使用 ONTAP 架構以資料為中心的零信任方法
Zero Trust 網路是以資料為中心的方法所定義、其中的安全控管措施應盡可能接近資料。ONTAP 的功能搭配 NetApp FPolicy 合作夥伴生態系統、可為以資料為中心的零信任模式提供必要的控制。
ONTAP 是 NetApp 提供的安全性豐富的資料管理軟體、而 FPolicy Zero Trust Engine 則是領先業界的 ONTAP 功能、可提供精細的檔案型事件通知介面。NetApp FPolicy 合作夥伴可以使用此介面、在 ONTAP 中提供更多資料存取的照明。
建構 Zero Trust 資料導向的 MCAP
若要架構以資料為中心的 Zero Trust MCAP 、請遵循下列步驟:
-
識別所有組織資料的位置。
-
將資料分類。
-
安全地處理不再需要的資料。
-
瞭解哪些角色應該能夠存取資料分類。
-
應用最低權限原則來強制執行存取控制。
-
使用多因素驗證來進行管理存取和資料存取。
-
對靜止資料和正在傳輸的資料使用加密。
-
監控並記錄所有存取。
-
警示可疑的存取或行為。
識別所有組織資料的位置
ONTAP 的 FPolicy 功能搭配 FPolicy 合作夥伴的 NetApp 聯盟合作夥伴生態系統、可讓您識別貴組織資料的存在位置、以及哪些人可以存取。這是透過使用者行為分析來完成、可識別資料存取模式是否有效。「監控」和「記錄所有存取」中會討論使用者行為分析的更多詳細資料。如果您不瞭解資料的位置和存取權、使用者行為分析可以提供基準、以根據經驗觀察來建立分類和原則。
將資料分類
在零信任模式的術語中、資料分類涉及識別有毒資料。有毒資料是機密資料、不應暴露於組織外部。揭露有毒資料可能違反法規遵循、並損害組織的聲譽。在法規遵循方面、有毒資料包括的持卡人資料、歐盟的個人資料 "支付卡產業資料安全標準(PCI-DSS)"、 "一般資料保護規範( GDPR )"或的醫療資料 "健康保險可攜性與責任法案( HIPAA )"。您可以使用 AI 驅動的工具套件 NetApp "BlueXP 分類" (前身為 Cloud Data Sense )來自動掃描、分析及分類資料。
安全地處理不再需要的資料
將組織的資料分類之後、您可能會發現有些資料不再需要或與組織的功能相關。保留不必要的資料是一項責任、應刪除此類資料。如需加密清除資料的進階機制、請參閱「靜止資料加密」中的安全清除說明。
瞭解哪些角色應該擁有資料分類的存取權、並運用最低權限原則來強制執行存取控制
對應對敏感資料的存取權、並套用最低權限原則、意味著只有組織中的人員才能存取執行工作所需的資料。此過程涉及基於角色的訪問控制 ("RBAC"),適用於數據訪問和管理訪問。
有了 ONTAP 、儲存虛擬機器( SVM )可用來區隔 ONTAP 叢集內租戶的組織資料存取。RBAC 可套用至資料存取、以及對 SVM 的管理存取。您也可以在叢集管理層級套用 RBAC 。
除了 RBAC 之外、您也可以使用 ONTAP "多重管理驗證" ( MAV )來要求一或多個系統管理員核准或等命令 volume delete
volume snapshot delete
。啟用MAV之後、修改或停用MAV需要MAV管理員核准。
另一種保護 Snapshot 副本的方法是使用 ONTAP "Snapshot 複本鎖定"。Snapshot 複本鎖定是 SnapLock 功能、可在 Volume Snapshot 複本原則上以手動或自動方式呈現 Snapshot 複本、並保留一段時間。Snapshot 複本鎖定也稱為防竄改 Snapshot 複本鎖定。Snapshot 複本鎖定的目的是防止惡意或不受信任的系統管理員刪除主要和次要 ONTAP 系統上的 Snapshot 複本。可在主要系統上快速恢復鎖定的 Snapshot 複本、以還原遭勒索軟體毀損的磁碟區。
使用多因素驗證來進行管理存取和資料存取
除了叢集管理 RBAC 之外、 "多因素驗證( MFA )" 也可部署以進行 ONTAP Web 管理存取和安全 Shell ( SSH )命令列存取。美國公共部門組織或必須遵守 PCI-DSS 的組織、都必須使用 MFA 來進行管理存取。MFA 讓攻擊者無法僅使用使用者名稱和密碼來危害帳戶。MFA 需要兩個以上的驗證因素。雙因素驗證的範例是使用者擁有的東西、例如私密金鑰、以及使用者知道的東西、例如密碼。安全聲明標記語言( SAML ) 2.0 可讓管理網路存取 ONTAP 系統管理員或 ActiveIQ Unified Manager 。SSH 命令列存取使用連結的雙因素驗證搭配公開金鑰和密碼。
您可以使用 ONTAP 中的身分識別與存取管理功能、透過 API 控制使用者和機器存取:
-
使用者:
-
* 驗證與授權。 *透過適用於 SMB 和 NFS 的 NAS 傳輸協定功能。
-
* 稽核 *存取與事件的系統記錄。CIFS 通訊協定的詳細稽核記錄、以測試驗證和授權原則。精細精細的 FPolicy 稽核檔案層級的詳細 NAS 存取。
-
-
裝置:
-
* 驗證。 *用於 API 存取的憑證型驗證。
-
* 授權。 *預設或自訂角色型存取控制( RBAC )。
-
* 稽核 *系統記錄所採取的所有行動。
-
對靜止資料和正在傳輸的資料使用加密
靜態資料加密
每天都有新的要求、可在組織重新調整磁碟機用途、退回故障磁碟機、或透過銷售或交易方式升級到較大磁碟機時、降低儲存系統風險和基礎架構漏洞。 身為資料的管理員和操作者、儲存工程師必須在資料的整個生命週期內、安全地管理及維護資料。 "NetApp 儲存加密( NSE ) ; #44 ; NetApp Volume 加密( NVE ) ; #44 ;以及 NetApp Aggregate 加密" 協助您隨時加密所有資料、無論資料是否有毒、而且不會影響日常作業。 "NSE" 是 ONTAP 硬體 "靜態資料" 解決方案、使用 FIPS 140-2 第 2 級驗證的自我加密磁碟機。 "NVE 和 NAE" 是使用的 ONTAP 軟體 "靜態資料" 解決方案 "FIPS 140-2 第 1 級驗證 NetApp 密碼編譯模組"。有了 NVE 和 NAE 、硬碟或固態硬碟都可用於靜態資料加密。此外、 NSE 磁碟機也可用於提供原生的分層加密解決方案、提供加密備援和額外的安全性。如果有一層被破壞、則第二層仍會保護資料安全。這些功能讓 ONTAP 成為 "Quantum 就緒加密"的理想選擇。
NVE 也提供一項稱為的功能 "安全清除" 、可在將敏感檔案寫入非機密磁碟區時、以密碼方式移除資料外洩的有毒資料。
可將 "內建金鑰管理程式(OKM)"內建於 ONTAP 的金鑰管理員或協力廠商搭配 NSE 和 NVE 使用、以安全地儲存金鑰 "已核准" "外部金鑰管理員" 資料。
如上圖所示、可結合硬體和軟體型加密。這項功能可讓您 "將 ONTAP 驗證為 NSA 的商業解決方案、以供分類方案使用" 儲存重要機密資料。
資料傳輸中加密
ONTAP 資料傳輸加密功能可保護使用者資料存取和控制面板存取。使用者資料存取可透過 SMB 3.0 加密來加密 Microsoft CIFS 共用存取、或透過 krb5P for NFS Kerberos 5 來加密。使用 CIFS 、 NFS 和 iSCSI 也可以加密使用者資料存取 "IPsec" 。控制平面存取是以傳輸層安全性( TLS )加密。ONTAP 提供 "FIPS" 控制平面存取的法規遵循模式、可啟用 FIPS 核准的演算法、並停用未經 FIPS 核准的演算法。資料複寫是使用加密 "叢集對等加密"的。這可為 ONTAP SnapVault 和 SnapMirror 技術提供加密。
監控並記錄所有存取
建立 RBAC 原則之後、您必須部署主動監控、稽核及警示。NetApp ONTAP 的 FPolicy Zero Trust Engine 搭配提供資料導向的 Zero "NetApp FPolicy 合作夥伴生態系統"Trust 模式所需的控制功能。NetApp ONTAP 是安全性豐富的資料管理軟體、 "FPolicy" 是領先業界的 ONTAP 功能、可提供精細的檔案型事件通知介面。NetApp FPolicy 合作夥伴可以使用此介面、在 ONTAP 中提供更多資料存取的照明。ONTAP 的 FPolicy 功能搭配 FPolicy 合作夥伴的 NetApp 聯盟合作夥伴生態系統、可讓您識別組織資料的存在位置、以及哪些人可以存取。這是透過使用者行為分析來完成、可識別資料存取模式是否有效。使用者行為分析可用於警示異常或可疑的資料存取、而這種存取方式不符合正常模式、並在必要時採取行動拒絕存取。
FPolicy 合作夥伴正從使用者行為分析轉向機器學習( ML )和人工智慧( AI )、以提高事件的逼真度、減少誤報(如果有)。所有事件都應記錄到 Syslog 伺服器或安全資訊與事件管理( SIEM )系統、而此系統也可以採用 ML 和 AI 。
NetApp 的儲存工作負載安全性(前身為 "Cloud Secure")利用雲端和內部部署 ONTAP 儲存系統上的 FPolicy 介面和使用者行為分析、提供惡意使用者行為的即時警示。儲存工作負載安全功能可透過進階的機器學習和異常狀況偵測、保護組織資料、防止惡意或遭入侵的使用者濫用。儲存工作負載安全性可識別勒索軟體攻擊或其他惡意行為、叫用 Snapshot 複本並隔離惡意使用者。儲存工作負載安全性也具備鑑識功能、可檢視詳細的使用者和實體活動。儲存工作負載安全性是 NetApp Cloud Insights 的一部分。
除了儲存工作負載安全性之外、 ONTAP 還具備內建的勒索軟體偵測功能、稱為 "自主勒索軟體保護" ( ARP )。ARP 使用機器學習來判斷異常檔案活動是否表示勒索軟體攻擊正在進行中、並叫用 Snapshot 複本並向管理員發出警示。儲存工作負載安全性與 ONTAP 整合、可接收 ARP 事件、並提供額外的分析和自動回應層。