NetApp wprowadził w swoich macierzach z systemem ONTAP mechanizm monitorowania zachowań użytkowników podczas codziennej administracji. Jeśli zachowanie użytkownika w danym momencie odbiega od wzorców z przeszłości, operacja może wymagać dodatkowego uwierzytelnienia lub zostać całkowicie zablokowana.
Administratorzy mogą tworzyć reguły, przypisywać poziomy zaufania oraz ograniczać dostęp do poleceń, aby ustawić, kiedy określone działania użytkownika są dozwolone lub zabronione. Dynamiczna autoryzacja może być włączana zarówno na poziomie całego klastra, jak i dla poszczególnych obiektów “VM storage”.
Przykład działania
Trzech różnych użytkowników próbujących usunąć wolumen. Podczas próby wykonania tej operacji analizowana jest ocena ryzyka dla każdego użytkownika:
- Pierwszy użytkownik loguje się z zaufanego urządzenia, przy bardzo niewielkiej liczbie wcześniejszych niepowodzeń uwierzytelniania, co skutkuje niską oceną ryzyka. Operacja jest dozwolona bez dodatkowego uwierzytelniania.
- Drugi użytkownik loguje się z zaufanego urządzenia, ale z umiarkowanym odsetkiem wcześniejszych niepowodzeń uwierzytelniania, co skutkuje średnią oceną ryzyka. Przed wykonaniem operacji zostaje poproszony o dodatkowe uwierzytelnienie.
- Trzeci użytkownik loguje się z niezaufanego urządzenia i ma wysoki odsetek wcześniejszych niepowodzeń uwierzytelniania, co skutkuje wysoką oceną ryzyka. Operacja nie jest dozwolona.
Jak włączyć lub wyłączyć Dynamic Authorization?
Służy do tego polecenie security dynamic-authorization modify.
Więcej informacji na stronie z dokumentacją ONTAP.
Ten mechanizm dynamicznej autoryzacji może być używany w macierzach NetApp w celu zwiększenia bezpieczeństwa operacji krytycznych, takich jak zarządzanie wolumenami czy usuwanie danych. Jest dostępny w pakiecie Ontap ONE z każdą nową macierzą serii FAS, AFF, C-series.