Dell EMC PowerStore Guide de configuration de la sécurité 1.x July 2020 Rév.
Remarques, précautions et avertissements REMARQUE : Une REMARQUE indique des informations importantes qui peuvent vous aider à mieux utiliser votre produit. PRÉCAUTION : Une PRÉCAUTION indique un risque d'endommagement du matériel ou de perte de données et vous indique comment éviter le problème. AVERTISSEMENT : Un AVERTISSEMENT indique un risque d'endommagement du matériel, de blessures corporelles ou même de mort. © 2020 Dell Inc. ou ses filiales. Tous droits réservés.
Table des matières Ressources supplémentaires............................................................................................................5 Chapitre 1: Authentification et accès................................................................................................ 6 Authentification et gestion des comptes d’utilisateur, des rôles et des privilèges........................................................6 Gestion par défaut des paramètres d’usine........................................
Data at Rest Encryption......................................................................................................................................................37 Activation du chiffrement...................................................................................................................................................37 État du chiffrement..............................................................................................................................................
Préface : Dans le cadre d’un effort d'amélioration, des révisions régulières des matériels et logiciels sont publiées. Certaines fonctions décrites dans le présent document ne sont pas prises en charge par l’ensemble des versions des logiciels ou matériels actuellement utilisés. Pour obtenir les informations les plus récentes sur les fonctionnalités des produits, consultez les notes de mise à jour des produits.
1 Authentification et accès Ce chapitre contient les informations suivantes : Sujets : • • • • • • • • • • • • • • Authentification et gestion des comptes d’utilisateur, des rôles et des privilèges Certificats Communication sécurisée entre des appliances PowerStore au sein d’un cluster Communication sécurisée pour la réplication et l’importation de données Prise en charge de vSphere Storage API for Storage Awareness authentification CHAP Configuration du protocole CHAP Accès SSH externe Configuration de l
Type de compte Nom d'utilisateur Mot de passe Privilèges REMARQUE : L’utilisateur de maintenance existe pour l’accès à Secure Shell (SSH). Toutefois, vous ne pouvez pas vous connecter à PowerStore Manager à l’aide de l’utilisateur de maintenance. Règles des sessions Les sessions exécutées sur le cluster présentent les caractéristiques suivantes : ● Expiration après une heure. REMARQUE : L’utilisateur est automatiquement déconnecté du cluster après une durée d’inactivité de session d’une heure.
Ne modifiez pas le mot de passe ESXi par défaut tant que la configuration initiale du cluster n’est pas terminée. Pour plus d’informations sur la modification d’un mot de passe ESXi, reportez-vous à la documentation de VMware ESXi. PRÉCAUTION : Il est essentiel que vous ne perdiez pas le mot de passe ESXi. Si ESXi tombe en panne et que vous n’avez pas de mot de passe, l’appliance doit être réinitialisée.
Tâche Opérateur Administrateur VM Administrateur de sécurité Administrateur du stockage Administrateur Afficher les éléments suivants : ● ● ● ● ● ● ● ● Alertes de systèmes de fichiers Liste des serveurs NAS Liste des systèmes de fichiers Liste des quotas d’utilisateurs de fichiers Liste des routes d’interfaces de fichiers Liste des interfaces de fichiers Liste des partages SMB Liste des exportations NFS Afficher les éléments suivants : ● Liste des serveurs de fichiers DNS ou un serveur DNS spécifié
Tâche Opérateur Ajouter/modifier/supprimer/ pinguer un serveur NAS spécifié, ou charger des mots de passe, des hôtes ou des groupes sur un serveur NAS spécifié Afficher le mot de passe ou les hôtes d’un serveur NAS spécifié Ajouter un système de fichiers ou modifier/supprimer un système de fichiers spécifié sur un serveur NAS existant Ajouter un clone ou un snapshot à un système de fichiers spécifié, actualiser/restaurer un système de fichiers spécifié, ou actualiser le quota d’un système de fichiers spéc
Tâche Opérateur Administrateur VM Administrateur de sécurité Administrateur du stockage Administrateur Kerberos, LDAP, NDMP ou NIS spécifié Charger un fichier keytab Kerberos Télécharger un fichier keytab Kerberos Charger un fichier de configuration LDAP ou un certificat LDAP Télécharger un fichier de certificat LDAP Gestion du compte d’utilisateur en fonction des privilèges du rôle Un utilisateur disposant d’un rôle d’administrateur ou d’administrateur de la sécurité peut réaliser les opérations sui
À propos de cette tâche Dans le cas d’une appliance PowerStore T model, la méthode principale de réinitialisation des mots de passe d’administrateur ou de maintenance consiste à utiliser un lecteur USB. Les systèmes de fichiers pris en charge sont les suivants : FAT32 et ISO 9660. REMARQUE : Pour réinitialiser le mot de passe lorsque l’appliance est en mode maintenance, suivez la procédure ci-dessous, à cette différence près : appliquez le processus de réinitialisation du disque USB à chaque nœud.
image à partir d’un système Linux à l’aide de l’une des commandes tactiles suivantes, ou des deux, en fonction des mots de passe qui doivent être réinitialisés : mkdir iso touch iso/admin touch iso/service mkisofs -V RSTPWD -o reset.iso iso REMARQUE : L’image ISO reset.iso doit se trouver sur un datastore pour pouvoir être montée en tant que CD virtuel à partir de vSphere.
Affichage des certificats À propos de cette tâche Les informations suivantes s’affichent dans PowerStore Manager pour chaque certificat stocké sur l’appliance : ● ● ● ● ● ● ● Service Type Scope Issued by Valid Valid to Issued to REMARQUE : Utilisez l’API REST ou l’interface de ligne de commande pour afficher des informations supplémentaires sur les certificats. Pour afficher les informations du certificat, procédez comme suit : Étapes 1. Lancez PowerStore Manager. 2.
Prise en charge de vSphere Storage API for Storage Awareness vSphere Storage API for Storage Awareness (VASA) est une API de détection du stockage définie par VMware et indépendante du fournisseur. Un fournisseur VASA comprend plusieurs composants qui travaillent en coopération pour traiter les demandes entrantes d’API VASA.
enregistré. Un fournisseur VASA génère des ID uniques pour les objets d’entité de stockage et vCenter Server utilise ces ID pour demander des données concernant une entité spécifique. Un fournisseur VASA utilise les certificats SSL et l’ID de session VASA pour valider les sessions VASA. Une fois la session établie, un fournisseur VASA doit valider à la fois le certificat SSL et l’ID de session VASA associés à chaque appel de fonction émis à partir de vCenter Server.
Vous ne pouvez pas utiliser le même mot de passe pour tous les initiateurs d’un hôte. Des détails spécifiques sur la façon de définir la configuration CHAP d’un hôte externe varient. Pour utiliser cette fonctionnalité, vous devez vous familiariser avec le système d’exploitation de l’hôte et la procédure de configuration. REMARQUE : L’activation du CHAP une fois que les hôtes sont configurés sur le système est une action perturbatrice pour les hôtes externes.
Sessions SSH Les sessions de l’interface de maintenance SSH PowerStore sont gérées en fonction des paramètres définis par le client SSH. Leurs caractéristiques sont déterminées par les paramètres de configuration du client SSH. Mot de passe du compte de maintenance Le compte de maintenance est un compte que le personnel de maintenance peut utiliser pour exécuter des commandes Linux de base. Lors de la configuration initiale de l’appliance, vous devez modifier le mot de passe de maintenance par défaut.
NFS sécurisé NFS sécurisé est l'utilisation de Kerberos pour authentifier les utilisateurs ayant NFSv3 et NFSv4. Kerberos assure l'intégrité (signature) et la confidentialité (chiffrement). Il n'est pas nécessaire d'activer les options d'intégrité et de confidentialité. Il s'agit d'options d'exportation NFS. Sans Kerberos, le serveur s'appuie entièrement sur le client pour authentifier les utilisateurs : le serveur fait confiance au client.
Création des informations d'identification Lorsqu’un utilisateur se connecte au système, il présente uniquement son entité de sécurité, soit user@REALM, qui est extraite du ticket Kerberos. Contrairement à la sécurité AUTH_SYS, l’entité de sécurité n’est pas incluse dans la demande NFS. La partie utilisateur (avant le @) est extraite de l'entité de sécurité, puis utilisée pour rechercher L'UID correspondant dans l'UDS.
Mappage utilisateur Dans un contexte multiprotocole, un utilisateur Windows doit être mis en correspondance avec un utilisateur UNIX. Toutefois, un utilisateur UNIX doit être mappé à un utilisateur Windows uniquement lorsque la politique d'accès est Windows. Ce mappage est nécessaire pour que la sécurité du système de fichiers puisse être exécutée, même si elle n'est pas native dans le protocole.
a. Les bases de données du groupe local des serveurs SMB du NAS sont recherchées pour le SID. Si le SID est trouvé, le nom Windows associé est le nom d'utilisateur local, ainsi que le nom du serveur SMB. b. Si le SID est introuvable dans la base de données du groupe local, le contrôleur du domaine est recherché. Si le SID est trouvé, le nom Windows associé est le nom d'utilisateur. Si le SID ne peut pas être résolu, l’accès est refusé. 3. Le nom de Windows est traduit dans un nom UNIX.
SID Dans secmap secmap ? Oui Dans les fichiers locaux ou UDS ? UID et GID principal Non Dans la DB du groupe local ? Non UID et GID principal Oui UID et GID principal Oui UID et GID principal Non Oui Nom Windows utilisé pour l'accès SMB uniquement Mappage automatique ? Non Dans le Contrôleur de domaine ? Oui Non Oui Nom Windows Dans ntxmap ? Oui Nom UNIX Non Compte UNIX par défaut ? Non Nom Windows = Nom UNIX SID inconnu Accès refusé Échec du mappage Accès refusé Figure 1.
Mappage UID à SID La séquence suivante est le processus utilisé pour résoudre un UID dans un mappage SID : 1. secmap est recherché pour l'UID. Si l'UID est trouvé, le mappage SID est résolu. 2. Si l'UID est introuvable dans secmap, le nom Windows associé à l'identifiant UID doit être trouvé. a. L'UDS (serveur NIS, serveur LDAP ou fichiers locaux) est recherché en utilisant l'UID. Si l'UID est trouvé, le nom UNIX associé est le nom d'utilisateur. b.
UID Dans secmap secmap ? Oui Dans le contrôleur de domaine ? SID Non SID Non Non Dans les fichiers locaux ou UDS ? Oui Oui Nom UNIX Dans ntxmap ? Non Oui Nom Windows Nom Windows = Nom UNIX Dans la DB du groupe local ? Oui SID Non Compte Windows par défaut ? Oui SID Non UID non résolu Accès refusé Figure 2.
Stratégies d'accès pour NFS, SMB et FTP Dans un environnement multiprotocole, le système de stockage utilise les stratégies d'accès du système de fichiers pour gérer le contrôle d'accès utilisateur de ses systèmes de fichiers. Il existe deux types de sécurité, UNIX et Windows.
● Pour créer des informations d'identification Windows pour une demande NFS lorsque la stratégie d'accès au système de fichiers est Windows. REMARQUE : Pour une demande NFS lorsque la propriété des informations d'identification n'est pas définie, les informations d'identification UNIX de la demande NFS sont utilisées.
Informations d'identification Windows pour les demandes SMB Pour gérer les demandes SMB pour un système de fichiers avec protocole SMB uniquement ou multiprotocole avec une stratégie d'accès Windows ou une stratégie d'accès native, les informations d'identification Windows doivent être utilisées. Les informations d'identification Windows pour SMB doivent être générées à une seule reprise, au moment de la demande de configuration de la session lorsque l'utilisateur se connecte.
2 Paramètres de sécurité de communication Cette rubrique contient les rubriques suivantes : Sujets : • Utilisation des ports Utilisation des ports Le tableau ci-dessous présente les différents ports réseau et les services correspondants qui peuvent être disponibles sur l’appliance. L’appliance fonctionne comme un client réseau dans de nombreuses situations, par exemple lorsqu’il communique avec un vCenter Server.
Tableau 2. Ports réseau de l’appliance (suite) Port Service Protocole Direction de l’accès Description 500 IPSec (IKEv2) UDP Bidirectionnel Pour faire en sorte qu’IPSec fonctionne avec vos pare-feu, ouvrez le port UDP 500 et autorisez les numéros de protocole IP 50 et 51 sur les filtres de pare-feu entrants et sortants. Le port UDP 500 doit être ouvert pour permettre au trafic Internet Security Association and Key Management Protocol (ISAKMP) d’être transmis via vos pare-feu.
Tableau 2. Ports réseau de l’appliance (suite) Port Service Protocole Direction de l’accès Description 9443 SupportAssist TCP Sortant Requis pour l’API REST SupportAssist associée à Connect Home Ports réseau de l’appliance liés au fichier Le tableau suivant présente l’ensemble des ports réseau et les services correspondants qui peuvent se trouver sur l’appliance en rapport avec le fichier. REMARQUE : Les ports sortants sont éphémères. Tableau 3.
Tableau 3. Ports réseau de l’appliance liés au fichier (suite) Port Service Protocole Direction de l’accès Description 138 Microsoft Netbios BROWSE UDP Sortant Le service de datagrammes NETBIOS est associé aux services de partage de fichiers SMB de l’appliance et constitue l’un des principaux composants de cette fonctionnalité. Seul le service de navigation est utilisé. S'il est désactivé, ce port désactive la fonctionnalité de navigation.
Tableau 3. Ports réseau de l’appliance liés au fichier (suite) Port Service Protocole Direction de l’accès Description 2049 E/S NFS TCP/UDP Bidirectionnel Utilisé pour fournir des services NFS. 3268 LDAP UDP Sortant Requêtes LDAP non sécurisées. S'il est fermé, les requêtes d'authentification LDAP non sécurisées ne sont pas disponibles. 4 000 STATD pour NFSv3 TCP/UDP Bidirectionnel Utilisé pour fournir des services NFS statd. statd surveille l’état de verrouillage des fichiers NFS.
Tableau 3. Ports réseau de l’appliance liés au fichier (suite) Port Service Protocole [10500,10531] Plage réservée TCP NDMP pour les ports dynamiques NDMP Entrant Pour les sessions de sauvegarde/restauration tridirectionnelle, les serveurs NAS utilisent les ports 10500 à 10531. 12228 Service antivirus Sortant Requis pour le service antivirus.
Tableau 4. Ports réseau liés aux appliances PowerStore X model (suite) Port Service Protocole Direction de l’accès Description domaine réseau de vCenter. Il n’est pas nécessaire que les machines virtuelles se trouvent sur le réseau. En d’autres termes, aucune carte NIC n’est requise. Assurez-vous que les adresses IP des connexions sortantes incluent au moins les agents actuels et futurs. Vous pourrez ajouter des agents ultérieurement pour augmenter la capacité.
3 Audit Ce chapitre contient les informations suivantes : Sujets : • Audit Audit L’audit fournit une vue historique de l’activité des utilisateurs sur le système. Un utilisateur doté du rôle d’administrateur, d’administrateur de la sécurité ou d’administrateur du stockage peut utiliser l’API REST pour rechercher et afficher des événements de modification de configuration sur le système. Les audits ne portent pas seulement sur les événements liés à la sécurité.
4 Paramètres de sécurité des données Cette rubrique contient les rubriques suivantes : Sujets : • • • • • • • • Data at Rest Encryption Activation du chiffrement État du chiffrement Gestion des clés Fichier de sauvegarde du magasin de clés Réutilisation d’un disque dans une appliance avec chiffrement activé Remplacement d’un boîtier de base et de nœuds dans un système ayant le chiffrement activé Réinitialisation d’une appliance aux paramètres d’usine Data at Rest Encryption La fonctionnalité de chiffreme
L’état du chiffrement d’une appliance s’affiche comme suit : ● Encrypted : la fonctionnalité de chiffrement est activée sur l’appliance. ● Unencrypted : la fonctionnalité de chiffrement n’est pas prise en charge sur l’appliance. ● Encrypting : s’affiche pendant le processus d’activation du chiffrement. Une fois le processus de chiffrement terminé, l’état du chiffrement au niveau du cluster indique « Encrypted ».
Réutilisation d’un disque dans une appliance avec chiffrement activé À propos de cette tâche Un disque à auto-chiffrement est verrouillé lors de l’initialisation d’une appliance ou lors de son insertion dans une appliance déjà initialisée. Le disque ne peut pas être utilisé dans un autre système sans être d’abord déverrouillé. Le disque verrouillé devient inutilisable lorsque celui-ci est inséré dans une autre appliance et son état de chiffrement apparaît comme Foreign dans la nouvelle appliance.
5 Paramètres de maintenance sécurisés Ce chapitre contient les informations suivantes : Sujets : • • • • • • • • Description du fonctionnement de SupportAssist Options SupportAssist Options de SupportAssist Gateway Connect Options de SupportAssist Direct Connect Conditions requises pour SupportAssist Gateway Connect Conditions requises pour SupportAssist Direct Connect Configuration de SupportAssist Configurer SupportAssist Description du fonctionnement de SupportAssist™ La fonctionnalité SupportAssist f
passerelle resté actif dans le cluster. Si le serveur de passerelle haute disponibilité auquel l’appliance est connectée tombe en panne, l’appliance s’arrête de transférer au support Dell EMC les fichiers sortants, tels que les fichiers call home et CloudIQ. La connectivité entrante SupportAssist pour l’accès distant à l’appliance continue de fonctionner à l’aide du serveur de passerelle HA resté actif dans le cluster.
● Gateway Connect with remote access : option conçue pour le service SupportAssist centralisé. Elle s’exécute sur un serveur de passerelle fourni par le client avec le même transfert de fichiers bidirectionnel que Gateway Connect without remote access, mais avec un accès à distance pour le personnel de support Dell EMC. ● Direct Connect without remote access : option conçue pour le service SupportAssist distribué.
nouvelle appliance. Aucune action supplémentaire n’est nécessaire. Si le service SupportAssist Direct Connect ne peut pas être activé, il n’empêchera pas l’ajout de l’appliance.
Même si vous pouvez désactiver la fonctionnalité SupportAssist, il n’est pas recommandé de le faire. Le bouton doit se déplacer vers la droite et indiquer Enabled. Toutefois, le paramètre Connection Status ne change pas tant que vous ne saisissez pas les informations de configuration requises et que vous ne cliquez pas sur Apply. 3. Sous SupportAssist, la case Connect to CloudIQ est cochée par défaut. Si vous ne souhaitez pas envoyer de fichiers à CloudIQ, décochez la case. Sinon, laissez-la case cochée. 4.
A Suites de chiffrement TLS Cette annexe contient les informations suivantes : Sujets : • Suites de chiffrement TLS pris en charge Suites de chiffrement TLS pris en charge Une suite de chiffrement définit un ensemble de technologies permettant de sécuriser vos communications TLS : ● Algorithme d'échange de clé (comment la clé secrète utilisée pour chiffrer les données est communiquée entre le client et le serveur).