Ansichten:
Trend Vision One Dateisicherheits-Container-Scanner kann in Verbindung mit NetApps ONTAP verwendet werden, um Dateien zu durchsuchen, die RPC-basierte Protokolle verwenden.
fs-ONTAPP-architecture=f17e7ac2-76e6-486a-ae50-1900c0454a50.png
Zugehörige Informationen

Voraussetzungen Übergeordnetes Thema

Sie benötigen Folgendes:
  • Funktionierender ONTAP-Cluster mit konfigurierten SVMs.
  • Windows Vscan-Server.
  • Kubernetes-Cluster mit dem Scanner-Dienst. Stellen Sie sicher, dass die RPC-Agent-Verwaltung mit dem entsprechenden Feature-Flag aktiviert ist. Für weitere Informationen siehe Einen containerisierten Scanner bereitstellen.
  • Netzwerkverbindung zwischen allen Komponenten.

NetApp ONTAP konfigurieren Übergeordnetes Thema

Prozedur

  1. Aktivieren Sie Vscan in der ONTAP-Verwaltungskonsole:
    1. Erstellen Sie den Scanner-Pool:
      vserver vscan scanner-pool create -vserver <svm_name> -scanner-pool <pool_name> -hostnames <vscan_server_hostname> -privileged-users <domain\user>
      Weitere Informationen finden Sie unter vserver vscan scanner-pool create.
    2. Wenden Sie eine Richtlinie auf den Scanner-Pool an:
      vserver vscan scanner-pool apply-policy -vserver <svm_name> -scanner-pool <pool_name> -scanner-policy primary
      Weitere Informationen finden Sie unter vserver vscan scanner-pool apply-policy.
    3. Vscan auf dem SVM aktivieren:
      vserver vscan enable -vserver <svm_name>
  2. Installieren Sie den NetApp ONTAP AV-Connector:
    1. Laden Sie den NetApp ONTAP AV-Connector von der NetApp-Website herunter.
    2. Installieren Sie den Connector auf Ihrem Windows Vscan-Server.
    3. Konfigurieren Sie den Connector mit:
      • ONTAP Management LIF oder Daten-LIF (SVMs) IP-Adresse
      • Geeignete Anmeldedaten für den Zugriff auf ONTAP

Konfigurieren Sie den containerisierten Scanner für die Unterstützung des ONTAP-Agenten Übergeordnetes Thema

:

Prozedur

  1. Aktivieren Sie das ontap-agent-Plugin für den Management Service mit der values.yaml-Datei.
    visiononeFilesecurity:
  management:
    plugins:
      - name: ontap-agent
        enabled: true
        configMapName: ontap-agent-config
        securitySecretName: ontap-agent-security
        jwtSecretName: ontap-agent-jwt
  2. Konfigurieren Sie Ihren Datenbankspeicher.
    • Das Diagramm kann den Management Service mit oder ohne die gebündelte PostgreSQL-Datenbank ausführen:
      • Standard (dbEnabled: false) – keine PostgreSQL-Objekte (StatefulSet, PVC, Service, Secret, StorageClass) werden erstellt. Verwenden Sie dies nur für zustandslose Tests oder wenn ein anderes Team eine Datenbank außerhalb dieses Charts bereitstellt und verbindet
      • Eingebettete Datenbank (dbEnabled: true) – Helm stellt das PostgreSQL StatefulSet bereit, macht es über einen internen ClusterIP Dienst zugänglich und stellt Ihnen persistenten Speicher zur Verfügung.
    • EKS-Cluster verfügen normalerweise bereits über eine EBS-gestützte StorageClass wie gp3. Nutzen Sie diese, indem Sie die mitgelieferte hostPath StorageClass deaktivieren und das PVC auf gp3 verweisen
      visiononeFilesecurity:
  management:
    dbEnabled: true
databaseContainer:
  storageClass:
    create: false          # reuse an existing EBS StorageClass
  persistence:
    storageClassName: gp3  # any EBS-backed StorageClass name works
    size: 100Gi
      Wobei gilt:
      databaseContainer.storageClass.create: false überspringt die Erstellung einer neuen StorageClass. Es wird eine bestehende StorageClass (EBS gp3, NFS, Ceph, etc.) verwendet, die durch databaseContainer.persistence.storageClassName referenziert wird.
    • Um AWS EBS für Ihre Speicherung zu verwenden, müssen Sie sicherstellen, dass:
      • AWS EBS CSI-Treiber ist installiert und nicht infiziert (kubectl get storageclass zeigt einen ebs.csi.aws.com Provisioner)
      • IAM-Rolle für den CSI-Treiber hat die standardmäßigen EBS-Berechtigungen
      • Der gewünschte StorageClass (gp3, gp2 usw.) existiert bereits; bei Bedarf erstellen
      • Namespace hat die Berechtigung, PVCs/PVs zu erstellen
        Weitere Informationen finden Sie im AWS EKS Storage Setup Guide.
  3. Den Scanner-Dienst und den Verwaltungsdienst mit Ingress bereitstellen (zum Beispiel AWS EKS-Bereitstellung)
    1. Konfigurieren Sie den gemeinsamen Host (Empfohlen):
      Die Scanner- und Verwaltungsdienste können denselben Hostnamen verwenden, um Infrastrukturkosten zu senken und die DNS-Verwaltung zu vereinfachen. Beim Teilen eines Hosts:
      • Der Scanner-Dienst verarbeitet den gesamten Datenverkehr zum Stammverzeichnis (/)
      • Der Verwaltungsdienst bearbeitet WebSocket-Verkehr zum /ontap-Pfad
      • Der Ingress-Controller priorisiert den längeren /ontap-Pfad beim Routen von Anfragen
      Hinweis
      Hinweis
      Die Hauptanforderungen für den gemeinsamen Host sind:
      • Beide Ingresses müssen dieselbe group.name-Annotation (AWS ALB) verwenden, um einen einzelnen Load Balancer zu teilen
      • Der Verwaltungsdienst muss backend-protocol: HTTP1 (nicht HTTP2) für die Kompatibilität mit WebSocket-Upgrades verwenden
    2. Bearbeiten Sie die values.yaml-Datei für den Scanner-Dienst:
      scanner:
...
  ingress:
    enabled: true
    className: "alb"
    annotations:
      "alb.ingress.kubernetes.io/backend-protocol-version": "GRPC"
      "alb.ingress.kubernetes.io/group.name": "<lb-group-name>"
      "alb.ingress.kubernetes.io/scheme": "internet-facing"
      "alb.ingress.kubernetes.io/certificate-arn": "<certificate-arn>"
      "alb.ingress.kubernetes.io/target-type": "ip"
    hosts:
      - host: "<custom-domain-name>"
        paths:
          - path: /
            pathType: Prefix
    tls: []
    3. Bearbeiten Sie die values.yaml-Datei für den Management-Dienst:
      managementService:
  ingress:
    enabled: true
    className: "alb"
    annotations:
      "alb.ingress.kubernetes.io/backend-protocol-version": "HTTP1"
      "alb.ingress.kubernetes.io/group.name": "<lb-group-name>"
      "alb.ingress.kubernetes.io/scheme": "internet-facing"
      "alb.ingress.kubernetes.io/certificate-arn": "<certificate-arn>"
      "alb.ingress.kubernetes.io/target-type": "ip"
    hosts:
      - host: "<custom-domain-name>"
        paths:
          - path: /ontap
            pathType: Prefix
    tls: []
    4. Aktualisieren Sie mit der angepassten values.yml-Datei.
      helm upgrade my-release visionone-filesecurity/visionone-filesecurity -f values.yaml -n visionone-filesecurity
    5. Konfigurieren Sie das DNS über Route53:
      • Überprüfen Sie den ALB-DNS-Namen: 
        kubectl get ingress -n visionone-filesecurity
      • Erstellen Sie einen neuen Datensatz:
        • Name: <custom-domain-name>
        • Typ: A (Alias) für ALB
        • Wert/Ziel: Der ALB-DNS-Name
    6. Testen Sie den Endpunkt für Scanner-Dienst und Verwaltungsdienst auf dem Vscan-Server
      • Für den Verwaltungsdienst:
        • Verwenden Sie websocat, um den Websocket zu testen (erwartete Fehlermeldung für unbefugt(401), da wir die Verbindung ohne Auth-Token testen)
          websocat --exit-on-eof wss://<custom-domain-name>/ontap
      • Verwenden Sie TMFS-CLI, um den Scan zu testen (Sie benötigen keinen API-Schlüssel, um mit dem Container-Scanner zu scannen.)
  4. Generieren Sie das Onboarding-Token für den RPC-Agenten im Management-Dienst:
    1. Greifen Sie auf den Verwaltungsdienst innerhalb Ihres containerisierten Scanner-Kubernetes-Clusters zu.
      kubectl exec -it <management service pod> -n <namespace> -- bash
    2. Erstellen Sie einen Agenten-Slot für den RPC-Agenten:
      clish agent create --name <agent-name>
    3. Generieren Sie ein Onboarding-Token für die RPC-Agent-Authentifizierung.
      clish agent onboarding-token issue --instance <agent-name>
  5. RPC-Agent installieren:
    1. Laden Sie das RPC-Agent-Installationsprogramm (msi) herunter.
    2. Auf dem Windows Vscan-Server installieren.
    3. Konfigurieren Sie den RPC-Agenten mit:
      • Generiertes Onboarding-Token
      • Scanner-Dienst-Endpunkt
      • Endpunkt des Verwaltungsdienstes
  6. Konfigurieren Sie den RPC-Agenten mit dem Verwaltungsdienst:
    1. Greifen Sie auf den Verwaltungsdienst innerhalb Ihres containerisierten Scanner-Kubernetes-Clusters zu.
    2. Überprüfen Sie den Verbindungsstatus des Agents:
      clish agent show --instance <agent-name>
    3. Konfigurieren Sie die privilegierten Benutzeranmeldedaten (Benutzername/Passwort) für den RPC-Agenten.
      clish agent credential modify --instance <agent-name>

Überprüfen Sie die Bereitstellung Übergeordnetes Thema

Prozedur

  1. Den Vscan Status auf der ONTAP Management-Konsole überprüfen:
    vserver vscan connection-status show-all
  2. Überprüfen Sie die RPC-Agentenverbindung im Verwaltungsdienst
  3. Testen Sie die Dateiprüfung, indem Sie Testdateien mit EICAR-Signaturen erstellen, um zu überprüfen, ob sie gesperrt werden.

Bereitstellungs-FAQ Übergeordnetes Thema

What do I do if the agent connection state shows Disconnected(N) on Management Service CLI ?
Fehlerbehebung
  1. Überprüfen Sie die Netzwerkverbindung - Stellen Sie sicher, dass der Vscan-Server den Management Service im Containerized Scanner-Cluster erreichen kann
  2. Agent-Protokolle überprüfen - Wenn die Netzwerkverbindung stabil ist, überprüfen Sie die Agent-Protokolle im Windows-Ereignisprotokoll für zusätzliche Fehlerbehebungsinformationen
  3. Unterbrechung während der Agenteninstallation:
    1. Durchsuchen Sie die Protokolle nach Failed to connect using onboard token und überprüfen Sie die Fehlermeldung
    2. Wenn der Fehler auf ein abgelaufenes Token hinweist, stellen Sie ein neues Onboarding-Token aus und installieren Sie den Agenten neu
  4. Trennung nach dem Ausführen des Agenten:
    1. Durchsuchen Sie die Protokolle nach Failed to connect using device token und überprüfen Sie die Fehlermeldung
    2. Wenn der Fehler auf ein abgelaufenes Token hinweist, fahren Sie mit der erneuten Registrierung des Agenten fort (siehe unten)
How do I re-onboard an agent?
  1. Beenden Sie den Ontap-Agent-Dienst (v1fs-ontap-agent) auf dem Vscan-Server
  2. Setzen Sie den Agenten erneut ein und stellen Sie ein neues Onboarding-Token über die Management Service CLI aus:
    clish agent re-onboard --instance <agent-name>
  3. Ändern Sie die config.yaml-Datei im Installationsordner des Ontap-Agenten (Standard: C:\Program Files\v1fs-ontap-agent\)
  4. Entfernen Sie den Schlüssel device_token und seinen Wert
  5. Fügen Sie den Schlüssel onboarding_token mit dem neu ausgestellten Token hinzu:
    onboarding_token: eyJh......
  6. Starten Sie den Ontap-Agentendienst (v1fs-ontap-agent)
  7. Überprüfen Sie den Verbindungsstatus des Agenten mithilfe der Management Service CLI
  8. Nachdem der Agent erfolgreich verbunden ist, geben Sie die Anmeldedaten erneut ein mit:
    clish agent credential modify --instance
    <agent-name>