4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

ONTAPのSecurity機能について1【FPolicy編】

Last updated at Posted at 2022-10-24

はじめに

NetApp StorageであるAFFやFASのOSであるONTAPには様々な機能がありますが、
この記事ではSecurityに関する機能であるFPolicyの設定方法について記載します。
設定はCLIを用いて行います。

何をしたい?できる?

ランサムウエアで作成される怪しい拡張子のファイルの書き込みをさせない

FPolicyとは

NFSとCIFS領域に対して、ファイル拡張子に基づいたフィルタリングを実施する機能です。
特定の拡張子のファイルの書き込みを許可する/しないを設定することができます。

ONTAP OS内でFPolicy Engineを持っているので、外部のFPolicyサーバはの用意は必須ではありませんが、複数のONTAPをPolicyベースで管理する際に役立ちます。
これはHostsファイルとDNSサーバのような関係に似ており、個々で設定できるが管理台数が多い場合には、共通するものを纏めて設定した方が効率が良いといった意味合いになります。
Fpolicy01.png

設定手順

コマンド例では、CIFS用の領域に、.cryptと.lockedという拡張子を持つファイルの書き込みを禁止する設定例です。

例で指定されている以下のパラメータは、環境によって異なる内容なので適宜変更して下さい。

  • 仮想Storage(SVM)名:cifs100
  • CIFS用Volume名:testvol100
  • 作成するEvent名:event01
  • 作成するPolicy名:policy01

1. Policyに含めるイベント作成

イベント作成
CIFSというプロトコルで、ファイル作成操作を対象とする例です。

> vserver fpolicy policy event create -vserver cifs100 -event-name event01 -volume-operation true -protocol cifs -file-operations create

設定値の確認

> vserver fpolicy policy event show -vserver cifs100

          Event                        File                       Is Volume
Vserver   Name               Protocols Operations    Filters      Operation
--------- ------------------ --------- ------------- ------------ ------------
cifs100   event01            cifs      create        -            true

2. 操作イベントをPolicyとして作成

Policy作成

> vserver fpolicy policy create -vserver cifs100 -policy-name policy01 -events event01 -engine native -is-mandatory true

設定値の確認

> vserver fpolicy policy show -vserver cifs100
  Vserver      Policy       Events     Engine        Is Mandatory  Privileged
               Name                                                Access
-------------- -----------  ---------- ------------- ------------  -----------
cifs100        policy01     event01    native        true          no

3. 対象とする拡張子や対象Volumeを指定

禁止 or 許可の設定となりますが、この例では指定した拡張子を禁止する手順です。
拡張子の無いファイルの書き込みを許可する場合

> vserver fpolicy policy scope create -vserver cifs100 -policy-name policy01 -file-extensions-to-include crypt,locked -volumes-to-include testvol100

設定値の確認

> vserver fpolicy policy scope show -vserver cifs100 -instance

                   Vserver: cifs100
                    Policy: policy01
         Shares to Include: -
         Shares to Exclude: -
        Volumes to Include: testvol100
        Volumes to Exclude: -
Export Policies to Include: -
Export Policies to Exclude: -
File Extensions to Include: crypt, locked
File Extensions to Exclude: -

拡張子の無いファイルの書き込みを制限する場合

> set advanced
Warning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApp personnel.
Do you want to continue? {y|n}: y  <==yを入力します
*> vserver fpolicy policy scope create -vserver cifs100 -policy-name policy01 -file-extensions-to-include crypt,locked -volumes-to-include testvol100 -is-monitoring-of-objects-with-no-extension-enabled true

設定値の確認

*> vserver fpolicy policy scope show -vserver cifs100 -instance

                                           Vserver: cifs100
                                            Policy: policy01
                                 Shares to Include: -
                                 Shares to Exclude: -
                                Volumes to Include: testvol100
                                Volumes to Exclude: -
                        Export Policies to Include: -
                        Export Policies to Exclude: -
                        File Extensions to Include: crypt, locked
                        File Extensions to Exclude: -
    Is File Extension Check on Directories Enabled: true
Is Monitoring of Objects with No Extension Enabled: true

4. FPolicyの対象とするPolicy有効化

> vserver fpolicy enable -vserver cifs100 -policy-name policy01 -sequence-number 1

設定値の確認

> vserver fpolicy show -vserver cifs100
                                      Sequence
Vserver       Policy Name               Number  Status   Engine
------------- ----------------------- --------  -------- ---------
cifs100       policy01                       1  on       native

5. ファイルを作成して挙動の確認

cryptという拡張子のファイルの書き込みが失敗する事が確認できます。
fpolicy02.png

fpolicy03.png

【更新情報】ONTAP9.11.1以降のシステムについて

ONTAP9.11以降では、System Manager(GUIの管理画面)のINSIGHTから、Native Fpolicyを使ってランサムウエア対策で既に分かっている一般的なランサムウェアの拡張子のフィルタリング設定を数クリックで実施できる形になっています。
(約4000近くの拡張子がFilterされます)
001.png

GUIの設定画面で確認できる拡張子の一覧をコピーやダウンロードできますので、CLIで別途設定といった事も可能です。
CLIの設定時には、拡張子の一覧にある!や、#や、;については""(ダブルクォーテーション)で囲って設定するといった修正が必要になります。
002.png

どういう時に使うか

ファイルサーバ用途で、特定の拡張子ファイルを書き込ませない

・ユーザのメールファイル(PST)の書き込みを禁止

ランサムウエア対策機能の+αでフィルタリングも実施

・ONTAPのランサムウエア対策機能では学習モードで振る舞いを学習している際は無防備なので設定
・ランサムウエア対策で既に分かっている一般的なランサムウェアの拡張子を禁止
(特に以下の拡張子)
micro, encrypted, locked, crypto, crypt, crinf, r5a, XRNT, XTBL, R16M01D05, pzdc, good, LOL!, OMG!, RDM, RRK, encryptedRSA, crjoker, EnCiPhErEd, LeChiffre,_crypt, Locky, SUPERCRYPT, CTBL, CTB2, WNCRY, ad4c, HD

最近の情報Security事案

IPAの公表している情報セキュリティ10大脅威2022によると、社会的に影響が大きかったと考えられる情報セキュリティにおける事案の組織部門ではランサムウエアが1位となっています。

特に最近では、不特定多数への攻撃から企業・組織を標的に攻撃し、データ、システムの復旧と窃取したデータを公開しないことと引き換えに身代金を要求といった多重脅迫がなされております。
その為、Backup取得だけでは無く、システムに侵入されないような対策や侵入を前提とした内部対策も必要となります。

こういった攻撃からの対策としては、以下のような項目が考えられます。

  • システム管理者や従業員で行う事前対策
    ・事業継続に必要なデータのBackup取得
    ・添付ファイルやリンクを安易にクリックしない
    ・サポートの切れたOSの利用停止、移行、脆弱性情報の収集およびセキュリティパッチの適用
    ・フィルタリングツール(メール、ウェブ)やセキュリティソフトの活用
    ・ネットワーク分離や共有サーバー等へのアクセス権の最小化

  • 経営層で行う事前対策
    ・迅速かつ継続的に対応できる組織内体制(CSIRT)の構築
    ・対策予算の確保と継続的な対策の実施

  • システム管理者や従業員で行う発生時の対応
    ・CSIRTへ連絡
    ・Backupからの復旧
    ・復号ツールの活用
    ・影響調査および原因の追究、対策の強化

ONTAPのSecurity機能一覧

参考としてONTAPのSecurity機能一覧を記載します。

機能 概要 ライセンス
イメージ検証 Upgradeにおけるイメージが本物のONTAPであることをUpgrade時に検証され、起動時も署名済みのONTAPイメージがブートローダで検証 無償
Storage管理アカウント RBAC機能で、定義されたロールに許可されるレベルにユーザの管理アクセスを制限し管理者は割り当てたロール別にユーザを管理 無償
CLI,GUIによるシステム管理 CLIにおけるSSHログイン試行失敗の最大回数の設定機能やGUIにおける多要素認証(MFA)の実装 無償
Storageシステム監査 syslogを外部サーバへTLS経由での転送が可能 無償
データ暗号化 自己暗号化ドライブの利用や、Volume、AggregateレベルでのSoftware暗号化機能を実装 無償
SnapShot機能 ポインター情報だけをコピーする為、パフォーマンス劣化の発生しないオンラインBackupを取得する機能 無償
データ複製(Mirror)、CloudBackup 既存ネットワーク環境を使用して、IPベースでのレプリケーションで、初期転送時はその時点で存在する全データをコピーするが、初期転送後はSnapshotによって取得された変更データブロックのみを転送 有償
TLS/SSL管理 セキュアな通信と管理機能にTLS 1.1とTLS 1.2を使用 無償
CA 署名デジタル証明書の作成 Storage Virtual Machine(SVM)がSSLサーバとして認証されるようにするため、serverタイプのデジタル証明書をクラスタまたはSVMにインストールを実施可能 無償
Online Certificate Status Protocol (OCSP) OCSPを使用することで、Certificate Revocation List(CRL; 証明書失効リスト)を要求しなくてもデジタル証明書の現在の状態を判断可能 無償
TPM ONTAP 9.8 以降では、 TPM チップと TPM ライセンスを搭載したプラットフォームで、ノードキー暗号化キーを生成してシールし、 OKM のキー階層の最高レベルを保護 無償
NASファイルシステムのローカル アカウント CIFS サーバをワークグループ内に設定可能 無償
NAS ファイルシステムの監査(Audit) ファイルサーバにおけるファイル操作のlogを取得することが可能 無償
CIFS SMB の署名と封印 SMBの署名のStorageとクライアントの間のトラフィックを保護や、SMB暗号化による封印もサポート 無償
NFS の保護 Export PolicyによるNFSへのアクセス制御 無償
Kerberos 5 とkrb5p 128-bitおよび256-bitのKerberos向けAES暗号化をサポート 無償
Lightweight Directory Access Protocol の署名と封印 LDAPサーバへのクエリの際にセッションのSecurityを保護するための署名と封印をサポート 無償
FPolicy 拡張子によるフィルタリングといったファイルのアクセス権限を監視および設定 無償
論理インターフェイスの保護 ファイアウォールPolicyにおけるセキュアな通信 無償
プロトコルとポートの保護 プロトコルとポートのフィルタリング 無償
SnapLock機能 一度書き込んだデータを読み出せるが変更は不可能なWORM(Write Once Read Many)機能 有償
SSHv2 の管理 AES、3DES、SHA-256、SHA-512など、最新のSSH暗号とキー交換機能 無償
ランサムウェア対策機能 機械学習に基づくランサムウェアの自動検知を搭載し、先手を打って攻撃から保護(SnapShot自動取得) 有償
Multi-Tenant Key Management 個々のテナントやStorage仮想マシン(SVM)で、NVE向けKMIPを使用して独自のキーを保持 有償

参考及びリンク

FPolicyの設定

ONTAPのSecurity機能

Configure native FPolicy

How to remove a file extension from a native FPolicy configuration created by System Manager using System Manager to recreate the policy

4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?