Merhaba teknoloji meraklıları!
Depolama dünyasında güvenliğin ne kadar kritik olduğunu hepimiz biliyoruz. Yanlışlıkla yapılan bir silme işlemi veya kötü niyetli bir yöneticinin sebep olabileceği veri kaybı, kabus gibi senaryolardır. İşte bu noktada NetApp ONTAP, sistemlerinizi daha da güvenli hale getirmek için harika bir özellik sunuyor: Multi-Admin Doğrulaması (MAV)
ONTAP 9.11.1 sürümünden itibaren kullanılabilen MAV, sistem yöneticilerinin belirli veri kesintili eylemleri, en az bir başka yöneticinin onayı olmadan gerçekleştirmesini engeller1. Peki, bu özellik nasıl çalışıyor ve işletmeniz için neden önemli olabilir? Hadi daha yakından inceleyelim!
Multi-Admin Doğrulaması (MAV) Nasıl Çalışır?
MAV, kural kümeleri oluşturarak ve bu kural kümeleriyle ilişkilendirilen yönetici grupları tanımlayarak işlev görür. Bir komut veya GUI işlemi, bu kural kümelerinden birine dahil edildiğinde, eylem tetiklendiğinde (örneğin, bir birimin silinmesi gibi) beklemede durumuna alınır2. Diğer bir MAV grup yöneticisi eylemi onayladığında, asıl istek sahibi işlemi gerçekleştirebilir.
ONTAP 9.11.1 itibarıyla MAV ile koruyabileceğiniz bazı önemli işlemler şunlardır:
- cluster peer delete
- vserver peer delete
- volume snapshot delete
- volume delete
- volume flexcache delete
- secuirty login password*
- security login unlock*
- event config modify*
- set -privilege diagnostic
- security login create
- security login modify
- system mode run
- system node systemshell
- volume snapshot autodelete modify
- volume snapshot restore
- volume snapshot policy create
- volume snapshot policy modify
- volume snapshot add-schedule
- volume snapshot modify-schedule
- volume snapshot remove schedule
Önemli bir nokta: MAV sadece tam yönetici haklarına sahip personel için değil, uygun erişim ayrıcalıklarına sahip tüm sistem yöneticileri için geçerlidir. Bu, küçük bir organizasyonda potansiyel olarak yıkıcı eylemleri iki yönetici arasında çapraz kontrol etmek için tek bir grup oluşturmak kadar, büyük bir organizasyonda veri silme sorumluluğunu belirli bir “uyumluluk grubu”na devretmeye kadar özelleştirilebilir.
MAV’ı CLI Üzerinden Yapılandırma
CLI (Komut Satırı Arayüzü) üzerinden MAV kurmak oldukça basittir
İlk adım MAV onay grubu oluşturmaktır:
security multi-admin-verify approval-group create -vserver <admin SVM name> -name <MAV group name> -approvers <comma separated list of admin accounts> -email <comma separated list notification emails>
MAV’ı Etkinleştirme
security multi-admin-verify modify -approval-groups <approval group(s)> -enabled true
Üçüncü adım onay kurallarını tanımlamaktır
security multi-admin-verify rule create -operation <"protected_operation">
“Protected_operation” yukarıda bahsedilen kurallardan biridir (örneğin, hacim silme işlemi gibi). Görünürde bir kural gruplaması olmadığından, sadece bağımsız kurallar yığını şeklindedir; bu nedenle her işlem için bu komutu ayrı ayrı çalıştırmanız gerekir.
Buna ek olarak, komutlara belirli bayrakları tanımlamak için -query <operation_subset> parametresi de eklenebilir; örneğin, bir anlık görüntüyü -force true bayrağıyla silerken. Komut ayrıca -vserver, -query, -required-approvers, -approval-groups, -execution-expiry ve -approval-expiry gibi ek bayraklarla da genişletilebilir.
CLI Onay Süreci
MAV korumalı bir komutu CLI aracılığıyla çalıştırmayı denediğinizde şu mesajı alırsınız…
Warning: This operation requires multi-admin verification. To create a verification request use "security multi-admin-verify request create".
Would you like to create a request for this operation? (y|n):y’ye basıldığında şu yanıt elde edilir…
Error: command failed: The security multi-admin-verify request (index #) is auto-generated and requires approval.
indeksi, diğer yöneticilerin referans olarak kullanabileceği iş referans numarası olacaktır.
Diğer admin kullanıcısının yapması gereken adım
security multi-admin-verify request show <index #>
Çıktı size isteğin ayrıntılarını gösterecektir; işlem, işlem özellikleri, kimin talep ettiği vb.
İşlem yapmak için şunu çalıştırın:
security multi-admin-verify request approve/veto/delete <index #>
Multi-Admin Verification, veri güvenliği için alınabilecek en önemli önlemlerden biridir ve NetApp ONTAP üzerinde bu özelliği etkinleştirmek son derece kolaydır. Bu yazıda paylaşılan adımlar sayesinde, yöneticilerin sadece birkaç komutla sistemlerine ek bir koruma katmanı getirmesi mümkündür. Unutulmamalıdır ki, güçlü bir altyapı sadece performansla değil, aynı zamanda bilinçli güvenlik politikalarıyla da inşa edilir. MAV gibi özellikleri hayata geçirmek, proaktif ve sürdürülebilir bir güvenlik yaklaşımının temelini oluşturur. Bir sonraki yazıda görüşmek üzere!
