この記事について
本記事はネットアップ合同会社Advent Calendar 2022のBlueXPシリーズ第7号として、2022年11月に発表されたクラウド統合管理サービス:BlueXPから、ONTAP環境におけるセキュリティ強化のステップをご紹介します。第1号記事からストレージの構築、レプリケーション関係の構築、効率管理と来てセキュリティ管理という一連の流れを紹介することで、本シリーズをご覧になっている方がどこからBlueXPを触り始めればいいかのヒントになればいいなと考えています。
本記事で紹介するのがBlueXPから追加されたRansomware Protection in BlueXP(そのまんま)というセキュリティ機能です。ここからハイブリッド環境のONTAPのセキュリティ設定を包括的に管理できます。機能としては主に以下の3つがあり、BlueXPに登録されているデータソースを視覚的に捉えると同時に、セキュリティ対策の改善事項をスムーズに確認・実行できます。
1. ランサムウェア攻撃からの保護スコアと推奨アクション
2. Cyber Resilience Mapによる環境のサマリ
3. ONTAP システムのセキュリティ設定のステータス
BlueXPのRansomware Protecitonを使用する準備
BlueXPのRansomware Protecitonを使用するにあたって、Data Senseを環境で有効化させる必要があります。Data Senseは本来、ONTAPに格納されている機密情報・個人情報を含んだファイルを内容をスキャンして見つけだすサービスです。Ransomware Protection機能を使うにあたって、Data Senseのスキャン機能を使い、データソースの設定情報を取得します。
BlueXPのメインメニューから、[Governance]→[Classification]でData Senseのページに行きます。Data Senseのタスクバー右端の[Configuration]から、監視対象を追加します。メインメニューのCanvasにWorking Environmentとして登録されているデータソースはここに表示されますので、[Map & Classify Volumes]をクリックして有効化します。Data Senseが有効化されると、以下の画像のようにスキャンしたボリュームの情報が表示されます。
各Working Environment内の[Configuration]から、詳細なスキャン情報が確認できます。DP(Data Protection)設定のボリュームを除いて、8個中4個のボリュームのスキャンが成功しているのがわかります。
注意
2022年12月13日現在、Data Sense用のコネクターインスタンスはオンプレのデプロイ限定ですが、クラウド上のONTAPも監視することはできます。
Ransomware Protectionへのアクセス
Ramsomware Protectionには、メインメニューから[Protection]→[Ransomware Protection]でアクセスできます。
このページから、本記事の紹介する3機能すべてにアクセスできます。
1. ランサムウェア攻撃からの保護スコアと推奨アクション
Ransomware Protection Scoreパネルでは、データがランサムウェア攻撃に対する耐障害性を定量的に確認できます。そして隣のRecommended Actions、監視環境におけるサイバー攻撃の耐障害性を向上させるための推奨アクションを提示しています。スコアパネルは推奨アクションと連動しており、スコアパネル内の3 RecommendationsはRecommended Actionsの3つの項目(Move 258 sensitive... & Patch open CVEs... & Reduce permissions for...)を意味しています。
上のスクリーンショットでは、Recommended Actionsに「Protect」カテゴリに推奨される 7 つのアクションがあります。推奨事項はデータソースごとにカウントされるので、同じレコメンデーションが3つのデータソースに関連する場合、3つのレコメンデーションとしてカウントされます。各推奨アクションをクリックして展開すると、下のスクリーンショットの様に対応するデータソースが確認できます。[Investigate]ボタンをクリックすると、Data Senseの調査ページにリダイレクトされ、推奨されるアクションが反映されるファイルのリストを確認できます。
2. Cyber Resilience Mapによる環境のサマリ
サイバーレジリエンスマップでは、登録されているすべての作業環境とデータソースを視覚的に確認できます。赤丸がついているデータソースはセキュリティ向上の推奨アクションを完了していないもので、データソースをクリックすると以下の様にアラートが表示されます。アラート下に小さい文字で書かれている部分をクリックすると、そのアラートを解決できるBlueXPの他のコンソールに移行します。
例えば、1個目の「Sensitive data with wide permissions found」の[Go to investigation page]をクリックすると、Data SenseのInvestigationページに移行されます。ここには、内容に機密データが見つかり、データへのアクセスを許可する検眼が低すぎるファイルが表示されます。ファイルを選択すると、そのファイルの詳細情報が表示され、「OPEN TO ORGANIZATION:組織全体に公開」と書かれているのがわかります。アクセスを許可する権限レベルを上げることで、この問題は解消されます。
また、「One or more volumes are not backed...」の[Configure backup]をクリックすると、BlueXPのバックアップ構築ページ移行します。
3. ONTAP システムのセキュリティ設定のステータス
このパネルでは、ONTAPシステムの特定の設定ステータスが表示されます。この設定は、ONTAPシステム向けのNetAppセキュリティ強化ガイド(https://www.netapp.com/pdf.html?item=/media/10674-tr4569.pdf)と、ONTAPアンチランサムウェア機能(https://docs.netapp.com/us-en/ontap/anti-ransomware/index.html)に従った、ONTAPの設定の窓口になります(Cyber Resilience Mapやセキュリティ対策スコアはファイルの権限やバックアップといったファイルシステム特有の内容で、こちらはデータソースのONTAP専用の設定になります)。このパネルは、現時点(2022年12月13日)で、オンプレミス ONTAP、Cloud Volumes ONTAP、Amazon FSx for NetApp ONTAP システムをサポートしています。
・ONTAP Anti-Ransomware
オンボックスのランサムウェア対策が有効になっているボリュームの割合です。現時点(2022年12月13日)ではオンプレのONTAPシステムでのみ有効です。85%以上で緑、40%以上でオレンジ、40%未満で赤色に表示されます。System Managerから有効化できます。
・NAS Auditing
ファイル システムの監査が有効になっているSVM の数です。色の表記は上と同じです。NAS AuditingはSVMにCLIから接続して有効化します。
・ONTAP Version
使用中のONTAPのバージョンが確認できます。各データソースに接続してコマンド入力する必要なく、一括でバージョンの確認ができます。緑は最新バージョン、オレンジ・赤は最新版からのバージョン遅れで表されます。
・Snapshot
スナップショット機能がデータボリュームの何パーセントでアクティブに設定されているかを表します。BlueXPのCanvasから手動snapshot、System Managerから定期snapshotの追加の設定ができます。※FSx for NetApp ONTApの場合はSystem Managerに対応していないため、CLIを使う必要があります。
右端のアイコンは以下のページへ移行できます。
まとめ
本記事ではBlueXPが提供するセキュリティ機能の中から、主力となる3機能を紹介しました。BlueXPから追加された機能や、以前からCloud Managerで使えていた機能も含めて、Ransomware Protectionページからスムーズに展開できるので非常に使いやすくなっていると思います。
参考記事
[NetApp公式ドキュメント]Managing cyber security recommendations for your data sources
https://docs.netapp.com/us-en/cloud-manager-ransomware/task-analyze-ransomware-data.html#cyber-resilience-map