エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

動的許可のカスタマイズ

管理者は、動的許可のさまざまな設定をカスタマイズして、自身がONTAPクラスタにリモートでSSH接続する際のセキュリティを高められます。

セキュリティーのニーズに応じて、以下の動的許可設定をカスタマイズできます。

動的許可グローバル設定の構成

保護対象のStorage VM、認証チャレンジの抑制間隔、信頼スコア設定など、動的許可のグローバル設定を構成できます。

security dynamic-authorization modifyコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. 動的許可のグローバル設定を構成します。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。角括弧(<>)内の値は環境に合わせて変更してください。

    security dynamic-authorization modify \
    -lower-challenge-boundary <percent> \
    -upper-challenge-boundary <percent> \
    -suppression-interval <interval> \
    -vserver <storage_VM_name>
  2. 変更後の設定を確認します。

    security dynamic-authorization show

制限されたコマンドの設定

動的許可を有効にした場合、デフォルトの制限コマンド リストが適用されます。このリストは必要に応じて変更できます。デフォルトの制限コマンド リストについては、マルチ管理者認証(MAV)のドキュメントを参照してください。

制限コマンドの追加

動的許可で制限するコマンドのリストにコマンドを追加できます。

security dynamic-authorization rule createコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. コマンドを追加します。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization rule create \
    -query <query> \
    -operation <text> \
    -index <integer> \
    -vserver <storage_VM_name>
  2. 変更後の制限コマンド リストを確認します。

    security dynamic-authorization rule show

制限コマンドの削除

動的許可で制限するコマンドのリストからコマンドを削除できます。

security dynamic-authorization rule deleteコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. コマンドを削除します。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization rule delete \
    -operation <text> \
    -vserver <storage_VM_name>
  2. 変更後の制限コマンド リストを確認します。

    security dynamic-authorization rule show

動的許可グループの設定

デフォルトでは、動的許可を有効化すると、ただちにすべてのユーザーとグループに適用されます。ただし、security dynamic-authorization group createコマンドでグループを作成することで、動的許可の適用対象を特定のユーザーのみに限定できます。

動的許可グループの追加

動的許可グループを追加できます。

security dynamic-authorization group createコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. グループを作成します。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization group create \
    -group-name <group-name> \
    -vserver <storage_VM_name> \
    -exclude-users <user1,user2,user3...>
  2. 変更後の動的許可グループを確認します。

    security dynamic-authorization group show

動的許可グループの削除

動的許可グループを削除できます。

手順
  1. グループを削除します。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization group delete \
    -group-name <group-name> \
    -vserver <storage_VM_name>
  2. 変更後の動的許可グループを確認します。

    security dynamic-authorization group show

動的許可の信頼スコア コンポーネントの構成

スコア重みの上限を設定することで、スコア基準の優先度を変更したり、リスク スコアから特定の基準を削除したりできます。

ベストプラクティスとして、デフォルトのスコア重み値は残しておき、必要に応じて調整だけ行うことが推奨されます。

security dynamic-authorization trust-score-component modifyコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

以下に、変更可能なコンポーネントをデフォルトのスコア重みおよび重み(パーセント)とともに示します。

基準 コンポーネント名 デフォルトのスコア重み(素点) デフォルトの重み(パーセント)

デバイスの信頼度

trusted-device

20

50

ユーザーのログイン認証履歴

authentication-history

20

50

手順
  1. 信頼スコア コンポーネントを変更します。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization trust-score-component modify \
    -component <component-name> \
    -weight <integer> \
    -vserver <storage_VM_name>
  2. 変更後の信頼スコア コンポーネント設定を確認します。

    security dynamic-authorization trust-score-component show

ユーザーの信頼スコアのリセット

ユーザーがシステム ポリシーによりアクセスを拒否されたものの、その身元を証明可能な場合、管理者はそのユーザーの信頼スコアをリセットできます。

security dynamic-authorization user-trust-score resetコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. コマンドを追加します。リセット可能な信頼スコア コンポーネントのリストについては、<<「動的許可の信頼スコア コンポーネントの設定」>> を参照してください。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization user-trust-score reset \
    -username <username> \
    -component <component-name> \
    -vserver <storage_VM_name>

信頼スコアの閲覧

ユーザーは、ログイン セッションにおける自分の信頼スコアを閲覧できます。

手順
  1. 信頼スコアを表示します。

    security login whoami

    次のような出力が表示されます。

    User: admin
    Role: admin
    Trust Score: 50

カスタム信頼スコア プロバイダーの設定

すでに外部の信頼スコア プロバイダーからスコア設定方法を受信している場合、動的許可設定にカスタム プロバイダーを追加できます。

開始する前に
  • カスタム信頼スコア プロバイダーはJSON応答を返せなくてはなりません。次の構文要件を満たす必要があります。

    • 信頼スコアを返すフィールドは、配列要素ではなくスカラーである必要があります。

    • 信頼スコアを返すフィールドはネストできます(例:trust_score.value)。

    • JSON応答に、信頼スコアの数値を返すフィールドが含まれている必要があります。ネイティブでこのフィールドが存在しない場合は、この値を返すラッパー スクリプトを作成できます。

  • 提供する値は信頼スコアとリスク スコアのいずれかを指定できます。信頼スコアとリスク スコアの違いは、前者は信頼度が高いほどスコアが高くなるのに対し、後者はその反対であることです。たとえば、スコア範囲が0~100で信頼スコアが90の場合、スコアの信頼度が非常に高いとみなされ、通常は追加チャレンジなしで「許可」されます。反対に、スコア範囲が0~100でリスク スコアが90の場合、リスクが高いとみなされ、通常は追加チャレンジなしで「拒否」されます。

  • カスタム信頼スコア プロバイダーはONTAP REST API経由でアクセス可能である必要があります。

  • カスタム信頼スコア プロバイダーは、いずれかのサポート対象パラメーターで設定可能である必要があります。サポート対象パラメーター一覧にない設定が必要なカスタム信頼スコア プロバイダーは使用できません。

security dynamic-authorization trust-score-component createコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. カスタム信頼スコア プロバイダーを追加します。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization trust-score-component create \
    -component <text> \
    -provider-uri <text> \
    -score-field <text> \
    -min-score <integer> \
    -max-score <integer> \
    -weight <integer> \
    -secret-access-key "<key_text>" \
    -provider-http-headers <list<header,header,header>> \
    -vserver <storage_VM_name>
  2. 変更後の信頼スコア プロバイダー設定を確認します。

    security dynamic-authorization trust-score-component show

カスタム信頼スコア プロバイダー タグの設定

外部の信頼スコア プロバイダーとの通信にタグを使用できます。こうすることで、機密情報を漏えいさせることなく、URLで信頼スコア プロバイダーに情報を送信できます。

security dynamic-authorization trust-score-component createコマンドのパラメーターとデフォルト値の詳細については、ONTAPのマニュアル ページを参照してください。

手順
  1. 信頼スコア プロバイダー タグを有効にします。角括弧(<>)内の値は環境に合わせて変更してください。-vserverパラメーターを使用しない場合、コマンドはクラスタ レベルで実行されます。太字のパラメーターは必須です。

    security dynamic-authorization trust-score-component create \
    -component <component_name> \
    -weight <initial_score_weight> \
    -max-score <max_score_for_provider> \
    -provider-uri <provider_URI> \
    -score-field <REST_API_score_field> \
    -secret-access-key "<key_text>"

    例:

    security dynamic-authorization trust-score-component create -component comp1 -weight 20 -max-score 100 -provider-uri https://<url>/trust-scores/users/<user>/<ip>/component1.html?api-key=<access-key> -score-field score -access-key "MIIBBjCBrAIBArqyTHFvYdWiOpLkLKHGjUYUNSwfzX"
Top of Page