NetApp ONTAPおよびNASアンチウイルス保護

ONTAPファームウェアを搭載したNetAppストレージシステムは、ウイルス対策とのNAS統合をサポートしているため、読み取り/書き込みの前にファイルがチェックされます。この機能は、オフボックスアンチウイルススキャンと呼ばれます。 これにより、企業環境の保護レベルを高め、ワークステーションから余分な負荷を取り除くことができます。 現在の状態のすべてのワークステーションのウイルス対策データベースのサポートは、実行可能なタスクではない可能性があるためです。 サポートされている製品：

• カスペルスキー
• シマンテック
• トレンドマイクロ
• コンピューター仲間
• マカフィー
• ソフォス

さらに、高度なファイルスクリーニング機能（FPolicy）がサポートされています。これにより、ファイルの拡張子だけでなく、このファイル内のヘッダーに基づくファイルの種類に基づいてファイルの処理を制限できます。



今日は、ONTAPとCIFS（SMB）領域およびMcAfeeウイルス対策システムとの統合について詳しく説明します。 原則として、他のアンチウイルスシステムでも同様に配置されます。

1. 統合を構成するには、いくつかのコンポーネントが必要です。
2. Microsoft Windows Server 2008以降
3. ONTAPファームウェアを使用したスト​​レージ（NetApp FASハードウェアプラットフォームに基づく、またはAmazone / AzureクラウドのONTAP SelectまたはONTAP Cloud仮想マシンとして）
4. McAfee VirusScan Enterprise for Storage。 ここからVSEfSをダウンロードしてください
5. スキャンには、SMB 2以前が使用され、バージョン1.0はサポートされていません。
6. NetApp ONTAP AVコネクタ。 ここからAV Connecorをダウンロード

詳細については、互換性マトリックスを参照してください。







アンチウイルスとSMBクライアントからNASへの要求との間の相互作用のスキーム。

準備する

以下のスキームに従って、NASと統合するためにすべてのソフトウェアコンポーネントをインストールおよび構成する必要があります。

Vsefs

McAfee VSEfSをインストールします。これは、スタンドアロン製品として、またはMcAfee ePolicy Orchestrator（McAfee ePO）によって管理される製品として2つのモードで動作できます。 この記事では、動作モードを「スタンドアロン製品」と見なします。 McAfee VSEfSをインストールするには、既にインストールおよび構成されている必要があります。

• McAfee VirusScan Enterprise（VSE）。 VSEをここからダウンロード
• McAfee ePolicy Orchestrator（ePO）、VirusScanがスタンドアロン製品として使用される場合は不要

SCANサーバー

最初に、いくつかのSCANサーバーを作成して、それらの間でウイルス対策スキャンの負荷を分散します。 各SCANサーバーはWindows Serverにインストールされ、次のコンポーネントが含まれます：McAfee VSE、McAfee VSEfS、およびONTAP AV Connector。 たとえば、SCAN1、SCAN2、SCAN3という3つのサーバーを準備します。

AD

SCAN1、SCAN2、SCAN3サーバーの管理権限を持つユーザーscanuserをドメイン（この例では「NetApp」ドメイン）に作成します。

ONTAP

ONTAPをセットアップし、クラスター管理LIFと1つのVSM管理LIFを作成します。 CIFSプロトコルのサポートを有効にし、ADとの統合を開始し、エンドユーザーがファイルボールにアクセスするためのデータLIFを作成します。 ファイルボールを作成します。 SCANxサーバーと同じADドメインで認証するクラスターとVSMのscanuserユーザーを作成します。 NCluster-mgmtという名前の管理IPアドレスとVSM01-mgmtという名前の管理VSM IPアドレスによってクラスターにアクセスできるようにします。

NCluster::> network interface create -vserver NCluster -home-node NCluster-01 -home-port e0M -role data -protocols none -lif NCluster-mgmt -address 10.0.0.100 -netmask 255.0.0.0 NCluster::> network interface create -vserver VSM01 -home-node NCluster-01 -home-port e0M -role data -protocols none -lif VSM01-mgmt -address 10.0.0.105 -netmask 255.0.0.0 NCluster::> domain-tunnel create -vserver VSM01 NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver NCluster NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver VSM01
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ONTAP AVコネクタ

ONTAP AVコネクタを各SCANサーバーにインストールし、インストーラードライブの最後にユーザー名とパスワードを入力してセットアップを実行します。







アプリケーションに「アクセスが拒否されました」と表示された場合、UAC（アカウント制御の使用）がオフになっていることを確認して、コンピューターを再起動します。



スタート→すべてのプログラム→NetApp→ONTAP AV Connector→Configure ONTAP Management LIF

[管理LIF]フィールドで、VSMまたはクラスターのIPまたはDNS名を入力します：NCluster-mgmtまたはVSM01-mgmt。



「アカウント」フィールドで、ADドメインユーザーのユーザー名とパスワードを入力します：NetApp \ scanuser。 テストが成功した場合は、「テスト」ボタンをクリックしてから、「更新」と「保存」をクリックします。

McAfee Network Appliance Filer AVスキャナー管理者アカウント

各SCANサーバーで、管理者として起動して起動します。Windowsタスクバー-「McAfeeメニューレット→マウスの右クリックでVirusScanコンソールを選択」、VirusScanコンソールで-「Network Appliance Filer AVスキャナー」を開き、「Network Appliance Filer AVスキャナー」タブに移動しますおよびNetwork Appliance Filer。」 「このサーバーはこれらのファイラーのスキャンリクエストを処理しています」フィールドで、「追加」ボタンを使用してサーバーを作成し、「サーバー名」フィールドで値「127.0.0.1」（ONTAPではありません）をドライブします。 次に、同じADユーザー「scanuser」を入力する「管理者アカウント」フィールドに入力し、ユーザー名とは別に「ドメイン」フィールドにドメイン（この場合は「NetApp」）を入力します。

ONTAPに戻る

統合を構成します。オフボックススキャンを構成し、オンにし、スキャンポリシーを作成して適用します。

 NCluster::> vserver vscan scanner-pool create -vserver VSM01 -scanner-pool POOL1 -servers SCAN1,SCAN2,SCAN3 -privileged-users NetApp\scanuser NCluster::> vserver vscan scanner-pool show Scanner Pool Privileged Scanner Vserver Pool Owner Servers Users Policy -------- ---------- ------- ------------ ------------ ------- VSM01 POOL1 vserver SCAN1, NetApp\scanuser idle SCAN2,SCAN3 NCluster::> vserver vscan scanner-pool show -instance Vserver: VSM01 Scanner Pool: POOL1 Applied Policy: idle Current Status: off Scanner Pool Config Owner: vserver List of IPs of Allowed Vscan Servers: SCAN1, SCAN2, SCAN3 List of Privileged Users: NetApp\scanuser NCluster::> vserver vscan scanner-pool apply-policy -vserver VSM01 -scanner-pool POOL1 -scanner-policy primary NCluster::> vserver vscan enable -vserver VSM01 NCluster::> vserver vscan connection-status show Connected Connected Vserver Node Server-Count Servers --------- -------- ------------ ------------------------ VSM01 NClusterN1 3 SCAN1, SCAN2, SCAN3 NCluster::> vserver vscan on-access-policy show Policy Policy File-Ext Policy Vserver Name Owner Protocol Paths Excluded Excluded Status --------- --------- ------- -------- ---------------- ---------- ------ NCluster default_ cluster CIFS - - off CIFS VSM01 default_ cluster CIFS - - on CIFS
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ライセンス

ストレージ側からのFPolicyおよびオフボックスアンチウイルススキャンの操作には、追加ライセンスは必要ありません;この機能はONTAPベースパッケージに含まれています。 アンチウイルス保護ソフトウェアおよびFPolicyの高度な作業用のソフトウェアについては、追加のライセンスが必要になる場合があります。これは、各ベンダーとそのパートナーの担当者が明確にすることができます。

結論

NASをアンチウイルスシステムと統合する機能により、一方ではエンドクライアントの負荷を軽減できますが、すべてのクライアントのアンチウイルスデータベースを最新に保つことができないため、感染の潜在的な脅威も排除されます。 また、FPolicyは、企業環境での保存を目的としないファイルの記録を制限します。



PS

また、 セキュリティ強化のためのONTAPセキュリティ設定について説明しているドキュメント（NetApp ONTAP 9のセキュリティ強化ガイド）も参照してください 。



英語翻訳：

ONTAP＆Antivirus NAS保護



これには、後で公開されるHabraの記事へのリンクが含まれる場合があります 。

テキストのエラーに関するメッセージをLANに送ってください 。

反対の記事に関するコメント、追加、質問はコメントしてください 。