NetApp ONTAP і антивірусний захист NAS

Системи зберігання NetApp з прошивкою ONTAP підтримують інтеграцію NAS з антивірусом, для того щоб файли перед читанням/записом спочатку перевірялися, ця функція називається Off-box Anti-Virus Scanning. Вона дозволяє підвищити рівень захисту корпоративних середовищ і вивантажити зайве навантаження з робочих станцій. Так як підтримка антивірусних баз для всіх робочих станцій в актуальному стані може бути не здійсненним завданням. Підтримуються продукти від:

  • Kaspersky
  • Symantec
  • Trend Micro
  • Computer Associates
  • McAfee
  • Sophos
Крім цього підтримується розширений функціонал файл-скринінгу (FPolicy), що дозволяє обмежувати роботи з файлами не тільки на основі їх розширення, але і типу файлу грунтуючись на заголовку всередині цього файлу.

Сьогодні я хотів би докладніше зупинитися на інтеграції ONTAP з CIFS(SMB) шарою і антивірусною системою McAfee. Яка в принципі схожим чином влаштована і з іншими антивірусними системами.



  1. Для налаштування інтеграції нам знадобиться кілька компонент:
  2. Microsoft Windows Server 2008 і вище
  3. СГД з прошивкою ONTAP (на базі апаратної платформи NetApp FAS або у вигляді віртуальної машини ONTAP Select або ONTAP Cloud в хмарі Amazone/Azure)
  4. McAfee VirusScan Enterprise for Storage. Завантажити VSEfS тут
  5. Для сканування використовується SMB 2 і старше, версія 1.0 не підтримується.
  6. NetApp ONTAP AV Connector. Завантажити AV Connecor тут
Більш детально звертайтеся в матрицю сумісності.



Схема взаємодії антивіруса при запиті від SMB клієнта до NAS.

Підготовка

Згідно з нижченаведеною схемою потрібно встановити і налаштувати всі компоненти, для інтеграції з NAS.



VSEfS
Встановлюємо McAfee VSEfS, який може працювати в двох режимах: як самостійний продукт або як продукт, керований McAfee ePolicy Orchestrator (McAfee ePO). У цій статті я розгляну режим роботи «самостійний продукт». Для установки McAfee VSEfS знадобиться вже встановлені і налаштовані:

  • McAfee VirusScan Enterprise (VSE). Завантажити VSE тут
  • McAfee ePolicy Orchestrator (ePO), не потрібен якщо VirusScan використовується як самостійний продукт
SCAN-сервер
Для початку створимо кілька SCAN серверів, щоб балансувати навантаження антивірусної перевірки між ними. Кожен SCAN сервер буде встановлений на Windows Server і включати наступні компоненти: McAfee VSE, McAfee VSEfS і ONTAP AV Connector. Для прикладу підготуємо три таких сервера: SCAN1, SCAN2, SCAN3.

AD
Створюємо користувача scanuser в домені (в нашому прикладі домен «NetApp») з адміністративними правами на серверах SCAN1, SCAN2, SCAN3.

ONTAP
Налаштуємо ONTAP, створимо Cluster Management LIF і один VSM Management LIF. Включаємо підтримку CIFS протоколу і запускаємо інтеграцію з AD, створюємо data-LIF'и для доступу кінцевих користувачів до файловим кулях. Створюємо файлову кулі. Створимо користувача scanuser кластера і VSM, який буде аутентифицироваться в тому ж самому AD домені, що і SCANx сервера. Нехай Кластер буде доступний менеджмент по IP адресою з ім'ям NCluster-mgmt, а менеджмент VSM IP адресу на ім'я VSM01-mgmt.

NCluster::> network interface create -vserver NCluster -home-node NCluster-01 -home-port e0M -role data -protocols none -lif NCluster-mgmt -address 10.0.0.100 -netmask 255.0.0.0
NCluster::> network interface create -vserver VSM01 -home-node NCluster-01 -home-port e0M -role data -protocols none -lif VSM01-mgmt -address 10.0.0.105 -netmask 255.0.0.0

NCluster::> domain-tunnel create -vserver VSM01
NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver NCluster
NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver VSM01

ONTAP AV Connector
на кожному SCAN-сервері встановлюємо ONTAP AV Connector і запускаємо налаштування, по закінченню установника вбиваємо ім'я користувача і пароль:



Якщо при додатку говорить «Access is denied», перевірте, що UAC (Use Account Control) вимкнений, перезавантажте комп'ютер.

Пуск → усі Програми → NetApp → ONTAP AV Connector → Configure ONTAP Management LIFs
У полі «Management LIF» вбиваємо IP або DNS ім'я VSM або кластера: NCluster-mgmt або VSM01-mgmt.

У полі «Account» Вбиваємо ім'я і пароль користувача AD домену: NetApp\scanuser. Натискаємо кнопку «Test», потім «Update» та «Save», якщо тест пройшов вдало.



McAfee Network Appliance Filer AV Scanner Administrator Account
на кожному SCAN-сервері заходимо як Адміністратора і запускаємо: Windows taskbar — правою кнопкою миші на «McAfee menulet → Вибираємо VirusScan консоль», VirusScan консолі — відкриваємо «Network Appliance Filer AV Scanner», далі йдемо на вкладку «Network Appliance Filer AV Scanner and Network Appliance Filers». У полі «This Server is processing scan request for these filers» створюємо сервер за допомогою кнопки «Add», в полі «ім'я сервера» вбиваємо Значення «127.0.0.1» (не ONTAP!). Далі заповнюємо поля «Administrator Account», куди вписуємо все того ж користувача AD «scanuser», а у полі «Domain», окремо від імені користувача, вписуємо домен, в нашому випадку «NetApp».



Повертаємося до ONTAP
І конфігуруємо інтеграцію: налаштовуємо off-box сканування, включаємо його, створюємо і застосовуємо політику сканування:

NCluster::> vserver vscan scanner-pool create -vserver VSM01 -scanner-pool POOL1 -servers SCAN1,SCAN2,SCAN3 -privileged-users NetApp\scanuser
NCluster::> vserver vscan scanner-pool show
Scanner Pool Privileged Scanner
Vserver Pool Owner Servers Users Policy
-------- ---------- ------- ------------ ------------ -------
VSM01 POOL1 vserver SCAN1, NetApp\scanuser idle
SCAN2,SCAN3

NCluster::> vserver vscan scanner-pool show -instance
Vserver: VSM01
Scanner Pool: POOL1
Applied Policy: idle
Current Status: off
Scanner Pool Config Owner: vserver
List of IPs of Allowed Vscan Servers: SCAN1, SCAN2, SCAN3
List of Privileged Users: NetApp\scanuser

NCluster::> vserver vscan scanner-pool apply-policy -vserver VSM01 -scanner-pool POOL1 -scanner-policy primary

NCluster::> vserver vscan enable -vserver VSM01
NCluster::> vserver vscan connection-status show
Connected Connected
Vserver Node Server-Count Servers
--------- -------- ------------ ------------------------
VSM01 NClusterN1 3 SCAN1, SCAN2, SCAN3

NCluster::> vserver vscan on-access policy show
Policy Policy File-Ext Policy
Vserver Name Owner Protocol Paths Excluded Excluded Status
--------- --------- ------- -------- ---------------- ---------- ------
NCluster default_ cluster CIFS - - off
CIFS
VSM01 default_ cluster CIFS - - on
CIFS

Ліцензії

Для роботи FPolicy і Off-box Anti-Virus Scanning, з боку СГД не потрібно будь-яких Додаткових ліцензій, цей функціонал присутній в базовій поставці ONTAP. З боку антивірусного захисту і для розширеної роботи з FPolicy можуть знадобитися додаткові ліцензії, що можна уточнити у відповідних вендорів і їх партнерів-представників.

Висновки

Можливість інтеграції NAS з антивірусною системою дозволяє з одного боку вивантажити навантаження кінцевих клієнтів, але і усуває потенційну загрозу зараження через неможливість підтримування антивірусних баз для всіх клієнтів в актуальному стані. А FPolicy обмежує запис файлів, не призначених для зберігання в корпоративному середовищі.

PS
Також зверніть увагу на документ описує налаштування безпеки ONTAP для посилення захисту (Security Hardening Guide for NetApp ONTAP 9).

Тут можуть міститися посилання на Habra-статті, які будуть опубліковані пізніше.
Повідомлення щодо помилок у тексті прошу направляти в ЛС.
Зауваження, доповнення і запитання за статтею навпаки, прошу в коментарі.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.