Controllo dell'accesso ai file - FSx per ONTAP
Panoramica del controllo degli accessi ai filePanoramica delle attività per l'impostazione del controllo dell'accesso ai file

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controllo dell'accesso ai file

Amazon FSx for NetApp ONTAP supporta il controllo degli accessi degli utenti finali a file e directory in una macchina virtuale di storage (). SVM

Panoramica del controllo degli accessi ai file

Il controllo dell'accesso ai file consente di registrare gli accessi degli utenti finali a singoli file e directory in base alle politiche di controllo definite dall'utente. Il controllo dell'accesso ai file può aiutarvi a migliorare la sicurezza del sistema e ridurre il rischio di accesso non autorizzato ai dati di sistema. Il controllo dell'accesso ai file aiuta le organizzazioni a mantenere la conformità ai requisiti di protezione dei dati, a identificare tempestivamente le potenziali minacce e a ridurre il rischio di violazione dei dati.

Oltre agli accessi a file e directory, Amazon FSx supporta la registrazione dei tentativi riusciti (ad esempio un utente con autorizzazioni sufficienti che accede con successo a un file), dei tentativi falliti o di entrambi. Puoi anche disattivare il controllo dell'accesso ai file in qualsiasi momento.

Per impostazione predefinita, i registri degli eventi di controllo vengono archiviati nel formato di EVTX file, che consente di visualizzarli utilizzando Microsoft Event Viewer.

SMBaccedere agli eventi che possono essere controllati

La tabella seguente elenca gli eventi di accesso ai SMB file e alle cartelle che possono essere controllati.

ID evento (EVT/EVTX) Evento Descrizione Categoria

560/4656

Apri oggetto/Crea oggetto

OBJECTACCESS: oggetto (file o directory) aperto

Accesso ai file

563/4659

Apri oggetto con l'intento di eliminare

OBJECTACCESS: è stato richiesto un handle per un oggetto (file o directory) con l'intenzione di eliminare

Accesso ai file

564/4660

Eliminazione dell'oggetto

OBJECTACCESS: Elimina oggetto (file o directory). ONTAPgenera questo evento quando un client Windows tenta di eliminare l'oggetto (file o directory)

Accesso ai file

567/4663

Leggi l'oggetto/Scrivi l'oggetto/Ottieni gli attributi dell'oggetto/Imposta gli attributi dell'oggetto

OBJECTACCESS: tentativo di accesso all'oggetto (read, write, get attribute, set attribute).

Nota

Per questo evento, ONTAP verifica solo la prima operazione di SMB lettura e di prima SMB scrittura (riuscita o fallita) su un oggetto. Ciò ONTAP impedisce la creazione di voci di registro eccessive quando un singolo client apre un oggetto ed esegue molte operazioni di lettura o scrittura successive sullo stesso oggetto.

Accesso ai file

N/A/4664

Collegamento rigido

OBJECTACCESS: È stato effettuato un tentativo di creare un collegamento fisico

Accesso ai file

ID evento N/A/N/A 9999 ONTAP

Rinomina oggetto

OBJECTACCESS: oggetto rinominato. Questo è un ONTAP evento. Attualmente non è supportato da Windows come singolo evento.

Accesso ai file

ID evento ONTAP N/A/N/A 9998

Scollega oggetto

OBJECTACCESS: oggetto non collegato. Questo è un ONTAP evento. Attualmente non è supportato da Windows come singolo evento.

Accesso ai file

NFSaccedere a eventi che possono essere controllati

È possibile controllare i seguenti eventi di accesso a NFS file e cartelle.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

Panoramica delle attività per l'impostazione del controllo dell'accesso ai file

L'impostazione FSx del controllo dell'accesso ONTAP ai file prevede le seguenti attività di alto livello:

  1. Acquisite familiarità con i requisiti e le considerazioni relative al controllo dell'accesso ai file.

  2. Crea una configurazione di controllo su uno specifico. SVM

  3. Abilita il controllo su questo. SVM

  4. Configura le politiche di controllo su file e directory.

  5. Visualizza i registri degli eventi di controllo dopo averli FSx ONTAP emessi.

I dettagli delle attività sono forniti nelle seguenti procedure.

Ripetete le operazioni per tutte le altre SVM operazioni del file system per le quali desiderate abilitare il controllo dell'accesso ai file.

Requisiti di controllo

Prima di configurare e abilitare il controllo su unSVM, è necessario conoscere i seguenti requisiti e considerazioni.

  • NFSil controllo supporta audit Access Control Entries (ACEs) designato come typeu, che genera una voce del registro di controllo quando si tenta di accedere all'oggetto. Per il NFS controllo, non esiste una mappatura tra mode bit e audit. ACEs Quando si esegue la conversione in modalità bitACLs, l'audit viene ignorato. ACEs Quando si convertono i bit della modalità inACLs, gli audit non vengono generati. ACEs

  • Il controllo dipende dalla disponibilità di spazio nei volumi di staging. (Un volume di staging è un volume dedicato creato ONTAP per archiviare i file di staging, che sono file binari intermedi su singoli nodi in cui i record di controllo vengono archiviati prima della conversione in un EVTX formato di file or.) XML È necessario assicurarsi che vi sia spazio sufficiente per i volumi di staging negli aggregati che contengono volumi controllati.

  • Il controllo dipende dalla disponibilità di spazio nel volume contenente la directory in cui sono archiviati i registri degli eventi di controllo convertiti. È necessario assicurarsi che vi sia spazio sufficiente nei volumi utilizzati per archiviare i registri degli eventi. È possibile specificare il numero di log di controllo da conservare nella directory di controllo utilizzando il -rotate-limit parametro durante la creazione di una configurazione di controllo, che può contribuire a garantire che vi sia spazio disponibile sufficiente per i log di controllo nel volume.

Creazione di configurazioni di controllo su SVMs

Prima di iniziare a controllare gli eventi di file e directory, è necessario creare una configurazione di controllo sulla Storage Virtual Machine (). SVM Dopo aver creato la configurazione di controllo, è necessario abilitarla su. SVM

Prima di utilizzare il vserver audit create comando per creare la configurazione di controllo, assicuratevi di aver creato una directory da utilizzare come destinazione per i log e che la directory non contenga collegamenti simbolici. Specificate la directory di destinazione con il parametro. -destination

È possibile creare una configurazione di controllo che ruoti i registri di controllo in base alla dimensione del registro o a una pianificazione, come segue:

  • Per ruotare i log di controllo in base alla dimensione del registro, utilizzate questo comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    L'esempio seguente crea una configurazione di controllo per SVM named svm1 che controlla le operazioni sui file e () gli eventi di accesso e disconnessione CIFS (impostazione predefinitaSMB) utilizzando la rotazione basata sulla dimensione. Il formato di registro è EVTX (predefinito), i log vengono archiviati nella /audit_log directory e avrai un solo file di registro alla volta (fino a 200 MB di dimensione).

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • Per ruotare i log di controllo in base a una pianificazione, utilizzate questo comando:

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    Il -rotate-schedule-minute parametro è obbligatorio se si configura la rotazione dei log di controllo basata sul tempo.

    L'esempio seguente crea una configurazione di controllo per il SVM nome svm2 utilizzando la rotazione basata sul tempo. Il formato di registro è EVTX (predefinito) e i registri di controllo vengono ruotati mensilmente, alle 12:30 in tutti i giorni della settimana.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

È possibile utilizzare il -format parametro per specificare se i log di controllo vengono creati nel EVTX formato convertito (impostazione predefinita) o nel formato di file. XML Il EVTX formato consente di visualizzare i file di registro con Microsoft Event Viewer.

Per impostazione predefinita, le categorie di eventi da controllare sono eventi di accesso ai file (sia cheNFS), CIFS (SMB) eventi di accesso SMB e disconnessione ed eventi di modifica delle politiche di autorizzazione. È possibile avere un maggiore controllo sugli eventi da registrare in base al -events parametro, che ha il seguente formato:

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

Ad esempio, l'utilizzo -events file-share consente il controllo degli eventi di condivisione dei file.

Per ulteriori informazioni sul vserver audit create comando, consulta Creare una configurazione di controllo.

Abilitare il controllo su un SVM

Dopo aver completato la configurazione di controllo, è necessario abilitare il controllo su. SVM A tale scopo, utilizzate il seguente comando:

vserver audit enable -vserver svm_name

Ad esempio, utilizzate il comando seguente per abilitare il controllo sul SVM nomesvm1.

vserver audit enable -vserver svm1

È possibile disabilitare il controllo degli accessi in qualsiasi momento. Ad esempio, utilizzate il seguente comando per disattivare il controllo sul SVM nome. svm4

vserver audit disable -vserver svm4

Quando disabiliti il controllo, la configurazione di controllo non viene eliminata suSVM, il che significa che puoi riattivare il controllo su di essa in qualsiasi momento. SVM

Configurazione delle politiche di controllo di file e cartelle

È necessario configurare le politiche di controllo sui file e sulle cartelle che si desidera controllare per i tentativi di accesso degli utenti. È possibile configurare le politiche di controllo per monitorare sia i tentativi di accesso riusciti che quelli non riusciti.

È possibile configurare entrambi SMB e le politiche di NFS controllo. SMBe le politiche di NFS controllo hanno requisiti di configurazione e funzionalità di controllo diversi in base allo stile di sicurezza del volume.

Politiche di controllo su NTFS file e directory di tipo sicuro

È possibile configurare le politiche di NTFS controllo utilizzando la scheda Sicurezza di Windows o il. ONTAP CLI

È possibile configurare le politiche di NTFS controllo aggiungendo voci associate a NTFS SACLs un descrittore NTFS di sicurezza. Il descrittore di sicurezza viene quindi applicato a NTFS file e directory. Queste attività vengono gestite automaticamente da Windows. GUI Il descrittore di sicurezza può contenere elenchi di controllo di accesso discrezionali (DACLs) per l'applicazione delle autorizzazioni di accesso a file e cartelle, SACLs per il controllo di file e cartelle o entrambi e. SACLs DACLs

  1. Dal menu Strumenti di Windows Explorer, seleziona Map network drive.

  2. Compila la casella Map Network Drive:

    1. Scegli una lettera di Drive.

    2. Nella casella Cartella, digita il nome del server SMB (CIFS) che contiene la condivisione, contenente i dati che desideri controllare e il nome della condivisione.

    3. Scegli Fine.

    L'unità selezionata è montata e pronta per essere visualizzata nella finestra di Windows Explorer in cui sono visualizzati i file e le cartelle contenuti nella condivisione.

  3. Seleziona il file o la directory per cui desideri abilitare il controllo dell'accesso.

  4. Fate clic con il pulsante destro del mouse sul file o sulla directory, quindi scegliete Proprietà.

  5. Scegliere la scheda Sicurezza .

  6. Fai clic su Avanzate.

  7. Scegli la scheda Controllo.

  8. Esegui le azioni desiderate:

    Se vuoi... Effettuare le seguenti operazioni

    Imposta il controllo per un nuovo utente o gruppo

    1. Scegli Aggiungi.

    2. Nella casella Immetti il nome dell'oggetto da selezionare, digita il nome dell'utente o del gruppo che desideri aggiungere.

    3. Scegli OK.

    Rimuovi il controllo da un utente o un gruppo

    1. Nella casella Immetti il nome dell'oggetto da selezionare, seleziona l'utente o il gruppo che desideri rimuovere.

    2. Scegli Rimuovi.

    3. Scegli OK.

    4. Ignorate il resto di questa procedura.

    Modifica il controllo per un utente o un gruppo

    1. Nella casella Immetti il nome dell'oggetto da selezionare, scegli l'utente o il gruppo che desideri modificare.

    2. Scegli Modifica.

    3. Scegli OK.

    Se state configurando il controllo su un utente o un gruppo o modificando il controllo su un utente o un gruppo esistente, la voce di controllo per objectsi apre la casella.

  9. Nella casella Applica a, selezionate il modo in cui desiderate applicare questa voce di controllo.

    Se state configurando il controllo su un singolo file, la casella Applica a non è attiva, poiché per impostazione predefinita è Solo questo oggetto.

  10. Nella casella Accesso, selezionate gli elementi da controllare e se desiderate controllare gli eventi riusciti, gli eventi di errore o entrambi.

    • Per controllare gli eventi riusciti, selezionate la casella Operazione riuscita.

    • Per controllare gli eventi di errore, selezionate la casella Fallimento.

    Scegliete le azioni che dovete monitorare per soddisfare i vostri requisiti di sicurezza. Per ulteriori informazioni su questi eventi verificabili, consulta la documentazione di Windows. È possibile controllare i seguenti eventi:

    • Controllo completo

    • Traverse folder /esegui file

    • Elenca cartella/leggi dati

    • Leggi gli attributi

    • Leggi gli attributi estesi

    • Crea file/scrivi dati

    • Crea cartelle/aggiungi dati

    • Attributi di scrittura

    • Scrivi attributi estesi

    • Elimina sottocartelle e file

    • Eliminazione

    • Autorizzazioni di lettura

    • Modifica le autorizzazioni

    • Assumi la proprietà

  11. Se non desideri che l'impostazione di controllo si propaghi ai file e alle cartelle successivi del contenitore originale, seleziona la casella Applica queste voci di controllo solo a oggetti e/o contenitori all'interno di questo contenitore.

  12. Scegli Applica.

  13. Dopo aver aggiunto, rimosso o modificato le voci di controllo, scegliete OK.

    La voce di controllo per objectla casella si chiude.

  14. Nella casella Controllo, scegli le impostazioni di ereditarietà per questa cartella. Scegliete solo il livello minimo che fornisce gli eventi di controllo che soddisfano i vostri requisiti di sicurezza.

    È possibile scegliere una delle seguenti opzioni:

    • Scegliete la casella Includi voci di controllo ereditabili dalla casella principale di questo oggetto.

    • Scegliete la casella Sostituisci tutte le voci di controllo ereditabili esistenti su tutti i discendenti con le voci di controllo ereditabili di questo oggetto.

    • Scegliete entrambe le caselle.

    • Non scegliete nessuna delle due scatole.

    Se state impostando SACLs un singolo file, la casella Sostituisci tutte le voci di controllo ereditabili esistenti su tutti i discendenti con le voci di controllo ereditabili di questo oggetto non è presente nella casella Controllo.

  15. Scegli OK.

Utilizzando ONTAPCLI, è possibile configurare le politiche di NTFS controllo senza la necessità di connettersi ai dati utilizzando una SMB condivisione su un client Windows.

Ad esempio, il comando seguente applica una politica di sicurezza denominata p1 al nome. SVM vs0

vserver security file-directory apply -vserver vs0 -policy-name p1

Politiche di controllo su UNIX file e directory di tipo sicuro

È possibile configurare il controllo per file e directory di UNIX tipo sicuro aggiungendo audit ACEs (espressioni di controllo degli accessi) alla versione 4.x (elenchi di controllo degli accessi). NFS ACLs Ciò consente di monitorare determinati eventi di accesso a NFS file e directory per motivi di sicurezza.

Nota

Per la NFS versione 4.x, sia i file discrezionali che quelli di sistema ACEs sono archiviati nello stesso. ACL Pertanto, è necessario prestare attenzione quando si aggiunge un controllo ACEs a un esistente ACL per evitare di sovrascrivere e perdere un esistente. ACL L'ordine in cui si aggiunge l'audit ACEs a un controllo esistente ACL non ha importanza.

  1. Recupera l'esistente ACL per il file o la directory utilizzando il comando nfs4_getfacl o equivalente.

  2. Aggiungi l'audit desiderato. ACEs

  3. Applica l'aggiornamento ACL al file o alla directory utilizzando il comando nfs4_setfacl o equivalente.

    Questo esempio utilizza l'-aopzione per assegnare a un utente (denominatotestuser) le autorizzazioni di lettura per il file denominatofile1.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

Visualizzazione dei registri degli eventi di controllo

È possibile visualizzare i registri degli eventi di controllo salvati nei formati di XML file EVTX o.

  • EVTXformato di file: è possibile aprire i registri degli eventi di EVTX controllo convertiti come file salvati utilizzando Microsoft Event Viewer.

    Esistono due opzioni che è possibile utilizzare per visualizzare i registri degli eventi utilizzando Event Viewer:

    • Visualizzazione generale: le informazioni comuni a tutti gli eventi vengono visualizzate per il record dell'evento. I dati specifici dell'evento per il record dell'evento non vengono visualizzati. È possibile utilizzare la visualizzazione dettagliata per visualizzare dati specifici dell'evento.

    • Visualizzazione dettagliata: sono disponibili una visualizzazione intuitiva e una XML vista. La visualizzazione intuitiva e la XML visualizzazione mostrano sia le informazioni comuni a tutti gli eventi sia i dati specifici dell'evento per il record dell'evento.

  • XMLformato di file: è possibile visualizzare ed elaborare i registri degli eventi di XML controllo su applicazioni di terze parti che supportano il XML formato di file. XMLgli strumenti di visualizzazione possono essere utilizzati per visualizzare i registri di controllo, a condizione che si disponga dello XML schema e delle informazioni sulle definizioni dei XML campi.