Системы хранения данных NetApp с прошивкой ONTAP поддерживают интеграцию NAS с антивирусом, поэтому файлы сначала сканируются перед чтением/записью.
Эта функция называется автономным антивирусным сканированием.
Оно позволяет повысить уровень защиты корпоративных сред и снять лишнюю нагрузку с рабочих станций.
Так как поддерживать антивирусные базы всех рабочих станций в актуальном состоянии может оказаться невыполнимой задачей.
Продукты, поддерживаемые:
- Касперский
- Симантек
- Тренд Микро
- Компьютерные партнеры
- Макафи
- Софос
Сегодня хотелось бы подробнее остановиться на интеграции ONTAP с общим доступом CIFS (SMB) и антивирусной системой McAfee. Которая в принципе устроена аналогично другим антивирусным системам.
- Для настройки интеграции нам понадобится несколько компонентов:
- Microsoft Windows Server 2008 и выше
- Система хранения данных с прошивкой ONTAP (на базе аппаратной платформы NetApp FAS или в виде виртуальной машины ONTAP Select или ONTAP Cloud в облаке Amazone/Azure)
- McAfee VirusScan Enterprise для хранения данных.
Скачать ВСЕфС здесь
- Для сканирования используется SMB 2 и старше; версия 1.0 не поддерживается.
- AV-коннектор NetApp ONTAP. Скачать AV Connecor уже здесь
Схема взаимодействия антивируса при запросе от SMB-клиента к NAS.
Подготовка
В соответствии со схемой ниже необходимо установить и настроить все программные компоненты для интеграции с NAS.
ВСЕфС
Устанавливаем McAfee VSEfS, который может работать в двух режимах: как самостоятельный продукт или как продукт под управлением McAfee ePolicy Orchestrator (McAfee ePO).В этой статье я рассмотрю режим работы «автономного продукта».
Для установки McAfee VSEfS вам потребуется следующее уже установленное и настроенное:
- McAfee VirusScan Enterprise (VSE).
Скачать ВСЕ здесь
- McAfee ePolicy Orchestrator (ePO), не требуется, если VirusScan используется как отдельный продукт.
СКАН-сервер
Для начала создадим несколько СКАН-серверов, чтобы сбалансировать нагрузку антивирусной проверки между ними.
Каждый сервер SCAN будет установлен на Windows Server и будет включать в себя следующие компоненты: McAfee VSE, McAfee VSEfS и ONTAP AV Connector. Например, мы подготовим три таких сервера: СКАН1, СКАН2, СКАН3.
ОБЪЯВЛЕНИЕ
Создаем пользователя Scanuser в домене (в нашем примере домен «NetApp») с правами администратора на серверах SCAN1, SCAN2, SCAN3.ОНТАП
Настроим ONTAP, создадим LIF управления кластером и один LIF управления VSM. Включаем поддержку протокола CIFS и запускаем интеграцию с AD, создавая data-LIF для доступа конечных пользователей к файловым ресурсам.Создайте общий файловый ресурс.
Давайте создадим пользователя scanuser для кластера и VSM, который будет проходить аутентификацию в том же домене AD, что и сервер SCANx. Пусть кластер будет доступен через IP-адрес управления с именем NCluster-mgmt и IP-адрес управления VSM с именем VSM01-mgmt.
NCluster::> network interface create -vserver NCluster -home-node NCluster-01 -home-port e0M -role data -protocols none -lif NCluster-mgmt -address 10.0.0.100 -netmask 255.0.0.0 NCluster::> network interface create -vserver VSM01 -home-node NCluster-01 -home-port e0M -role data -protocols none -lif VSM01-mgmt -address 10.0.0.105 -netmask 255.0.0.0 NCluster::> domain-tunnel create -vserver VSM01 NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver NCluster NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver VSM01
ONTAP AV-разъем
на каждом сервере SCAN устанавливаем ONTAP AV Connector и запускаем настройку, в конце установщика вводим логин и пароль:
Если в приложении написано «Доступ запрещен», проверьте, что UAC (Use Account Control) выключен, перезагрузите компьютер.
Пуск → Все программы → NetApp → ONTAP AV Connector → Настройка LIF управления ONTAP. В поле «Управление LIF» введите IP- или DNS-имя VSM или кластера: NCluster-mgmt или VSM01-mgmt. В поле «Учетная запись» введите имя пользователя и пароль домена AD: NetApp\scanuser. Нажмите кнопку «Тест», затем «Обновить» и «Сохранить», если проверка прошла успешно.
Учетная запись администратора AV-сканера McAfee Network Appliance Filer
на каждом сервере SCAN войдите в систему как Администратор и запустите: Панель задач Windows — щелкните правой кнопкой мыши «меню McAfee → Выбрать консоль VirusScan», в консоли VirusScan — откройте «Network Appliance Filer AV Scanner», затем перейдите в «Network Appliance Filer AV Scanner».Вкладка «Сканер» и «Файлеры сетевых устройств».
В поле «Этот сервер обрабатывает запрос на сканирование для этих файловых устройств» создайте сервер с помощью кнопки «Добавить», в поле «Имя сервера» введите Значение «127.0.0.1».
(не ONTAP!).
Далее заполняем поля «Учетная запись администратора», куда вписываем того же пользователя AD «scanuser», а в поле «Домен» отдельно от имени пользователя вписываем домен, в нашем случае.
«НетАпп».
Возвращаясь к ONTAP
И настраиваем интеграцию: настраиваем автономное сканирование, включаем его, создаем и применяем политику сканирования: NCluster::> vserver vscan scanner-pool create -vserver VSM01 -scanner-pool POOL1 -servers SCAN1,SCAN2,SCAN3 -privileged-users NetApp\scanuser
NCluster::> vserver vscan scanner-pool show
Scanner Pool Privileged Scanner
Vserver Pool Owner Servers Users Policy
-------- ---------- ------- ------------ ------------ -------
VSM01 POOL1 vserver SCAN1, NetApp\scanuser idle
SCAN2,SCAN3
NCluster::> vserver vscan scanner-pool show -instance
Vserver: VSM01
Scanner Pool: POOL1
Applied Policy: idle
Current Status: off
Scanner Pool Config Owner: vserver
List of IPs of Allowed Vscan Servers: SCAN1, SCAN2, SCAN3
List of Privileged Users: NetApp\scanuser
NCluster::> vserver vscan scanner-pool apply-policy -vserver VSM01 -scanner-pool POOL1 -scanner-policy primary
NCluster::> vserver vscan enable -vserver VSM01
NCluster::> vserver vscan connection-status show
Connected Connected
Vserver Node Server-Count Servers
--------- -------- ------------ ------------------------
VSM01 NClusterN1 3 SCAN1, SCAN2, SCAN3
NCluster::> vserver vscan on-access-policy show
Policy Policy File-Ext Policy
Vserver Name Owner Protocol Paths Excluded Excluded Status
--------- --------- ------- -------- ---------------- ---------- ------
NCluster default_ cluster CIFS - - off
CIFS
VSM01 default_ cluster CIFS - - on
CIFS
Лицензии
Для работы FPolicy и автономного антивирусного сканирования системе хранения не требуются дополнительные лицензии; эта функциональность включена в базовый пакет ONTAP. Программное обеспечение антивирусной защиты и программное обеспечение для расширенной работы с FPolicy могут потребовать дополнительных лицензий, которые можно уточнить у соответствующих вендоров и их партнеров-представителей.
выводы
Возможность интеграции NAS с антивирусной системой позволяет, с одной стороны, разгрузить конечных клиентов, но и исключает потенциальную угрозу заражения из-за невозможности поддержания антивирусных баз всех клиентов в рабочем состоянии.дата.
А FPolicy ограничивает запись в файлы, которые не предназначены для хранения в корпоративной среде.
ПС Также обратите внимание на документ, описывающий Настройки безопасности ONTAP для повышения защиты (Руководство по усилению безопасности для NetApp ONTAP 9) .
Перевод на английский: ONTAP и антивирусная защита NAS Здесь могут содержаться ссылки на статьи Хабра, которые будут опубликованы позже.
.
Пожалуйста, присылайте сообщения об ошибках в тексте на адрес ВЕЧЕРА .
Комментарии, дополнения и вопросы по статье напротив, пишите в комментариях.
.
Теги: #Хранение данных #ИТ-инфраструктура #Системное администрирование #Антивирусная защита #netapp #A/V #smb #nas #cifs #cifs #kaspersky #ontap #sophos #trend micro #mcafee #netapp ontap #symantec #Data Ontap #DataONTAP # NetApp Data ontap #NetApp dataontap #ICAP #Vscan #CDOT AV Connector #AV Connector #cDOT #ONTAP AV Connector #Computer Associates #netapp cdot #FPolicy #Встроенное антивирусное сканирование #VirusScan Enterprise for Storage #mcafeevirusscan plus # McAfee VirusScan Enterprise #virusscanner #VirusScan #McAfee VirusScan #McAfee ePolicy Orchestrator #McAfee ePolicy #ePolicy Orchestrator #VSEfS
-
Разработка Мобильных Приложений
19 Oct, 24 -
Ddos-Атаки: Атака И Защита
19 Oct, 24 -
Скуд Моего Жк - Безопасность На Два Ригеля
19 Oct, 24 -
Intel На Ces 2017: Планы На Год
19 Oct, 24 -
Быстро Перемещаться По Вкладкам
19 Oct, 24
