Tin tức
Bảo mật OneFS Snapshot
Trong thời đại tội phạm mạng và các mối đe dọa bảo mật dữ liệu gia tăng, nhu cầu về các ảnh chụp nhanh không thể thay đổi, chống giả mạo ngày càng tăng. Nhu cầu này thường phát sinh như một phần của nhiệm vụ bảo mật rộng hơn, lý tưởng nhất là chủ động, nhưng thường là phản ứng trước sự cố bảo mật. OneFS giải quyết yêu cầu này theo những cách sau:
| Trên cụm | Ngoài cụm |
|
|
Ảnh chụp chỉ đọc
Về bản chất, OneFS SnapshotIQ tạo ra các bản sao chỉ đọc, tại một thời điểm, tiết kiệm không gian của một tập hợp con dữ liệu được xác định trong cụm.
Chỉ các khối đã thay đổi của tệp mới được lưu trữ khi cập nhật ảnh chụp nhanh OneFS, đảm bảo sử dụng lưu trữ hiệu quả. Chúng cũng có khả năng mở rộng cao và thường mất chưa đến một giây để tạo, đồng thời tạo ra ít chi phí hiệu suất. Do đó, RPO (mục tiêu điểm khôi phục) và RTO (mục tiêu thời gian khôi phục) của ảnh chụp nhanh OneFS có thể rất nhỏ và linh hoạt cao, với việc sử dụng các chính sách và lịch trình phong phú.
OneFS Snapshots được tạo thủ công, theo lịch trình hoặc tự động tạo ra bởi OneFS để tạo điều kiện cho hoạt động của hệ thống. Nhưng bất kể phương pháp tạo nào, khi đã chụp ảnh nhanh, nội dung của ảnh không thể thay đổi thủ công.
Khóa chụp nhanh
Ngoài tính bất biến của nội dung snapshot, để tăng cường khả năng chống giả mạo, SnapshotIQ còn cung cấp khả năng khóa snapshot bằng cú pháp CLI ‘isi snapshot locks’. Điều này ngăn không cho snapshot bị xóa một cách vô tình hoặc không cố ý.
Ví dụ, ảnh chụp nhanh thủ công ‘snaploc1’ được chụp của /ifs/test:
# isi snapshot snapshots tạo /ifs/test --name snaploc1 # isi snapshot danh sách ảnh chụp nhanh | grep snaploc1 79188 snaploc1 /ifs/kiểm tra
Sau đó, một khóa sẽ được đặt vào đó (trong trường hợp này là khóa ID=1):
# isi snapshot locks tạo snaplock1 # isi snapshot khóa danh sách snaploc1 NHẬN DẠNG ---- 1 ---- Tổng cộng: 1
Nỗ lực xóa ảnh chụp nhanh không thành công vì khóa ngăn không cho xóa ảnh:
# isi snapshot ảnh chụp nhanh xóa snaploc1 Bạn có chắc chắn không? (có/[không]): có Không thể xóa ảnh chụp nhanh "snaploc1" vì nó đã bị khóa
Lệnh CLI ‘isi snapshot locks delete <lock_ID>’ có thể được sử dụng để xóa các khóa snapshot hiện có, nếu muốn. Ví dụ, để xóa khóa duy nhất (ID=1) khỏi snapshot ‘snaploc1’:
# isi snapshot khóa danh sách snaploc1 NHẬN DẠNG ---- 1 ---- Tổng cộng: 1 # isi snapshot khóa xóa snaploc1 1 Bạn có chắc chắn muốn xóa khóa snapshot 1 khỏi snaploc1 không? (có/[không]): có # isi snap khóa xem snaploc1 1 Không có khóa như vậy
Khi khóa được gỡ bỏ, ảnh chụp nhanh có thể bị xóa:
# isi snapshot ảnh chụp nhanh xóa snaploc1 Bạn có chắc chắn không? (có/[không]): có # isi snapshot danh sách ảnh chụp nhanh| grep -i snaploc1 | wc -l 0
Lưu ý rằng một snapshot có thể có tối đa mười sáu khóa tại bất kỳ thời điểm nào. Ngoài ra, số khóa liên tục tăng và không được tái chế sau khi xóa.
Giống như thời hạn hết hạn của snapshot, khóa snapshot cũng có thể được cấu hình thời gian hết hạn. Ví dụ, để đặt khóa cho snapshot ‘snaploc1’ hết hạn vào lúc 1 giờ sáng ngày 1 tháng 4 năm 2024:
# isi snap lock tạo snaploc1 --hết hạn '2024-04-01T01:00:00' # isi khóa danh sách snaploc1 NHẬN DẠNG ---- 36 ---- Tổng cộng: 1 # isi snap lock view snaploc1 33 Mã số: 36 Bình luận: Hết hạn: 2024-04-01T01:00:00 Đếm: 1
Lưu ý rằng nếu thời hạn khóa của một ảnh chụp nhanh cụ thể hết hạn nhưng các ảnh chụp nhanh khác vẫn còn, OneFS sẽ không xóa ảnh chụp nhanh đó cho đến khi tất cả các khóa trên ảnh chụp nhanh đó đã bị xóa hoặc hết hạn.
Bảng sau đây cung cấp một ví dụ về lịch trình hết hạn ảnh chụp nhanh, với các ảnh chụp nhanh bị khóa hàng tháng để ngăn chặn việc xóa:
| Tần suất chụp nhanh | Thời gian chụp nhanh | Hết hạn chụp nhanh | Ảnh chụp nhanh được giữ lại tối đa |
| Mỗi giờ khác | Bắt đầu lúc 12:00AM
Kết thúc lúc 11:59AM |
1 ngày | 27 |
| Mỗi ngày | Lúc 12:00AM | 1 tuần | |
| Mỗi tuần | Thứ Bảy lúc 12:00AM | 1 tháng | |
| Mỗi tháng | Thứ Bảy đầu tiên của tháng lúc 12:00AM | Đã khóa |
Kiểm soát truy cập dựa trên vai trò
Ảnh chụp nhanh chỉ đọc cộng với khóa cung cấp ảnh chụp nhanh an toàn về mặt vật lý trên một cụm. Tuy nhiên, nếu bạn có thể đăng nhập vào cụm và có các đặc quyền quản trị viên nâng cao cần thiết để thực hiện việc này, bạn vẫn có thể xóa khóa và/hoặc xóa ảnh chụp nhanh.
Vì các mối đe dọa bảo mật dữ liệu đến từ cả bên trong và bên ngoài môi trường, chẳng hạn như từ một nhân viên CNTT bất mãn hoặc một tác nhân xấu nội bộ khác, một chìa khóa khác để có hồ sơ bảo mật mạnh mẽ là hạn chế sử dụng các tài khoản ‘root’, ‘administrator’ và ‘sudo’ toàn năng càng nhiều càng tốt. Thay vì cấp cho quản trị viên cụm toàn quyền, một biện pháp bảo mật tốt nhất được ưa thích là tận dụng khuôn khổ xác thực, ủy quyền và kế toán toàn diện mà OneFS cung cấp sẵn.
Kiểm soát truy cập dựa trên vai trò OneFS (RBAC) có thể được sử dụng để giới hạn rõ ràng những ai có quyền truy cập để quản lý và xóa ảnh chụp nhanh. Kiểm soát chi tiết này cho phép bạn tạo các vai trò quản trị có thể tạo và quản lý lịch trình ảnh chụp nhanh, nhưng ngăn chặn việc mở khóa và/hoặc xóa chúng. Tương tự như vậy, việc xóa khóa và xóa ảnh chụp nhanh có thể được cô lập cho một vai trò bảo mật cụ thể (hoặc chỉ cho root).
Người quản trị bảo mật cụm sẽ chọn vùng truy cập mong muốn, tạo vai trò nhận biết vùng trong vùng đó, chỉ định quyền và sau đó chỉ định thành viên.
Ví dụ, từ WebUI trong mục Access > Thành viên và vai trò > Vai trò :
Khi các thành viên này truy cập cụm thông qua WebUI, PlatformAPI hoặc CLI, họ sẽ được thừa hưởng các đặc quyền được chỉ định.
Các đặc quyền cụ thể có thể được sử dụng để phân đoạn quản lý ảnh chụp nhanh OneFS bao gồm:
| Quyền lợi | Sự miêu tả |
| ISI_PRIV_SNAPSHOT_ALIAS | Bí danh cho ảnh chụp nhanh |
| KHÓA CHỤP ẢNH ISI_PRIV | Khóa ảnh chụp nhanh khỏi việc xóa |
| ISI_PRIV_SNAPSHOT_ĐANG CHỜ | Ảnh chụp nhanh sắp tới dựa trên lịch trình |
| ISI_PRIV_SNAPSHOT_PHỤC HỒI | Khôi phục thư mục vào một ảnh chụp nhanh cụ thể |
| LỊCH TRÌNH ISI_PRIV_SNAPSHOT | Lên lịch chụp ảnh nhanh định kỳ |
| CÀI ĐẶT CHỤP ẢNH ISI_PRIV | Cài đặt dịch vụ và truy cập |
| QUẢN LÝ ISI_PRIV_SNAPSHOT_SNAPSHOT | Chụp nhanh và khóa thủ công |
| ISI_PRIV_SNAPSHOT_TÓM TẮT_SNAPSHOT | Tóm tắt ảnh chụp nhanh và chi tiết sử dụng |
Mỗi đặc quyền có thể được chỉ định một trong bốn mức quyền cho một vai trò, bao gồm:
| Chỉ số cho phép | Sự miêu tả |
| – | Không có sự cho phép |
| R | Quyền chỉ đọc |
| X | Thực hiện quyền |
| T | Viết quyền |
Khả năng xóa ảnh chụp nhanh của người dùng được điều chỉnh bởi đặc quyền ‘ISI_PRIV_SNAPSHOT_SNAPSHOTMANAGEMENT’. Tương tự, đặc quyền ‘ISI_PRIV_SNAPSHOT_LOCKS’ điều chỉnh việc tạo và xóa khóa.
Trong ví dụ sau, vai trò ‘snap’ có quyền ‘đọc’ đối với đặc quyền ‘ISI_PRIV_SNAPSHOT_LOCKS’, cho phép người dùng được liên kết với vai trò này xem khóa ảnh chụp nhanh:
# isi auth roles xem snap | grep -I -A 1 khóa Mã số: ISI_PRIV_SNAPSHOT_LOCKS Quyền: r -- # isi snapshot khóa danh sách snaploc1 NHẬN DẠNG ---- 1 ---- Tổng cộng: 1
Tuy nhiên, các nỗ lực xóa khóa ‘ID 1’ khỏi ảnh chụp nhanh ‘snaploc1’ sẽ không thành công nếu không có quyền ghi:
# isi snapshot khóa xóa snaploc1 1 Kiểm tra đặc quyền không thành công. Yêu cầu đặc quyền ghi sau: Khóa ảnh chụp nhanh (ISI_PRIV_SNAPSHOT_LOCKS)
Quyền ghi được thêm vào ‘ISI_PRIV_SNAPSHOT_LOCKS’ trong vai trò ”snaploc1′:
# vai trò xác thực isi sửa đổi snap –-add-priv-write ISI_PRIV_SNAPSHOT_LOCKS # isi auth roles xem snap | grep -I -A 1 khóa Mã số: ISI_PRIV_SNAPSHOT_LOCKS Quyền: w --
Điều này cho phép xóa thành công khóa ‘ID 1’ khỏi ảnh chụp nhanh ‘snaploc1’:
# isi snapshot khóa xóa snaploc1 1 Bạn có chắc chắn muốn xóa khóa snapshot 1 khỏi snaploc1 không? (có/[không]): có # isi snap khóa xem snaploc1 1 Không có khóa như vậy
Khi sử dụng OneFS RBAC, một giải pháp bảo mật nâng cao cho một trang web có thể là tạo ba vai trò OneFS trên một cụm, mỗi vai trò có phạm vi tin cậy ngày càng tăng:
1. Đầu tiên, vai trò vận hành CNTT/bộ phận trợ giúp có quyền ‘đọc’ vào các thuộc tính ảnh chụp nhanh sẽ cho phép giám sát và khắc phục sự cố, nhưng không có thay đổi nào:
| Quyền chụp nhanh | Sự miêu tả |
| ISI_PRIV_SNAPSHOT_ALIAS | Đọc |
| KHÓA CHỤP ẢNH ISI_PRIV | Đọc |
| ISI_PRIV_SNAPSHOT_ĐANG CHỜ | Đọc |
| ISI_PRIV_SNAPSHOT_PHỤC HỒI | Đọc |
| LỊCH TRÌNH ISI_PRIV_SNAPSHOT | Đọc |
| CÀI ĐẶT CHỤP ẢNH ISI_PRIV | Đọc |
| QUẢN LÝ ISI_PRIV_SNAPSHOT_SNAPSHOT | Đọc |
| ISI_PRIV_SNAPSHOT_TÓM TẮT_SNAPSHOT | Đọc |
2. Tiếp theo, vai trò quản trị cụm, với quyền ‘đọc’ đối với ‘ISI_PRIV_SNAPSHOT_LOCKS’ và ‘ISI_PRIV_SNAPSHOT_SNAPSHOTMANAGEMENT’ sẽ ngăn chặn việc xóa ảnh chụp nhanh và khóa, nhưng cung cấp quyền ‘ghi’ để cấu hình lịch trình, khôi phục, v.v.
| Quyền chụp nhanh | Sự miêu tả |
| ISI_PRIV_SNAPSHOT_ALIAS | Viết |
| KHÓA CHỤP ẢNH ISI_PRIV | Đọc |
| ISI_PRIV_SNAPSHOT_ĐANG CHỜ | Viết |
| ISI_PRIV_SNAPSHOT_PHỤC HỒI | Viết |
| LỊCH TRÌNH ISI_PRIV_SNAPSHOT | Viết |
| CÀI ĐẶT CHỤP ẢNH ISI_PRIV | Viết |
| QUẢN LÝ ISI_PRIV_SNAPSHOT_SNAPSHOT | Đọc |
| ISI_PRIV_SNAPSHOT_TÓM TẮT_SNAPSHOT | Viết |
3. Cuối cùng, vai trò quản trị bảo mật cụm (tương đương gốc) sẽ cung cấp cấu hình và quản lý ảnh chụp nhanh đầy đủ, kiểm soát khóa và quyền xóa:
| Quyền chụp nhanh | Sự miêu tả |
| ISI_PRIV_SNAPSHOT_ALIAS | Viết |
| KHÓA CHỤP ẢNH ISI_PRIV | Viết |
| ISI_PRIV_SNAPSHOT_ĐANG CHỜ | Viết |
| ISI_PRIV_SNAPSHOT_PHỤC HỒI | Viết |
| LỊCH TRÌNH ISI_PRIV_SNAPSHOT | Viết |
| CÀI ĐẶT CHỤP ẢNH ISI_PRIV | Viết |
| QUẢN LÝ ISI_PRIV_SNAPSHOT_SNAPSHOT | Viết |
| ISI_PRIV_SNAPSHOT_TÓM TẮT_SNAPSHOT | Viết |
Lưu ý rằng khi cấu hình OneFS RBAC, hãy nhớ xóa đặc quyền ‘ISI_PRIV_AUTH’ và ‘ISI_PRIV_ROLE’ khỏi tất cả các quản trị viên trừ những quản trị viên đáng tin cậy nhất.
Ngoài ra, các công cụ quản lý bảo mật doanh nghiệp như CyberArk cũng có thể được tích hợp để quản lý xác thực và kiểm soát truy cập toàn diện trên toàn bộ môi trường. Các công cụ này có thể được cấu hình để thường xuyên thay đổi mật khẩu trên các tài khoản đáng tin cậy (tức là cứ sau một giờ hoặc lâu hơn), yêu cầu phê duyệt nhiều cấp trước khi lấy mật khẩu và theo dõi và kiểm tra các yêu cầu và xu hướng mật khẩu.
Mặc dù bài viết này chỉ tập trung vào ảnh chụp nhanh OneFS, việc sử dụng rộng rãi các đặc quyền chi tiết của RBAC để tăng cường bảo mật có liên quan đến hầu hết các lĩnh vực chính của quản lý cụm và bảo vệ dữ liệu, chẳng hạn như sao chép SyncIQ, v.v.
Sao chép ảnh chụp nhanh
Ngoài việc sử dụng ảnh chụp nhanh cho hệ thống kiểm tra điểm riêng, SyncIQ, công cụ sao chép dữ liệu OneFS, còn hỗ trợ sao chép ảnh chụp nhanh vào cụm mục tiêu.
Chính sách sao chép OneFS SyncIQ có tùy chọn kích hoạt chính sách sao chép khi ảnh chụp nhanh của thư mục nguồn hoàn tất. Ngoài ra, khi bắt đầu cấu hình chính sách mới, khi tùy chọn “Whenever a Snapshot of the Source Directory is Taken” được chọn, một hộp kiểm sẽ xuất hiện để cho phép sao chép bất kỳ ảnh chụp nhanh nào hiện có trong thư mục nguồn. Có thể tìm hiểu thêm thông tin trong bài báo SyncIQ này .
Bảo mật mạng
Có thể nói dữ liệu tệp là loại dữ liệu khó bảo vệ nhất vì:
- Đây là loại dữ liệu duy nhất mà tất cả nhân viên đều có thể kết nối trực tiếp với bộ lưu trữ (với loại lưu trữ khác là thông qua ứng dụng)
- Dữ liệu tệp được liên kết (hoặc gắn kết) với hệ điều hành của máy khách. Điều này có nghĩa là chỉ cần có quyền truy cập tệp vào hệ điều hành là có thể truy cập vào dữ liệu có khả năng quan trọng.
- Người dùng là điểm vi phạm lớn nhất.
Khung an ninh mạng (CSF) từ Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) phân loại mối đe dọa thông qua quy trình phục hồi:
Trong giai đoạn ‘Bảo vệ’, có hai khía cạnh cốt lõi:
- Áp dụng tất cả các tính năng bảo vệ cốt lõi có sẵn trên nền tảng OneFS, cụ thể là:
| Tính năng | Sự miêu tả |
| Kiểm soát truy cập | Nơi các chức năng bảo vệ dữ liệu cốt lõi đang được thực hiện. Đánh giá xem ai thực sự cần quyền ghi. |
| Sự bất biến | Có ảnh chụp nhanh không thể thay đổi, phiên bản sao chép, v.v. Tăng cường chiến lược sao lưu bằng chiến lược lưu trữ với SmartLock WORM. |
| Mã hóa | Mã hóa cả dữ liệu đang truyền và dữ liệu ở trạng thái tĩnh. |
| Chống vi-rút | Tích hợp với phần mềm diệt vi-rút/phần mềm độc hại để kiểm tra nội dung. |
| Cảnh báo an ninh | Dell Security Advisories (DSA) thông báo cho khách hàng về bản sửa lỗi cho các lỗ hổng và nguy cơ bảo mật phổ biến. |
- Cô lập dữ liệu cung cấp bản sao cuối cùng của dữ liệu quan trọng trong kinh doanh và có thể đạt được bằng cách sử dụng khoảng cách không khí để cô lập bản sao dữ liệu cyber vault. Bản sao vault được tách biệt về mặt logic với bản sao dữ liệu sản xuất. Đồng bộ hóa dữ liệu chỉ diễn ra không liên tục bằng cách đóng khoảng cách không khí sau khi đảm bảo không có sự cố nào được biết đến.
Sự kết hợp giữa ảnh chụp nhanh OneFS và sao chép SyncIQ cho phép khôi phục dữ liệu chi tiết. Điều này có nghĩa là chỉ những tệp bị ảnh hưởng mới được khôi phục, trong khi những thay đổi gần đây nhất được lưu giữ cho dữ liệu không bị ảnh hưởng. Trong khi một kho lưu trữ mạng tại chỗ có khoảng cách không khí vẫn có thể cung cấp khả năng cô lập mạng an toàn, trong trường hợp bị tấn công, khả năng chuyển đổi dự phòng sang một trang web từ xa ‘sạch’ hoạt động hoàn toàn mang lại thêm tính bảo mật và sự an tâm.
Chúng tôi sẽ tìm hiểu sâu hơn về khả năng bảo vệ và phục hồi mạng của PowerScale trong một bài viết sau.
Tác giả : Nick Trimbee
Bài viết mới cập nhật
Từ tầm nhìn đến hiện thực: Thiết kế tuần hoàn và máy tính cá nhân AI
Nâng cấp đáng kể về hiệu suất và tính bền vững ...
OneFS SupportAssist Provisioning – Phần 2
Nâng cấp cụm lên OneFS 9.5. Nhận mã PIN và khóa ...
OneFS SupportAssist Provisioning – Phần 1
Trong OneFS 9.5, một số thành phần OneFS hiện tận dụng ...
OneFS SupportAssist Quản lý và khắc phục sự cố
Trong bài viết cuối cùng của loạt bài OneFS SupportAssist, chúng ...