇*+攻擊策略*。
-
取消選擇(取消選取)阻止使用者檔案存取。
該功能將在所有頁面中隱藏。
手動恢復 NFS 的 IP
如果您的 Workload Security 試用版已過期,或代理程式/收集器已關閉,請依照下列步驟從ONTAP手動復原任何 IP。
-
列出 SVM 上的所有匯出策略。
contrail-qa-fas8020:> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm1 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 1 nfs3, cloudsecure_rule, never nfs4, 10.11.12.13 cifs svm3 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 4 entries were displayed. -
透過指定對應的 RuleIndex,刪除 SVM 上所有將「cloudsecure_rule」作為客戶端相符的策略中的規則。工作負載安全規則通常為 1。
contrail-qa-fas8020:*> export-policy rule delete -vserver <svm name> -policyname * -ruleindex 1 . 確保工作負載安全規則已被刪除(選用步驟確認)。
contrail-qa-fas8020:*> export-policy rule show -vserver <svm name> Policy Rule Access Client RO Vserver Name Index Protocol Match Rule ------------ --------------- ------ -------- --------------------- --------- svm0 default 4 cifs, 0.0.0.0/0 any nfs svm2 test 3 cifs, 0.0.0.0/0 any nfs, flexcache 2 entries were displayed.
手動恢復 SMB 用戶
如果您的 Workload Security 試用版已過期,或代理程式/收集器已關閉,請依照下列步驟從ONTAP手動恢復任何使用者。
您可以從使用者清單頁面取得工作負載安全性中被封鎖的使用者清單。
-
使用群集_admin_憑證登入ONTAP叢集(您想要解除使用者封鎖的位置)。 (對於Amazon FSx,使用 FSx 憑證登入)。
-
執行下列命令列出所有 SVM 中被 Workload Security for SMB 封鎖的所有使用者:
vserver name-mapping show -direction win-unix -replacement " "
Vserver: <vservername> Direction: win-unix Position Hostname IP Address/Mask -------- ---------------- ---------------- 1 - - Pattern: CSLAB\\US040 Replacement: 2 - - Pattern: CSLAB\\US030 Replacement: 2 entries were displayed.
在上面的輸出中,有 2 個使用者(US030、US040)被域 CSLAB 封鎖。
-
一旦我們從上面的輸出中識別出位置,請執行以下命令來解除對使用者的封鎖:
vserver name-mapping delete -direction win-unix -position <position> . 透過執行以下命令確認用戶已解除封鎖:
vserver name-mapping show -direction win-unix -replacement " "
對於先前被封鎖的用戶,不應顯示任何條目。
故障排除
| 問題 | 嘗試一下 |
|---|---|
儘管發生了攻擊,但一些用戶並未受到限制。 |
1.確保 SVM 的資料收集器和代理程式處於_正在運行_狀態。如果資料收集器和代理停止,工作負載安全性將無法發送命令。2.這是因為用戶可能從具有以前未使用過的新 IP 的機器存取了儲存。限制是透過使用者存取儲存的主機的 IP 位址進行的。在 UI(警報詳細資訊 > 此使用者的存取限制歷史記錄 > 受影響的 IP)中檢查受限制的 IP 位址清單。如果使用者從具有不同於受限 IP 的 IP 的主機存取存儲,則使用者仍然能夠透過非受限 IP 存取存儲。如果使用者嘗試從 IP 受限的主機進行訪問,則儲存將無法存取。 |
手動點選「限制存取」會出現「此使用者的 IP 位址已被限制」的情況。 |
需要限制的 IP 已被其他使用者限制。 |
無法修改策略。原因:未授權執行該指令。 |
檢查是否使用 csuser,是否如上所述授予使用者權限。 |
NFS 的使用者(IP 位址)阻止有效,但對於 SMB/CIFS,我看到一條錯誤訊息:「SID 到網域轉換失敗。原因超時:套接字未建立” |
如果 csuser 沒有執行 ssh 的權限,則可能會發生這種情況。 (確保叢集層級的連接,然後確保使用者可以執行 ssh)。 csuser 角色需要這些權限。 https://docs.netapp.com/us-en/cloudinsights/cs_restrict_user_access.html#prerequisites-for-user-access-blocking對於具有群集憑證的 csuser,請從ONTAP命令列執行以下操作: security login role create -role csrole -cmddirname "vserver export-policy rule" -access all security login role create -role cole -cmcm firname - vi^cm none kkd -cmFiial f55 -cmi fir fFald -cmFirname -vvi nv "vserver cifs session" -access all security login role create -role csrole -cmddirname "vserver services access-check authentication translate" -access all security login role create -role csrole -cmirname"vserver_cmirname "vserver_cmircc -Fat_cmircoat_Flu_cmirname"vserver_cmirname"vserver_cmircc -Fat_cmirname s fat_cmirFvserver_cmdirFvserver_cmirc -Fat_cmirc -Fat_cmirname n_vv.並且使用叢集層級的管理員用戶,請確保管理員用戶具有ONTAP的 ssh 權限。 |
我收到錯誤訊息 SID 轉換失敗。 _ _原因:255:錯誤:命令失敗:未授權執行該命令錯誤:「access-check」不是可識別的命令,而使用者應該被阻止。 |
當 csuser 沒有正確的權限時,就會發生這種情況。看"使用者存取阻止的先決條件"了解更多。應用權限後,建議重新啟動ONTAP資料收集器和使用者目錄資料收集器。所需的權限命令如下圖所示。 ---- 安全登入角色建立 -role csrole -cmddirname「vserver export-policy rule」-access all 安全登入角色建立 -role csrole -cmddirname 設定 -access all 安全登入角色建立 -role csrole -cmddirname「vserver accvsession 」服務安全登入角色建立 -role csrole -cmddirname「vserver accvsession)」服務-安全登入角色 - 安全性」 authentication translate”-access all 安全登入角色建立 -role csrole -cmddirname“vserver name-mapping”-access all ---- |