エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

ONTAPで外部のウイルス対策機能を設定するためのベストプラクティス

ONTAPで外部の機能を設定する場合は、次の推奨事項を考慮してください。

  • ウイルス スキャン処理を特権ユーザーに限定します。一般ユーザーが、特権ユーザーのクレデンシャルを使用できないようにします。これは、Active Directoryで特権ユーザーのログイン権限をオフにすることで実現できます。

  • 特権ユーザーは、AdministratorsグループやBackup Operatorsグループなど、ドメイン内で多数の権限を持つ何らかのユーザー グループの一員である必要はありません。特権ユーザーは、Vscanサーバー接続を作成したり、ウイルス スキャンのためにファイルにアクセスしたりできるように、ストレージ システムのみによって検証される必要があります。

  • Vscanサーバーが実行されているコンピューターは、ウイルス スキャンの目的でのみ使用します。一般的な用途で使用されるのを防ぐため、これらのマシンではWindows Terminal Servicesやその他のリモート アクセス プロビジョニングを無効にしておき、マシンに新しいソフトウェアをインストールするための権限は管理者だけに付与するようにします。

  • Vscanサーバーはウイルス スキャン専用にし、バックアップなどの他の処理には使用しないようにします。Vscanサーバーは、仮想マシン(VM)として実行することもできます。その場合は、VMに割り当てられたリソースが共有されておらず、ウイルス スキャンを実行するのに十分であることを確認してください。

  • リソースのボトルネックを回避するために、Vscanサーバーには十分なCPU、メモリー、ディスク容量を提供します。ほとんどのVscanサーバーは、マルチ コアCPUのサーバーを使用して、CPU全体に負荷を分散する設計になっています。

  • SVMからVscanサーバーの接続には、スキャン トラフィックが他のクライアント ネットワーク トラフィックから影響を受けないようにするため、プライベートVLANによる専用のネットワークを使用することを推奨しています。Vscanサーバー上のウイルス対策VLANと、SVM上のデータLIFには、専用の独立したNICを作成します。こうしておくと、ネットワークで問題が発生した場合の管理とトラブルシューティングがしやすくなります。プライベート ネットワークを使用して、AVトラフィックを分離するようにします。AVサーバーは、次のいずれかの方法でドメイン コントローラー(DC)やONTAPと通信するように構成します。

    • DCとAVサーバーが、トラフィックの分離に使用されるプライベート ネットワークを介して通信する。

    • DCとAVサーバーが、CIFSクライアント ネットワークとは異なる別のネットワーク(前述のプライベート ネットワークではないもの)を介して通信する。

AV通信でKerberos認証を機能させるには、プライベートLIF用のDNSエントリと、プライベートLIF用に作成されたDNSエントリに対応するDC上のサービス プリンシパル名を作成します。このサービス プリンシパル名は、AVコネクタにLIFを追加するときに使用します。DNSは、AVコネクタに接続されている各プライベートLIFの一意の名前を返せるものである必要があります。

重要: Vscanトラフィック用のLIFがクライアント トラフィック用のLIFとは別のポートに設定されていると、ポート障害が発生した場合に、Vscan LIFが別のノードにフェイルオーバーされる可能性があります。この変化により、新しいノードからVscanサーバーに到達できなくなり、ノードでのファイル処理に関するスキャン通知が失敗します。Vscanサーバーがノード上の1つ以上のLIFを通じて到達可能であり、そのノードで実行されたファイル処理に関するスキャン要求を処理できることを確認してください。
  • ストレージ システムとVscanサーバーの接続には、1GbE以上のネットワークを使用します。

  • 複数のVscanサーバーがある環境では、すべてのサーバーを同等のハイパフォーマンス ネットワークで接続します。Vscanサーバーを接続すると、ロードシェアリングが可能になるのでパフォーマンスが向上します。

  • リモート サイトやブランチ オフィスでは、リモートのVscanサーバーではなくローカルのVscanサーバーを使用することを推奨しています。高レイテンシの環境にはローカルのVscanサーバーが最適だからです。コストを重視する場合は、ラップトップやPCを使用して適度なウイルス対策を講じます。ボリュームやqtreeを共有してファイルシステム全体の定期スキャンのスケジュールを設定すると、それらをリモート サイトのシステムでスキャンできます。

  • ロード バランシングと冗長性確保のため、複数のVscanサーバーを使用してSVM上のデータをスキャンします。CIFSワークロードとそれに伴うウイルス対策トラフィックの量は、SVMごとに異なります。ストレージ コントローラーのCIFSとウイルス スキャンのレイテンシを監視して、監視結果の経時的なトレンドを把握します。CIFSのレイテンシとウイルス スキャンのレイテンシが、Vscanサーバー上のCPUやアプリケーションのボトルネックにより、トレンドのしきい値を超えて増加すると、CIFSクライアントの待機時間が長くなることがあります。Vscanサーバーを追加して負荷を分散します。

  • 最新バージョンのAntivirus Connectorをインストールします。サポート状況の詳細については、 当社サポートにお問い合わせください。

  • ウイルス対策のエンジンと定義を常に最新の状態に保ちます。推奨される更新頻度については、Symantecにお問い合わせください。

  • マルチテナンシー環境では、スキャナ プール(Vscanサーバーのプール)を複数のSVMで共有できます。ただし、VscanサーバーとSVMが同じドメインか、信頼できるドメインに属していることが条件になります。

  • 感染したファイルに関するAVソフトウェア ポリシーは、大半のAVベンダーが設定しているデフォルト値である、deleteまたはquarantineに設定します。vscan-fileop-profilewrite_onlyに設定されていて、感染したファイルが検出された場合、ファイルは共有に残り、開くことができます。これは、ファイルを開いただけではスキャンはトリガーされないためです。AVスキャンは、ファイルを閉じるまでトリガーされません。

  • scan-engine timeoutの値は、scanner-pool request-timeoutよりも小さくする必要があります。前者を後者より大きい値に設定すると、ファイルへのアクセスが遅延し、最終的にはタイムアウトする可能性があります。これを回避するには、scan-engine timeoutの値をscanner-pool request-timeoutの値よりも5秒短く設定します。その際に、scan-engine timeoutの設定を変更する手順については、スキャン エンジン ベンダーのドキュメントを参照してください。scanner-pool timeoutは、advancedモードでvserver vscan scanner-pool modifyコマンドを使用し、request-timeoutパラメーターに適切な値を指定することで変更できます。

  • オンアクセス スキャンのワークロード向けにサイジングされていて、オンデマンド スキャンを使用する必要がある環境では、既存のAVインフラに余計な負荷がかからないように、オンデマンド スキャンのジョブをオフピークの時間帯にスケジュールすることが推奨されます。

Top of Page