파일 액세스 감사 - FSx for ONTAP
파일 액세스 감사 개요파일 액세스 감사 설정 작업 개요

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

파일 액세스 감사

Amazon FSx for NetApp ONTAP은 스토리지 가상 머신(SVM)의 파일 및 디렉터리에 대한 최종 사용자 액세스 감사를 지원합니다.

파일 액세스 감사 개요

파일 액세스 감사를 사용하면 정의한 감사 정책을 기반으로 개별 파일 및 디렉터리에 대한 최종 사용자 액세스를 기록할 수 있습니다. 파일 액세스 감사는 시스템 보안을 개선하고 시스템 데이터에 대한 무단 액세스 위험을 줄이는 데 도움이 될 수 있습니다. 파일 액세스 감사를 통해 조직은 데이터 보호 요구 사항을 지속적으로 준수하고 잠재적 위협을 조기에 식별하며 데이터 침해 위험을 줄일 수 있습니다.

Amazon FSx는 파일 및 디렉터리 액세스에서 성공한 시도(예: 충분한 권한을 가진 사용자가 파일에 성공적으로 액세스하는 경우), 실패한 시도 또는 두 가지 모두에 대한 로깅을 지원합니다. 파일 액세스 감사를 언제든지 비활성화할 수도 있습니다.

기본적으로 감사 이벤트 로그는 Microsoft Event Viewer를 사용하여 볼 수 있는 EVTX 파일 형식으로 저장됩니다.

감사할 수 있는 SMB 액세스 이벤트

다음 표에는 감사할 수 있는 SMB 파일 및 폴더 액세스 이벤트가 나열되어 있습니다.

이벤트 ID(EVT/EVTX) 이벤트 설명 범주

560/4656

객체 열기/객체 생성

OBJECT ACCESS: 객체(파일 또는 디렉터리) 열기

파일 액세스

563/4659

삭제할 의도로 객체 열기

OBJECT ACCESS: 삭제할 의도로 객체(파일 또는 디렉터리)에 대한 처리가 요청됨

파일 액세스

564/4660

객체 삭제

OBJECT ACCESS: 객체(파일 또는 디렉터리) 삭제 ONTAP은 Windows 클라이언트가 객체(파일 또는 디렉터리)를 삭제하려고 시도할 때 이 이벤트를 생성함

파일 액세스

567/4663

객체 읽기/객체 쓰기/객체 속성 가져오기/객체 속성 설정

OBJECT ACCESS: 객체 액세스 시도(읽기, 쓰기, 속성 가져오기, 속성 설정)

참고

이 이벤트의 경우 ONTAP은 객체에 대한 첫 번째 SMB 읽기 및 첫 번째 SMB 쓰기 작업(성공 또는 실패)만 감사합니다. 이를 통해 단일 클라이언트가 객체를 열고 동일한 객체에 대해 여러 번 연속적으로 읽기 또는 쓰기 작업을 수행할 때 ONTAP에서 과도한 로그 항목이 생성되는 것을 방지할 수 있습니다.

파일 액세스

해당 사항 없음/4664

하드 링크

OBJECT ACCESS: 하드 링크를 생성하려고 시도함

파일 액세스

해당 사항 없음/해당 사항 없음 ONTAP 이벤트 ID 9999

객체 이름 변경

OBJECT ACCESS: 객체 이름이 변경되었습니다. 이는 ONTAP 이벤트입니다. 현재 Windows에서는 단일 이벤트로 지원되지 않습니다.

파일 액세스

해당 사항 없음/해당 사항 없음 ONTAP 이벤트 ID 9998

객체 연결 해제

OBJECT ACCESS: 객체 연결이 해제되었습니다. 이는 ONTAP 이벤트입니다. 현재 Windows에서는 단일 이벤트로 지원되지 않습니다.

파일 액세스

감사할 수 있는 NFS 액세스 이벤트

다음의 NFS 파일 및 폴더 액세스 이벤트를 감사할 수 있습니다.

  • READ

  • OPEN

  • CLOSE

  • READDIR

  • WRITE

  • SETATTR

  • CREATE

  • LINK

  • OPENATTR

  • REMOVE

  • GETATTR

  • VERIFY

  • NVERIFY

  • RENAME

파일 액세스 감사 설정 작업 개요

파일 액세스 감사를 위해 FSx for ONTAP을 설정하려면 다음과 같은 고급 작업이 필요합니다.

  1. 파일 액세스 감사 요구 사항 및 고려 사항을 숙지합니다.

  2. 특정 SVM에 감사 구성을 생성합니다.

  3. 해당 SVM에서 감사를 활성화합니다.

  4. 파일 및 디렉터리에 감사 정책을 구성합니다.

  5. FSx for ONTAP에서 감사 이벤트 로그를 내보낸 후 감사 이벤트 로그를 확인합니다.

작업 세부 정보는 다음 절차에 나와 있습니다.

파일 액세스 감사를 활성화하려는 파일 시스템의 다른 SVM에 대해 작업을 반복합니다.

감사 요구 사항

SVM에서 감사를 구성 및 활성화하려면 먼저 다음 요구 사항 및 고려 사항을 이해해야 합니다.

  • NFS 감사는 u 유형으로 지정된 액세스 제어 항목(ACE) 감사를 지원하며, 이는 객체에 대한 액세스를 시도할 때 감사 로그 항목을 생성합니다. NFS 감사의 경우 모드 비트와 감사 ACE 간에 매핑이 없습니다. ACL을 모드 비트로 변환할 때 감사 ACE는 건너뛰게 됩니다. 모드 비트를 ACL을 변환할 때 감사 ACE는 생성되지 않습니다.

  • 감사는 스테이징 볼륨에 사용 가능한 공간이 있는지에 따라 달라집니다. (스테이징 볼륨은 EVTX 또는 XML 파일 형식으로 변환하기 전에 감사 기록이 저장되는 개별 노드의 중간 바이너리 파일인 스테이징 파일을 저장하기 위해 ONTAP에서 만든 전용 볼륨입니다.) 감사된 볼륨이 포함된 집계에 스테이징 볼륨을 위한 충분한 공간이 있는지 확인해야 합니다.

  • 감사는 변환된 감사 이벤트 로그가 저장되는 디렉터리가 포함된 볼륨에 사용 가능한 공간이 있는지에 따라 달라집니다. 이벤트 로그를 저장하는 데 사용되는 볼륨에 충분한 공간이 있는지 확인해야 합니다. 감사 구성을 만들 때 -rotate-limit 파라미터를 사용하여 감사 디렉터리에 유지할 감사 로그 수를 지정할 수 있으며, 이를 통해 볼륨에 감사 로그에 사용할 수 있는 공간이 충분하도록 할 수 있습니다.

SVM에 감사 구성 생성

파일 및 디렉터리 이벤트 감사를 시작하려면 먼저 스토리지 가상 머신(SVM)에 감사 구성을 생성해야 합니다. 감사 구성을 생성한 후에는 SVM에서 활성화해야 합니다.

vserver audit create 명령을 사용하여 감사 구성을 생성하기 전에 로그 대상으로 사용할 디렉터리를 생성하고 디렉터리에 심볼 링크가 없는지 확인합니다. -destination 파라미터를 사용하여 대상 디렉터리를 지정합니다.

다음과 같이 로그 크기나 일정에 따라 감사 로그를 로테이션시키는 감사 구성을 만들 수 있습니다.

  • 로그 크기에 따라 감사 로그를 로테이션하려면 다음 명령을 사용합니다.

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}] [-rotate-limit integer] [-rotate-size {integer[KB|MB|GB|TB|PB]}]

    다음 예제에서는 크기 기반 로테이션을 통해 파일 작업과 CIFS(SMB) 로그온 및 로그오프 이벤트(기본값)를 감사하는 svm1이라는 SVM에 대한 감사 구성을 생성합니다. 로그 형식은 EVTX(기본값)이고 로그는 /audit_log 디렉터리에 저장되며 한 번에 하나의 로그 파일(최대 200MB의 크기)을 갖게 됩니다.

    vserver audit create -vserver svm1 -destination /audit_log -rotate-size 200MB

  • 일정에 따라 감사 로그를 로테이션하려면 다음 명령을 사용합니다.

    vserver audit create -vserver svm_name -destination path [-format {xml|evtx}]
        [-rotate-limit integer] [-rotate-schedule-month chron_month]
        [-rotate-schedule-dayofweek chron_dayofweek] [-rotate-schedule-day chron_dayofmonth]
        [-rotate-schedule-hour chron_hour] [-rotate-schedule-minute chron_minute]

    시간 기반 감사 로그 로테이션을 구성하는 경우 -rotate-schedule-minute 파라미터가 필요합니다.

    다음 예제에서는 시간 기반 로테이션을 통해 svm2라는 SVM에 대한 감사 구성을 생성합니다. 로그 형식은 EVTX(기본값)이며 감사 로그는 매월 모든 요일의 오후 12시 30분에 로테이션됩니다.

    vserver audit create -vserver svm2 -destination /audit_log -rotate-size 200MB  -rotate-schedule-month all -rotate-schedule-dayofweek all -rotate-schedule-hour 12 -rotate-schedule-minute 30

-format 파라미터를 사용하여 감사 로그를 변환된 EVTX 형식(기본값)으로 생성할지 또는 XML 파일 형식으로 생성할지 지정할 수 있습니다. EVTX 형식을 사용하면 Microsoft 이벤트 뷰어로 로그 파일을 볼 수 있습니다.

기본적으로, 감사할 이벤트 범주는 파일 액세스 이벤트(SMB 및 NFS 모두), CIFS(SMB) 로그온 및 로그오프 이벤트, 권한 부여 정책 변경 이벤트입니다. 다음 형식의 -events 파라미터를 사용하여 로깅할 이벤트를 보다 잘 제어할 수 있습니다.

-events {file-ops|cifs-logon-logoff|cap-staging|file-share|audit-policy-change|user-account|authorization-policy-change|security-group}

예를 들어 -events file-share를 사용하면 파일 공유 이벤트를 감사할 수 있습니다.

vserver audit create 명령에 대한 자세한 내용은 감사 구성 생성을 참조하세요.

SVM에서 감사 활성화

감사 구성을 설정한 후에는 SVM에서 감사를 활성화해야 합니다. 이렇게 하려면 다음 명령을 사용합니다.

vserver audit enable -vserver svm_name

예를 들어, 다음 명령을 사용하여 svm1이라는 SVM에 대한 감사를 활성화합니다.

vserver audit enable -vserver svm1

액세스 감사는 언제든지 비활성화할 수 있습니다. 예를 들어, 다음 명령을 사용하여 svm4라는 SVM에 대한 감사를 비활성화합니다.

vserver audit disable -vserver svm4

감사를 비활성화했을 때 SVM에서 감사 구성이 삭제되지는 않으므로 언제든지 해당 SVM에서 감사를 재활성화할 수 있습니다.

파일 및 폴더 감사 정책 구성

사용자 액세스 시도에 대해 감사할 파일 및 폴더에 감사 정책을 구성해야 합니다. 성공한 액세스 시도 및 실패한 액세스 시도 모두 모니터링하도록 감사 정책을 구성할 수 있습니다.

SMB 및 NFS 감사 정책을 모두 구성할 수 있습니다. SMB 및 NFS 감사 정책은 볼륨의 보안 스타일에 따라 구성 요구 사항과 감사 기능이 다릅니다.

NTFS 보안 스타일 파일 및 디렉터리에 대한 감사 정책

Windows 보안 탭 또는 ONTAP CLI를 사용하여 NTFS 감사 정책을 구성할 수 있습니다.

NTFS 보안 설명자와 연결된 NTFS SACL에 항목을 추가하여 NTFS 감사 정책을 구성합니다. 그러면 보안 설명자가 NTFS 파일 및 디렉터리에 적용됩니다. 이러한 작업은 Windows GUI에서 자동으로 처리됩니다. 보안 설명자에는 파일 및 폴더 액세스 권한을 적용하기 위한 임의 액세스 제어 목록(DACL), 파일 및 폴더 감사를 위한 SACL 또는 SACL과 DACL 모두를 포함할 수 있습니다.

  1. Windows 탐색기의 도구 메뉴에서 네트워크 드라이브 연결을 선택합니다.

  2. 네트워크 드라이브 연결 상자에서 다음 작업을 수행합니다.

    1. 드라이브 문자를 선택합니다.

    2. 폴더 상자에서, 감사할 데이터가 있는 공유가 포함된 SMB(CIFS) 서버 이름 및 공유 이름을 입력합니다.

    3. 마침을 클릭합니다.

    선택한 드라이브가 마운트되고 바로 사용할 수 있으며 Windows 탐색기 창에 공유에 포함된 파일 및 폴더가 표시됩니다.

  3. 감사 액세스를 활성화할 파일 또는 디렉터리를 선택합니다.

  4. 파일 또는 디렉터리를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

  5. 보안 탭을 선택합니다.

  6. 고급을 클릭합니다.

  7. 감사 탭을 선택합니다.

  8. 원하는 작업을 수행합니다.

    다음을 수행하려는 경우 수행 방법

    새 사용자 또는 그룹에 대한 감사 설정

    1. 추가를 선택합니다.

    2. 선택할 객체 이름 입력 상자에서, 추가하려는 사용자 또는 그룹의 이름을 입력합니다.

    3. 확인을 선택합니다.

    사용자 또는 그룹에서 감사 제거

    1. 선택할 객체 이름 입력 상자에서, 제거하려는 사용자 또는 그룹을 선택합니다.

    2. 제거를 선택합니다.

    3. 확인을 선택합니다.

    4. 이 절차의 나머지 단계는 건너뜁니다.

    사용자 또는 그룹에 대한 감사 변경

    1. 선택할 객체 이름 입력 상자에서, 변경하려는 사용자 또는 그룹을 선택합니다.

    2. 편집을 선택합니다.

    3. 확인을 선택합니다.

    사용자 또는 그룹에 대한 감사를 설정하거나 기존 사용자 또는 그룹에 대한 감사를 변경하는 경우 객체에 대한 감사 항목 상자가 열립니다.

  9. 적용 대상 상자에서, 이 감사 항목을 적용할 방법을 선택합니다.

    단일 파일에 감사를 설정하는 경우 이 객체로만 기본 설정되기 때문에 적용 대상 상자가 활성화되지 않습니다.

  10. 액세스 상자에서, 감사할 대상 및 성공한 이벤트, 실패한 이벤트 또는 둘 다를 감사할지 여부를 선택합니다.

    • 성공한 이벤트를 감사하려면 성공 상자를 선택합니다.

    • 실패한 이벤트를 감사하려면 실패 상자를 선택합니다.

    보안 요구 사항을 충족하기 위해 모니터링해야 하는 작업을 선택합니다. 이러한 감사 가능 이벤트에 대한 자세한 내용은 Windows 설명서를 참조하세요. 다음 이벤트를 감사할 수 있습니다.

    • 전체 제어

    • 폴더 트래버스/파일 실행

    • 폴더 나열/데이터 읽기

    • 속성 읽기

    • 확장 속성 읽기

    • 파일 생성/데이터 쓰기

    • 폴더 생성/데이터 추가

    • 속성 쓰기

    • 확장 속성 쓰기

    • 하위 폴더 및 파일 삭제

    • 삭제

    • 권한 읽기

    • 권한 변경

    • 소유권 취득

  11. 감사 설정이 원본 컨테이너의 후속 파일 및 폴더에 전파되지 않도록 하려면 이 감사 항목을 이 컨테이너 내의 객체 및/또는 컨테이너에만 적용 상자를 선택합니다.

  12. 적용을 선택합니다.

  13. 감사 항목을 추가, 제거, 편집한 후 확인을 선택합니다.

    객체에 대한 감사 항목 상자가 닫힙니다.

  14. 감사 상자에서 이 폴더의 상속 설정을 선택합니다. 보안 요구 사항을 충족하는 감사 이벤트를 제공하는 최소 수준만 선택합니다.

    다음 중 하나를 선택할 수 있습니다.

    • 이 객체의 부모로부터 상속 가능한 감사 항목 포함 상자를 선택합니다.

    • 모든 하위 항목에 있는 기존의 상속 가능한 감사 항목을 모두 이 객체의 상속 가능한 감사 항목으로 바꾸기 상자를 선택합니다.

    • 두 상자를 모두 선택합니다.

    • 어느 상자도 선택하지 않습니다.

    단일 파일에 SACL을 설정하는 경우 감사 상자에 모든 하위 항목에 있는 기존의 상속 가능한 감사 항목을 모두 이 객체의 상속 가능한 감사 항목으로 바꾸기 상자가 표시되지 않습니다.

  15. 확인을 선택합니다.

ONTAP CLI를 사용하면 Windows 클라이언트의 SMB 공유를 사용하여 데이터에 연결할 필요 없이 NTFS 감사 정책을 구성할 수 있습니다.

예를 들어, 다음 명령은 vs0이라는 SVM에 p1이라는 보안 정책을 적용합니다.

vserver security file-directory apply -vserver vs0 -policy-name p1

UNIX 보안 스타일 파일 및 디렉터리에 대한 감사 정책

NFS v4.x 액세스 제어 목록(ACL)에 감사 액세스 제어 표현식(ACE)을 추가하여 UNIX 보안 스타일 파일 및 디렉터리에 대한 감사를 구성합니다. 그러면 보안을 위해 특정 NFS 파일 및 디렉터리 액세스 이벤트를 모니터링할 수 있습니다.

참고

NFS v4.x의 경우 임의 및 시스템 ACE가 모두 동일한 ACL에 저장됩니다. 따라서 기존 ACL에 감사 ACE를 추가할 때는 기존 ACL이 덮어써져서 손실되지 않도록 주의해야 합니다. 기존 ACL에 감사 ACE를 추가하는 순서는 중요하지 않습니다.

  1. nfs4_getfacl 또는 이에 상응하는 명령을 사용하여 파일 또는 디렉터리의 기존 ACL을 검색합니다.

  2. 원하는 감사 ACE를 추가합니다.

  3. nfs4_setfacl 또는 이에 상응하는 명령을 사용하여 파일 또는 디렉터리에 업데이트된 ACL을 적용합니다.

    이 예제에서는 -a 옵션을 사용하여 testuser라는 사용자에게 file1이라는 파일에 대한 읽기 권한을 부여합니다.

    nfs4_setfacl -a "A::testuser@example.com:R" file1

감사 이벤트 로그 보기

EVTX 또는 XML 파일 형식으로 저장된 감사 이벤트 로그를 볼 수 있습니다.

  • EVTX 파일 형식 - Microsoft 이벤트 뷰어를 사용하여 변환된 EVTX 감사 이벤트 로그를 저장된 파일로 열 수 있습니다.

    이벤트 뷰어를 사용하여 이벤트 로그를 볼 때 사용할 수 있는 두 가지 옵션은 다음과 같습니다.

    • 일반 보기: 모든 이벤트에 공통적인 정보가 이벤트 레코드에 표시됩니다. 이벤트 레코드의 이벤트별 데이터는 표시되지 않습니다. 세부 보기를 사용하여 이벤트별 데이터를 표시할 수 있습니다.

    • 세부 보기: 친숙한 보기와 XML 보기를 사용할 수 있습니다. 친숙한 보기와 XML 보기에는 모든 이벤트에 공통적인 정보와 이벤트 레코드의 이벤트별 데이터가 모두 표시됩니다.

  • XML 파일 형식 - XML 파일 형식을 지원하는 서드 파티 애플리케이션에서 XML 감사 이벤트 로그를 보고 처리할 수 있습니다. XML 스키마와, XML 필드 정의에 대한 정보가 있는 경우 XML 보기 도구를 사용하여 감사 로그를 볼 수 있습니다.