NetApp ONTAP и антивирусная защита NAS

    Системы хранения NetApp с прошивкой ONTAP поддерживают интеграцию NAS с антивирусом, для того чтобы файлы перед чтением/записью сначала проверялись, эта функция называется Off-box Anti-Virus Scanning. Она позволяет повысить уровень защиты корпоративных сред и сгрузить лишнюю нагрузку с рабочих станций. Так как поддержка антивирусных баз всех рабочих станций в актуальном состоянии может быть не выполнимой задачей. Поддерживаются продукты от:

    • Kaspersky
    • Symantec
    • Trend Micro
    • Computer Associates
    • McAfee
    • Sophos

    Кроме этого поддерживается расширенный функционал файл-скрининга (FPolicy), позволяющий ограничивать работы с файлами не только на основе их расширения, но и типа файла основываясь на заголовке внутри этого файла.

    Сегодня я хотел бы подробнее остановиться на интеграции ONTAP с CIFS(SMB) шарой и антивирусной системой McAfee. Которая в принципе похожим образом устроена и с другими антивирусными системами.



    1. Для настройки интеграции нам понадобится несколько компонент:
    2. Microsoft Windows Server 2008 и выше
    3. СХД с прошивкой ONTAP (на базе аппаратной платформы NetApp FAS или в виде виртуальной машины ONTAP Select или ONTAP Cloud в облаке Amazone/Azure)
    4. McAfee VirusScan Enterprise for Storage. Скачать VSEfS здесь
    5. Для сканирования используется SMB 2 и старше, версия 1.0 не поддерживается.
    6. NetApp ONTAP AV Connector. Скачать AV Connecor здесь

    Более подробно обращайтесь в матрицу совместимости.



    Схема взаимодействия антивируса при запросе от SMB клиента к NAS.

    Подготовка


    В соответствии с нижеприведённой схемой нужно установить и настроить все компоненты ПО, для интеграции с NAS.



    VSEfS

    Устанавливаем McAfee VSEfS, который может работать в двух режимах: как самостоятельный продукт или как продукт, управляемый McAfee ePolicy Orchestrator (McAfee ePO). В этой статье я рассмотрю режим работы «самостоятельный продукт». Для установки McAfee VSEfS понадобится уже установленные и настроенные:

    • McAfee VirusScan Enterprise (VSE). Скачать VSE здесь
    • McAfee ePolicy Orchestrator (ePO), не нужен если VirusScan используется как самостоятельный продукт

    SCAN-сервер

    Для начала создадим несколько SCAN серверов, чтобы балансировать нагрузку антивирусной проверки между ними. Каждый SCAN сервер будет установлен на Windows Server и включать следующие компоненты: McAfee VSE, McAfee VSEfS и ONTAP AV Connector. Для примера подготовим три таких сервера: SCAN1, SCAN2, SCAN3.

    AD

    Создаём пользователя scanuser в домене (в нашем примере домен «NetApp») с административными правами на серверах SCAN1, SCAN2, SCAN3.

    ONTAP

    Настроим ONTAP, создадим Cluster Management LIF и один VSM Management LIF. Включаем поддержку CIFS протокола и запускаем интеграцию с AD, создаём data-LIF'ы для доступа конечных пользователей к файловым шарам. Создаём файловую шару. Создадим пользователя scanuser для кластера и VSM, который будет аутентифицироваться в том же самом AD домене, что и SCANx сервера. Пускай Кластер будет доступен по менеджмент IP адресу с именем NCluster-mgmt, а менеджмент VSM IP адрес по имени VSM01-mgmt.

    NCluster::> network interface create -vserver NCluster  -home-node NCluster-01 -home-port e0M -role data -protocols none -lif NCluster-mgmt -address 10.0.0.100 -netmask 255.0.0.0
    NCluster::> network interface create -vserver VSM01 -home-node NCluster-01 -home-port e0M -role data -protocols none -lif VSM01-mgmt -address 10.0.0.105 -netmask 255.0.0.0
    
    NCluster::> domain-tunnel create -vserver VSM01
    NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver NCluster
    NCluster::> security login create -username netApp\scanuser -application ontapi -authmethod domain -role readonly -vserver VSM01

    ONTAP AV Connector

    на каждом SCAN-сервере устанавливаем ONTAP AV Connector и запускаем настройку, по окончанию установщика вбиваем имя пользователя и пароль:



    Если при приложении говорит «Access is denied», проверьте что UAC (Use Account Control) выключен, перезагрузите компьютер.

    Start → All Programs → NetApp → ONTAP AV Connector → Configure ONTAP Management LIFs
    В поле «Management LIF» вбиваем IP или DNS имя VSM или кластера: NCluster-mgmt или VSM01-mgmt.

    В поле «Account» Вбиваем имя и пароль пользователя AD домена: NetApp\scanuser. Нажимаем кнопку «Test», затем «Update» и «Save», если тест прошел удачно.



    McAfee Network Appliance Filer AV Scanner Administrator Account

    на каждом SCAN-сервере заходим как Администратора и запускаем: Windows taskbar — правой кнопкой миши на «McAfee menulet → Выбираем VirusScan консоль», в VirusScan консоли — открываем «Network Appliance Filer AV Scanner», далее идём на вкладку «Network Appliance Filer AV Scanner and Network Appliance Filers». В поле «This Server is processing scan request for these filers» создаём сервер при помощи кнопки «Add», в поле «имя сервера» вбиваем Значение «127.0.0.1» (не ONTAP!). Далее заполняем поля «Administrator Account», куда вписываем всё того же пользователя AD «scanuser», а в поле «Domain», отдельно от имени пользователя, вписываем домен, в нашем случае «NetApp».



    Возвращаемся к ONTAP

    И конфигурируем интеграцию: настраиваем off-box сканирование, включаем его, создаём и применяем политику сканирования:

    NCluster::> vserver vscan scanner-pool create -vserver VSM01 -scanner-pool POOL1 -servers SCAN1,SCAN2,SCAN3 -privileged-users NetApp\scanuser
    NCluster::> vserver vscan scanner-pool show
              Scanner    Pool                 Privileged   Scanner
    Vserver   Pool       Owner   Servers      Users        Policy
    --------  ---------- ------- ------------ ------------ -------
    VSM01    POOL1      vserver SCAN1, NetApp\scanuser    idle
                                 SCAN2,SCAN3
    
    NCluster::> vserver vscan scanner-pool show -instance
                                 Vserver: VSM01
                            Scanner Pool: POOL1
                          Applied Policy: idle
                          Current Status: off
               Scanner Pool Config Owner: vserver
    List of IPs of Allowed Vscan Servers: SCAN1, SCAN2, SCAN3
                List of Privileged Users: NetApp\scanuser
    
    NCluster::> vserver vscan scanner-pool apply-policy -vserver VSM01 -scanner-pool POOL1 -scanner-policy primary
    
    NCluster::> vserver vscan enable -vserver VSM01
    NCluster::> vserver vscan connection-status show
                          Connected Connected
    Vserver   Node     Server-Count Servers
    --------- -------- ------------ ------------------------
    VSM01    NClusterN1            3 SCAN1, SCAN2, SCAN3
    
    NCluster::> vserver vscan on-access-policy show
              Policy    Policy                            File-Ext   Policy
    Vserver   Name      Owner   Protocol Paths Excluded   Excluded   Status
    --------- --------- ------- -------- ---------------- ---------- ------
    NCluster    default_  cluster CIFS     -                -          off
              CIFS
    VSM01    default_  cluster CIFS     -                -          on
              CIFS
    

    Лицензии


    Для работы FPolicy и Off-box Anti-Virus Scanning, со стороны СХД не требуется каких-либо Дополнительных лицензий, этот функционал присутствует в базовой поставке ONTAP. Со стороны ПО антивирусной защиты и ПО для расширенной работы с FPolicy могут потребоваться дополнительные лицензии, что можно уточнить у соответствующих вендоров и их партнёров-представителей.

    Выводы


    Возможность интеграции NAS с антивирусной системой позволяет с одной стороны сгрузить нагрузку конечных клиентов, но и устраняет потенциальную угрозу заражения из-за невозможности поддерживания антивирусных баз всех клиентов в актуальном состоянии. А FPolicy ограничивает запись файлов, не предназначенных для хранения в корпоративной среде.

    PS
    Также обратите внимание на документ описывающий настройки безопасности ONTAP для усиления защиты (Security Hardening Guide for NetApp ONTAP 9).

    Перевод на английский:
    ONTAP & Antivirus NAS protection

    Здесь могут содержаться ссылки на Habra-статьи, которые будут опубликованы позже.
    Сообщения по ошибкам в тексте прошу направлять в ЛС.
    Замечания, дополнения и вопросы по статье напротив, прошу в комментарии.

    Комментарии 12

      +1
      Файлы сканируются после появления на файловом сервере? или на лету. Не нашел никакой информации о vsefs.
      Если на лету, какая должна быть конфигурация, чтобы работать с сервером можно было на скорости хотя бы 30-40мбайт/сек?
        0
        Здравствуйте. Есть варианты. Можно заставить на лету, можно апосля. Можно по записыванию нового файла, можно по чтению существующего файла.

        Более подробно настройка профиля сканирования описана в документе "ONTAP® Antivirus Configuration Guide" на странице 8.
          0
          Скорость работы — чем больше тем лучше. СХД, ей всёровно, хоть на 10 мбит/с, но вот конечным пользователям будет не всё-равно ;)

          В решениях такого класса, как правило используется 1Гбит/с или лучше 10Гбит/с подключение к скан серверам + достаточный пул скан-серверов, чтобы енд-юзер не испытывал задержек.
            +1
            размер пула серверов для утилизации хотя бы 0.5гигабита на запись пожалуйста.
            p.s. меня уже пугает слово пул серверов, не дороговато выходит?
              –1
              Скорость проверки зависит исключительно от антивирусной системы и количества серверов проверки. Подобные решения на базе аппаратных NAS хранилищ предназдачены для достаточно больших инфраструктур, где несколько выделенных серверов для проверки файлов не является чем-то большим, пугающим или черезмерным. Учтите также что вы можете вирртуализировать сервера проверки, а не выделять несколько физических серверов.
              Каждая из антивирусных систем имеет собственные рекомендации по системным требованиям и подбору вычеслительных ресурсов (Сайзинг). К примеру вот докумнет по сайзингу для McAfee и документ по минимальным системным требованиям для того же антивирусника (стр 11).
          +1
          Дмитрий, зачем Вы спамите в личных сообщениях?
            –3
            Я пишу статьи на хабре про СХД NetApp. Вы когда-то коментировали по теме нетапа, а аудитория по СХД не большая, вот я и написал личное сообщение.

            У немя просто проблема:
            Статья на хабре устаравает и через несколько дней уже нельзя за неё голосовать.
            Пока те, кому интерестно разчехляться, они уже не успевают её плюсовать.
            С другой стороны есть те кто постоянно минусует как только она появляется на хабре даже не читая статью.

            В результате если не разсылать, моя карма уходит в минус и я просто не смогу писать дальше.
            Ещё раз приношу свои извинения.
            +1
            > позволяет с одной стороны сгрузить нагрузку конечных клиентов, но и устраняет потенциальную угрозу заражения из-за невозможности поддерживания антивирусных баз всех клиентов в актуальном состоянии.

            В чём, собственно, сложность поддерживания а/в баз всех клиентов в актуальном состоянии?
            Все вендоры (ну всех не смотрел, но большинство) имеют тот или иной enterprise продукт с централизованным обновлением станций. Если уж локалка позволяет файлы на проверку гонять, то пару раз за час обновить сигнатуры — нагрузка ни о чем. И всякие «облачные» детекты есть у некоторых, если выход в инет есть — там обновление сигнатур не требуется вовсе.

            А вот «тупой» файловый сканер — это уже лет 10 как необходимое, но совершенно недостаточное решение для защиты от вредоносов. Есть зверьки, у которых вообще image'a, т.е исполняемого файла на ФС не существует, как такового.
              0
              Что же касается мысли о сложности поддержания актуальных антивирусных баз, то здесь имелись ввиду мобильные клиенты, которые иногда невозможно заставить обновиться потому что они в полях без интернета.

              Согласен в том что одно другого не отменяет.
                0
                Когда мобильные клиенты в полях без интернета, они не имеют возможности забирать файлы с защищённой СХД.
                Как мне кажется антивирусная защита схд необходима в очень ограниченном кол-ве кейсов…
                  0
                  Всем добрый вечер.

                  Вот вам кейс:
                  iPhone + Cisco AnyConnect + NetApp.
                  На iPhone поставить антивирус в систему нельзя — только как аппаликейшн и то с ограничениями.
                  Документы открывать с СХД я смогу и очень не хотелось бы получить какой-нибудь вирус в приложения на телефон.
                  0
                  В поле, как уже верно заметили, и СХД-шный антивирус не будет доступен.
                  При этом, кстати, у некоторых корпоративных а/в вендоров (от поддержки одного из которых Netapp воротит нос) для таких случаев есть «мобильный режим», когда для обновления баз не нужна локальная сеть компании — обновление баз происходит с общих серверов.
                  Так что аргумент ваш слабоват.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое