Dell EMC PowerStore Guia de configuração de segurança 1.x July 2020 Rev.
Notas, avisos e advertências NOTA: Uma NOTA indica informações importantes que ajudam você a usar melhor o seu produto. CUIDADO: um AVISO indica possíveis danos ao hardware ou a possibilidade de perda de dados e informa como evitar o problema. ATENÇÃO: uma ADVERTÊNCIA indica possíveis danos à propriedade, lesões corporais ou risco de morte. © 2020 Dell Inc. ou suas subsidiárias. Todos os direitos reservados. A Dell, a EMC, e outras marcas são marcas comerciais da Dell Inc. ou suas subsidiárias.
Índice Outros recursos..............................................................................................................................5 Capítulo 1: Autenticação e acesso.....................................................................................................6 Autenticando e gerenciando contas, funções e privilégios de usuário........................................................................... 6 Gerenciamento padrão de fábrica..................................................
Criptografia de dados em repouso.................................................................................................................................... 36 Ativação da criptografia......................................................................................................................................................36 Status de criptografia.................................................................................................................................................
Prefácio Como parte de um esforço contínuo de melhorias, lançamos periodicamente revisões de seu software e hardware. Algumas das funções descritas neste documento não são compatíveis com todas as versões de software ou hardware usadas no momento. As notas da versão do produto contêm as informações mais recentes sobre os recursos do produto. Entre em contato com um profissional de suporte técnico se um produto não funcionar adequadamente ou conforme descrito neste documento.
1 Autenticação e acesso Este tópico contém as seguintes informações: Tópicos: • • • • • • • • • • • • • • Autenticando e gerenciando contas, funções e privilégios de usuário Certificados Comunicação segura entre equipamentos PowerStore de um cluster Comunicação segura para replicação e importação de dados Suporte a vSphere Storage API for Storage Awareness Autenticação CHAP Configurando o CHAP Acesso SSH externo Configurando o acesso SSH externo Segurança NFS (Sistema de arquivos de rede) Segurança em obj
Regras de sessão As sessões no cluster têm as seguintes características: ● Período de expiração de uma hora. NOTA: O usuário é desconectado automaticamente do cluster após uma hora de inatividade da sessão. ● O tempo limite da sessão não pode ser configurado. Uso de nome de usuário e senha Os nomes de usuário das contas do sistema devem atender aos seguintes requisitos: Restrição Requisito de nome de usuário Estrutura Deve iniciar e terminar com um caractere alfanumérico.
Funções e privilégios Os controles de acesso baseado em função permitem que os usuários tenham diferentes privilégios. Isso oferece um meio de separar as funções de administração para um melhor alinhamento com os conjuntos de habilidades e responsabilidades. O sistema é compatível com as seguintes funções e privilégios: NOTA: Uma em uma caixa denota um privilégio compatível com essa função, enquanto uma caixa em branco indica que o privilégio não é compatível com a função.
Tarefa Operador Administrador de VM Administrador de segurança Administrador de armazenamento Administrador ● Lista de rotas de interface de arquivo ● Lista de interfaces de arquivo ● Lista de compartilhamentos SMB ● Lista de exportações NFS Visualizar o seguinte: ● Lista de servidores DNS de arquivos ou um servidor DNS específico ● Lista de servidores FTP de arquivos ou um servidor FTP específico ● Lista de interfaces de arquivos ou uma interface de arquivos específica ● Lista de rotas de interface d
Tarefa Operador senha, hosts ou grupos para um servidor NAS específico Visualizar senha ou hosts de um servidor NAS específico Adicionar um file system ou modificar/excluir um file system específico em um servidor NAS atual Adicionar um clone ou snapshot a um file system específico, atualizar ou restaurar um file system específico ou atualizar a cota de um file system específico Adicionar uma cota de árvore de arquivos ou modificar, excluir ou atualizar uma cota de árvore de arquivos específica Adicionar
Tarefa Operador Administrador de VM Administrador de segurança Administrador de armazenamento Administrador LDAP, NDMP ou NIS de arquivos específico Fazer upload de um arquivo keytab Kerberos Fazer download de um arquivo keytab Kerberos Fazer upload de uma configuração de LDAP de arquivos ou de um certificado LDAP Fazer download de um certificado LDAP de arquivos Gerenciamento de contas de usuário com base em privilégios de função Em relação ao gerenciamento de contas de usuário, um usuário com a fun
Sobre esta tarefa Para um equipamento PowerStore T model, o método principal para redefinir as senhas de usuário administrador ou de serviço é usar uma unidade USB. Os file systems compatíveis incluem FAT32 e ISO 9660. NOTA: Para redefinir a senha quando o equipamento está no modo de serviço, execute as etapas a seguir com uma diferença. Aplique o processo de redefinição de USB a cada nó.
touch iso/service mkisofs -V RSTPWD -o reset.iso iso NOTA: A imagem ISO, reset.iso, deve residir em um datastore para que possa ser montada como um CD virtual do vSphere. NOTA: Para redefinir a senha quando o equipamento está no modo de serviço, execute as etapas a seguir com duas diferenças. Primeiro, você deve fazer upload da imagem ISO para o datastore PRIVATE-C9P42W2.A.INTERNAL da máquina virtual (VM) da controladora porque o datastore público não está disponível.
● ● ● ● ● ● Type Scope Issued by Valid Valid to Issued to NOTA: Use a REST API ou a CLI para visualizar informações adicionais sobre o certificado. Para visualizar as informações do certificado, faça o seguinte: Etapas 1. Inicie o PowerStore Manager. 2. Clique em Settings e, em Security, clique em Certificates. As informações sobre os certificados armazenados no equipamento são exibidas. 3.
equipamento principal (o que possui o IP de gerenciamento flutuante) em um cluster do PowerStore. Os hosts do ESXi e o vCenter Server se conectam ao VASA Provider e obtêm informações sobre status, topologia de armazenamento e recursos disponíveis. Subsequentemente, o vCenter Server apresenta essas informações para os clients vSphere. O VASA é usado por clients VMware em vez de clients PowerStore Manager.
Se um certificado SSL expirar, o administrador do vSphere deverá gerar um novo certificado. O vCenter Server estabelecerá uma nova conexão SSL e registrará o novo certificado no VASA Provider. CUIDADO: O SMS não chama a função unregisterVASACertificate em relação a um VASA Provider 3.0. Portanto, mesmo após o cancelamento do registro, o VASA Provider pode continuar a usar o certificado VMCA assinado obtido do SMS.
host mais tarde, registre o host manualmente no PowerStore Manager: em Compute, selecione Hosts & Host Groups. Você precisa inserir as credenciais no nível de iSCSI para o uso da autenticação. Nesse caso, copie o IQN do host e adicione as credenciais de CHAP relacionadas de cada iniciador. Configure o CHAP para um cluster usando um destes meios: ● CHAP – Uma página de configurações de CHAP que pode ser acessada pelo PowerStore Manager (clique em Settings e, em Security, selecione CHAP).
Autorização SSH A autorização da conta de serviço é baseada em: ● Isolamento de aplicativos – O software PowerStore usa a tecnologia de contêineres que fornece isolamento de aplicativos. O acesso ao serviço do equipamento é fornecido pelo contêiner de serviço. Estão disponíveis apenas um conjunto de scripts de serviço e um conjunto de comandos de Linux. A conta de serviço não tem a capacidade de acessar outros contêineres que atendem ao file system e bloqueiam a E/S para usuários.
A segurança NFS pode ser configurada usando o PowerStore Manager. Relações do protocolo de arquivo Com o Kerberos é necessário o seguinte: ● DNS - Você deve usar o nome DNS em vez de endereços IP. ● NTP- O PowerStore deve ter um servidor de NTP configurado. NOTA: Kerberos conta com a sincronização de hora correta entre o Key Distribution Center, servidores e o client na rede. ● UDS - Para criar credenciais. ● Nome de host - O Kerberos funciona com nomes e não com endereços IP.
NOTA: Se o protocolo SMB1 mais antigo precisar ser compatível com seu ambiente, ele poderá ser ativado por meio do comando de serviço svc_nas_cifssupport. Para obter mais informações sobre este comando de serviço, consulte o PowerStore Service Scripts Guide. Modelo de segurança UNIX Quando a política do UNIX é selecionada, qualquer tentativa de alterar a segurança em nível de arquivo do protocolo SMB, como alterações em ACLs (Access Control Lists, listas de controle de acesso), é ignorada.
Os serviços compatíveis são: ● ● ● ● LDAP NIS Arquivos locais Nenhum (o mapeamento só é possível é através do usuário padrão) Deve haver um UDS habilitado, ou arquivos locais habilitados, ou arquivos locais e um UDS habilitados para o servidor NAS quando o compartilhamento multiprotocolo está habilitado. A propriedade de serviço de diretório do Unix do servidor NAS determina qual é usada para mapeamento de usuário.
SID No secmap secmap? Sim Em arquivos locais ou UDS? UID e GID primário Não No banco de dados de grupo local? Não Sim Nome do Windows usado para acesso somente SMB Mapeamento automático? Sim Nome do Windows No ntxmap? Sim Nome do UNIX Não Contas UNIX padrão? Não SID desconhecido Acesso negado Figura 1.
ID exclusivo para mapeamento SID A sequência a seguir é o processo usado para resolver um ID exclusivo para um mapeamento de SID primário: 1. O secmap é pesquisado para o ID exclusivo. Se o ID exclusivo for encontrado, o mapeamento de SID será resolvido. 2. Se o ID exclusivo não for encontrado no secmap, o nome do UNIX relacionado ao ID exclusivo deve ser encontrado. a. O UDS (servidor NIS, servidor LDAP ou arquivos locais) é pesquisado usando o ID exclusivo.
UID No secmap secmap? Sim No Controlador de domínio? SID Sim Não Nome do UNIX No ntxmap? Não Sim Nome do Windows Nome do Windows = nome do UNIX No banco de dados de grupo local? Não UID não solucionado Acesso negado Figura 2.
Políticas de acesso para NFS, SMB e FTP Em um ambiente multiprotocolo, o sistema de armazenamento usa políticas de acesso de file systems para gerenciar o controle de acesso de seus file systems. Há dois tipos de segurança, UNIX e Windows. Para autenticação de segurança do UNIX, a credencial é criada a partir dos serviços de diretório UNIX (UDS), com a exceção de acesso de NFS não seguro, onde a credencial é fornecida pelo client do host.
NOTA: Para uma solicitação de NFS quando a propriedade da credencial estendida não é definida, a credencial do UNIX da solicitação de NFS é usada. Ao usar a autenticação Kerberos para uma solicitação SMB, a credencial do Windows do usuário do domínio é incluída no tíquete do Kerberos da solicitação de configuração da sessão. Um cache persistente de credenciais é usado para: ● Credenciais do Windows criadas para o acesso a um file system, tendo uma política de acesso do Windows.
Ao usar a autenticação Kerberos, a credencial do usuário será incluída no tíquete do Kerberos da solicitação de configuração da sessão, diferentemente do que ocorre ao usar o NT LAN Manager (NTLM). Outras informações são consultadas do DC do Windows ou do LGDB. No caso do Kerberos, a lista de SIDs de grupos adicionais é obtida do tíquete do Kerberos e da lista de SIDs. A lista de privilégios é extraída do LGDB (Local Group Database, banco de dados de grupos local).
2 Configurações de segurança de comunicação Esta seção contém os seguintes tópicos: Tópicos: • Uso de portas Uso de portas As seções a seguir descrevem o conjunto de portas de rede e os serviços correspondentes que podem ser encontrados no equipamento. O equipamento funciona como um client de rede em várias circunstâncias, por exemplo, na comunicação com um vCenter Server. Nesses casos, o equipamento inicia a comunicação, e a infraestrutura de rede precisará dar suporte a essas conexões.
Tabela 2. Portas de rede do equipamento (continuação) Porta Serviço Protocolo Direção de acesso Descrição 443 HTTPS TCP Bidirecional Tráfego HTTP seguro para o PowerStore Manager. Se estiver fechada, a comunicação com o equipamento não estará disponível. 500 IPsec (IKEv2) UDP Bidirecional Para o IPSec funcionar nos firewalls, abra a porta UDP 500 e permita os números de protocolo IP 50 e 51 nos filtros de entrada e de saída do firewall.
Tabela 2. Portas de rede do equipamento (continuação) Porta Serviço Protocolo Direção de acesso Descrição 8443, 50443, 55443 ou 60443 Agentes de host de importação do Windows, do Linux e da VMware TCP Saída Uma dessas portas deve ficar aberta ao importar armazenamento de dados a partir de sistemas de armazenamento legados. 9443 SupportAssist TCP Saída Necessária para a REST API do SupportAssist relacionada ao Connect Home.
Tabela 3. Portas de rede do equipamento relacionadas a arquivo (continuação) Porta Serviço Protocolo Direção de acesso Descrição de arquivos SMB do equipamento, sendo um componente central desse recurso (Wins). Se desativada, esta porta desativa todos os serviços relacionados a SMB. 138 Microsoft Netbios BROWSE UDP Saída O Serviço de Datagrama do NETBIOS está associado aos serviços de compartilhamento de arquivos SMB do equipamento, sendo um componente central desse recurso.
Tabela 3. Portas de rede do equipamento relacionadas a arquivo (continuação) Porta Serviço Protocolo Direção de acesso Descrição 1234 NFS mountd TCP/UDP Bidirecional Usada para o serviço de montagem, que é um componente central do serviço NFS (versões 2, 3 e 4). 2000 SSHD TCP Entrada SSHD para capacidade de serviço (opcional) 2049 E/S de NFS TCP/UDP Bidirecional Usada para fornecer serviços NFS. 3268 LDAP UDP Saída Consultas LDAP não seguras.
Tabela 3. Portas de rede do equipamento relacionadas a arquivo (continuação) Porta Serviço Protocolo Direção de acesso Descrição [10500,10531] Intervalo reservado NDMP para portas dinâmicas NDMP TCP Entrada Para sessões de backup/restauração de três vias, os servidores NAS usam portas 10500 para 10531. 12228 Serviço de verificação de vírus TCP Saída Necessária para o serviço de verificação de vírus.
Tabela 4. Portas de rede relacionadas a equipamentos PowerStore X model (continuação) Porta Serviço Protocolo Direção de acesso Descrição estão em execução no domínio de rede do vCenter. A máquina virtual não precisa estar na rede, ou seja, não é necessária uma NIC. Os endereços IP da conexão de saída devem incluir pelo menos os agentes em uso ou futuros. É possível adicionar agentes posteriormente para scale-up.
3 Auditoria Este tópico contém as seguintes informações: Tópicos: • Auditoria Auditoria A auditoria oferece uma visualização histórica da atividade dos usuários no sistema. Um usuário com função Administrador, Administrador de segurança ou Administrador de armazenamento pode usar a REST API para pesquisar e visualizar eventos de alteração de configuração no sistema. Esses eventos auditados não estão relacionados apenas à segurança.
4 Configurações da segurança de dados Esta seção contém os seguintes tópicos: Tópicos: • • • • • • • • Criptografia de dados em repouso Ativação da criptografia Status de criptografia Gerenciamento de chaves Arquivo de backup de keystore Reutilizar uma unidade em um equipamento com criptografia ativada Substituindo uma gaveta de base e os nós de um sistema com criptografia ativada Redefinindo um equipamento com as configurações de fábrica Criptografia de dados em repouso A criptografia de dados em repous
O status de criptografia de um equipamento é exibido como um dos seguintes: ● Encrypted – O recurso de criptografia está ativado no equipamento. ● Unencrypted – O recurso de criptografia não tem suporte no equipamento. ● Encrypting — Exibido durante o processo de ativação da criptografia. Quando o processo de criptografia é concluído com sucesso, o status de criptografia no nível do cluster é exibido como criptografado.
Reutilizar uma unidade em um equipamento com criptografia ativada Sobre esta tarefa Uma unidade com criptografia automática (SED) é bloqueada quando um equipamento é inicializado ou quando é inserida em um equipamento já inicializado. A unidade não pode ser usada em outro sistema sem antes ser desbloqueada. A unidade bloqueada fica inutilizável quando inserida em outro equipamento e seu status de criptografia é exibido como Foreign no novo equipamento.
5 Secure serviceability settings Este tópico contém as seguintes informações: Tópicos: • • • • • • • • Descrição operacional do SupportAssist Opções de SupportAssist Opções do SupportAssist Gateway Connect Opções do SupportAssist Direct Connect Requisitos do SupportAssist Gateway Connect Requisitos do SupportAssist Direct Connect Configurando o SupportAssist Configurar o SupportAssist Descrição operacional do SupportAssist™ O recurso SupportAssist fornece uma conexão baseada em IP que permite que o Supor
de entrada do SupportAssist para acesso remoto ao equipamento ainda funcionará utilizando o servidor de gateway HA sobrevivente no cluster. Além disso, as opções SupportAssist Gateway Connect with remote assist e Gateway Connect without remote assist só devem ser configuradas no equipamento principal designado do sistema. O equipamento propriamente dito não implementa nenhuma política.
● Direct Connect with remote access — Para SupportAssist distribuído que é executado em equipamentos individuais com a mesma transferência de arquivos bidirecional que a opção Gateway Connect without remote access, juntamente com o acesso remoto para a equipe do Suporte Dell EMC. Existe uma outra opção (Disabled) que, embora disponível, não é recomendável. Se você selecionar esta opção, o Suporte Dell EMC não receberá notificações sobre problemas no equipamento.
Requisitos do SupportAssist Gateway Connect Os seguintes requisitos são aplicáveis às implementações Gateway Connect without remote access e Gateway Connect with remote access do SupportAssist: ● O tráfego de rede (HTTPS) deve ser permitido na porta 9443 (ou na porta especificada pelo cliente, se diferente) entre o equipamento e o servidor de gateway do SupportAssist. ● A versão do SupportAssist deve ser 4.0.5 ou 3.38. NOTA: Nunca adicione nem remova um equipamento do servidor de gateway manualmente.
5. Dependendo do tipo de opção de SupportAssist selecionado, execute um destes procedimentos: ● Para as opções Gateway Connect without remote access ou Gateway Connect with remote access: ○ Especifique o endereço IP do servidor de gateway. NOTA: O servidor de gateway deve estar ativo e em execução antes de você configurar o equipamento para usá-lo.
A Conjuntos de codificações TLS Este apêndice contém as seguintes informações: Tópicos: • Conjunto de codificações TLS compatíveis Conjunto de codificações TLS compatíveis Um conjunto de codificações define um conjunto de tecnologias para proteger as comunicações TLS: ● Algoritmo de troca de chaves (como a chave secreta usada para criptografar os dados é transmitida do client ao servidor).