תגית: Multi Admin Varification

קצת חובות ומניעת מחיקות

אז אני באמת בחוב מאד גדול לא כתבתי כאן הרבה מאד זמן ויש הרבה מה לכסות.

עוד באוקטובר כתבתי לכם על חצי המרתון הראשון שלי ומאז כבר רצתי עוד כמה כולל את חצי המרתון "הרשמי" הראשון שלי במסגרת מרתון תל אביב. היה קשה ונתפסו לי שרירים ברגליים אז פספסתי את זמן המטרה שלי אבל עדיין עשיתי שיא אישי אז יצאתי די מרוצה מהסיפור. מה שכן, מאז מרתון תל אביב אני קצת במשבר פדלאי ולא מאד מצליח לקום מהספה לריצות כמו שיצאתי קודם, אני בימים אלו מנסה להתעורר מחדש, אעדכן.

באותו פוסט כתבתי לכם גם על התוכנית לטוס לכנס הטכני הפנימי שלנו באוסטין ועל השאיפה לנסוע במונית האוטונמית של Waymo אז היה כיף גדול באוסטין, הברביקיו פשוט משוגע ואפילו יצא לנו לצאת מחוץ לעיר לראות רודיאו אבל מסתבר בווימו חסומות למי שאינו תושב ארצות הברית אז לא יצא לי לבדוק את הפלא הזה.

מאז שחזרתי מאוסטין הייתי שקוע עד צוואר ב POC מאד גדול ומורכב ונזכרתי בפוסט הזה שכתבתי בזמנו על תכנון נכון של POC ואחר כך את הפוסט הזה על איך נראה POC שמשתבש עוד משלב הטיסה אל ה POC.

הPOC הנוכחי עסק כולו בפתרון הענן שלנו, NC2, על גבי תשתיות המחשוב של AWS. היה מאד מעניין לחפור לעומק ולראות שמרבית האתגרים היו בדיוק אבל בדיוק בדיוק אותם אתגרים כמו בבית בתשתיות מחשוב On_prem, תקשורת בין צוותים, תכנון ותיאום ציפיות, פתיחת פורטים ואיך לא איך לא המון ענייני DNS.

בהקשר הזה של NC2 זה מאד כיף לחלוק שבשבוע שעבר הוכרזה רשמית גם תמיכה על גבי תשתיות GCP ועכשיו יש לנו סידרה מלאה עבור שלושת ספקיות הענן הגדולות. אפשר למצוא כאן את ההכרזה הרשמית מצד גוגל וכאן את ההכרזה הרשמית מהצד שלנו בנוטניקס.

בפוסט האחרון כתבתי קצת על חידושים לא ממש חדשים והבטחתי להמשיך עם זה אז רציתי לדבר על מנגנון האישורים להגנה מפני מחיקת סנפשוטים. כמובן שמנגנון האישורים יכול לחול על דברים נוספים אבל זה כנראה המקום הכי נפוץ. כלל הסנפשוטים שלנו הם מסוג immutable כלומר את תוכן הסנפשוט לא ניתן למחוק או לשנות אבל אם יש לנו הרשאות מתאימות אנחנויכולים למחוק את הסנפשוט עצמו וכאן בא המנגנון להגן עלינו. אנחנו יכולים לקבוע מנגנון אישורים כזה שפעולה של מחיקת סנפשוטים תצטרך אישור של יותר ממנהל אחד ככה שגם אם יש תוקף מיומן ברשת שהשיג לעצמו הרשאות גבוהות הוא לא יכול לפעול לבד.

אז צריך כמובן לאפשר את מנוע ניהול ה Policy:

אחרי שאפשרנו את מנוע הניהול אפשר לייצר מדיניות אישורים

אפשר לייצר יותר ממאשר אחד ואפשר לייצר יותר מסט מאשרים אחד:

במסגרת המדיניות קובעים גם תוקף לבקשה ומרגע שנוצרה בקשה למחיקה של סנפשוט שחלה עליו מדיניות האישורים שלנו מתחיל מונה זמן לרוץ במסגרתו כל המאשרים שלנו צריכים לאשר את הפעולה.

מי שרוצה לראות את האפשורת הזו בפעולה, מוזמן לגשת לסרטון הזה שמדגים גם את היכולת להעביר את בקשת האישור באמצעות מייל, פיצ'ר מאד נחמד!

אז זהו להפעם.

בברכת בשורות טובות,

שישובו כל החטופים והחטופות במהרה אמן וכל החיילים והחיילות בריאים ושלמים!

שלכם כרגיל,

ניר מליק

מה חדש ב ONTAP 9.12.1

הפוסט הקודם שלי התמקד ב BlueXP, והיה יותר אסטרטגי. הפעם אני רוצה להיות קצת יותר טקטי ולרדת חזרה לקרקע ולעדכן אתכם במה חדש בגרסה העדכנית ביותר של מערכת ההפעלה של נטאפ ONTAP 9.12.1 שהוכרזה גם היא במסגרת אינסייט אך נשכחה קצת במסגרת חגיגות החוויה הכחולה.

כמובן שזו סקירה לא מלאה אלא רק של ההיי-לייטס והסקרנים מוזמנים לקרוא את הrelease notes.

אבטחת מידע

שדרגנו את יכולת ה Onbox Anti-Ransomware. האיומים משתכללים כל הזמן ואיתם צריך לשכלל את מנגנוני ההגנה.

שדרוג ראשון שהוספנו כבר בגרסה הקודמת זה MAV או multi admin verification. כמו שרובכם זוכרים, הסנפשוטים של נטאפ הם מסוג immutable כך שלא ניתן לשנות או למחוק את התוכן שלהם. מנגנון MAV מקשיח אותם ומוסיף את היכולת לקבוע כי כל פעולה של מחיקת סנפשוט מחייבת אישור של יותר מאדמין אחד, כך, קצת בדומה לנוהל שיגור בצוללת בסרטים, צריך יותר מממפתח אחד לירות טיל או יותר ממנהל אחד למחוק מידע חיוני בארגון.

אנחנו קושרים את זה ביחד עם העדכון של snaplock שיוצא בגרסה הקרובה שיאפשר לנו לנעול סנשפוטים גם בצד המקור ולא רק בצד העותק המרוחק כפי שהיה עד היום. בכל מקום שבו אנו חשופים לרגולציה קשיחה כדוגמת SEC17 או כל מקום בו אנחנו רוצים ליישם time lock על מידע, נשתמש בסנפלוק וכל מקום בו אנחנו רק רוצים להקשיח את ההגנה שלנו מפני מחיקה זדונית, אפשר ליישם MAV .דרך אגב, זה כנראה מקום טוב להזכיר שסנפלוק כבר לא מחייב אגריגייט יעודי ובכך שיפרנו משמעותית את הגמישות.

נגעתי בזה בפוסט הקודם אבל שווה לזכור שהוספנו לתוך BlueXP וכלי ניהול אחרים דשבורד יעודי לאבטחת מידע שמוזן גם על ידי מידע שנאסף מ autosupport, משירותים כמו Cloud Secure וכו' על מנת לאפשר לנו שקיפות כלפי מוכנות הארגון שלנו לאירועים.

מתחת לפני השטח הוספנו MFA  ל CLI ושידרגנו את היכולת לשמר לוגים כדי להקשות על העלמה של פעולות זדוניות ככה שה audit trail שלנו שלם ומלא יותר.

בפוסט שפרסמתי בדיוק לפני שנה דיברתי על F-Policy ממשק  F-Policy חדש עם מעל 3000 סיומות קבצים בעיתיות וכמובן שאפשר להוסיף סיומות יחודיות או חדשות. הממשק הזה הוא כמובן ממשק GUI שמעדכן את יכולות ה CLI שהיו עד היום עבור כלי זה, מתוך אותה תפיסה של החוויה הכחולה שרוצה לאפשר לנו לצרוך ולנהל שירותים גם בלי "לדעת נטאפ" ובלי להתחבר ישירות למערכות לנהל אותן. זו יכולת מאד חזקה, חינמי מבחינת רישוי ותקורת ביצועים ולא מספיק מאיתנו משתמשים בה.

ביצועים

כמו בכל גרסה כללנו שיפורי ביצועים משמעותיים ואחרי שבפעם הקודמת התמקדנו בעולמות ה SAN, הפעם השיפור המרכזי הוא בעולם ה NAS וספציפית NFS בעיקר באמצעות שדרוג נוסף ליכולת שלנו למקבל תהליכים במערכות.

במסגרת 9.12 אנחנו מוסיפים גם גידול משמעותי בכמות ה Volums שנתמכת בקלאסטר, ומדובר בעליה של סדרי גודל, ובאותה נשימה הגדלנו משמעותית גם את הגודל המקסימלי של כל Volume וכל LUN. השיפור בכמות הווליומים משמעותי ללקוחות קונטיינרים או לקוחות שמאמצים VVoL והגודל המקסימלי של Volume/LUN  רלוונטי יותר ללקוחות הקצת יותר מסורתיים שלנו.

ללקוחות שמאמצים את FlexGroup על מנת ליצור מרחבי אחסון עוד יותר גדולים מאשר ה Volume הגדול ביותר שלנו או על מנת לפרוס את עומסי העבודה בין הבקרים בקלאסטר, הכנסנו יכולת רידוד אוטומטית על מנת לשפר עוד יותר את המנגנונים שמאפשרים לנו "לשטח" את המידע לרוחב הGroup. התהליך נעשה באופן אינטליגנטי ולא סתם מרדד אלא מנתח את היחס בין נפח לעומס עבודה והסיבה ליצירת חוסר האיזון ויודע להבדיל בין מקרה למקרה. אם הזכרתי למעלה SnapLock וכאן FlexGroups אז כדאי להזכיר כמובן שמעכשיו הם נתמכים ביחד בצורה מלאה יותר.

גמישות

כבר שנים שאנחנו מאפשרים NFS+SMB וזה זמן מה שנחנו תומכים ב S3, ב 9.12 אנחנו מוסיפים את היכולת לגשת לאותו מידע גם כקובץ וגם כאובייקט.

שיפרנו גם את היכולת לנייד SVM  שלם בין מערכות וקלאסטרים, תלוי פרוטוקול יש מקרים שבהם הסשן אפילו לא ירצד ויש מקרים שבהם הסשן של הלקוח יתנתק אבל ה Share נשאר חי והלקוח יכול להתחבר מייד, ברוב המקרים הקליינט של הלקוח יעשה את זה עבורו באופן אוטומטי ומיידי. יעיל במקרה שצריך להזיז סביבה שלמה נניח בין מערכות SSD למערכות NL-SAS ולהיפך.

גם ה FlexCache הישן והמוכר עובר שדרוג משמעותי בגרסה 9.12. אם בעבר הכלי הזה נועד ספציפית להאצה של ביצועי קריאה בעותקים מרוחקים אבל כתיבה היתה מתאגרת כי היה צריך לכתוב ישירות לעותק המקורי, המרוחק, עכשיו אנחנו מאפשרים לנהל נעילות ברמה טובה יותר ומאפשרים לבצע גם את הכתיבות בעותק המרוחק ולתת למערכות ברקע לנהל ביניהן את סנכרון ההעתקים כך שהפיצ'ר הזה יכול היום לענות לאתגרים נוספים בסביבות מבוזרות.

אני מרגיש שהכנסתי כאן הרבה מאד מידע וזה זמן טוב לעצור. למי שמעדיף להאזין לפודקסט במקום לקרוא:

מקווה שנהנתם וכמו תמיד אשמח לשמוע מה דעתכם,

שלכם,

ניר מליק