Dell EMC PowerStore Руководство по настройке системы безопасности 1.x July 2020 Ред.
Примечания, предупреждения и предостережения ПРИМЕЧАНИЕ: Пометка ПРИМЕЧАНИЕ указывает на важную информацию, которая поможет использовать данное изделие более эффективно. ОСТОРОЖНО: Указывает на возможность повреждения устройства или потери данных и подсказывает, как избежать этой проблемы. ПРЕДУПРЕЖДЕНИЕ: Указывает на риск повреждения оборудования, получения травм или на угрозу для жизни. © Корпорация Dell или ее дочерние компании, 2020. Все права защищены.
Содержание Дополнительные ресурсы............................................................................................................5 Глава 1: Аутентификация и доступ................................................................................................6 Аутентификация и управление учетными записями пользователей, ролями и привилегиями............... 6 Заводские возможности управления, заданные по умолчанию...................................................................
Шифрование данных в состоянии покоя.................................................................................................................. 41 Активация шифрования................................................................................................................................................. 41 состояние шифрования;.................................................................................................................................................41 Управление ключами...
Предисловие Для улучшения продуктов периодически выпускаются обновленные версии программного обеспечения и оборудования. Некоторые функции, описанные в этом документе, поддерживаются не всеми версиями программного обеспечения или оборудования, которые используются на данный момент. Примечания к выпуску продукта содержат последние обновленные сведения о функциях продукта.
1 Аутентификация и доступ В этой главе содержится следующая информация: Темы: • • • • • • • • • • • • • • Аутентификация и управление учетными записями пользователей, ролями и привилегиями Сертификаты Безопасное соединение между устройствами PowerStore в кластере Безопасное соединение для репликации и импорта данных Поддержка vSphere Storage API for Storage Awareness Аутентификация CHAP Настройка CHAP Внешний доступ по протоколу SSH Настройка внешнего доступа по протоколу SSH Безопасность NFS Безопасность
Тип учетной записи Имя пользователя Пароль Права устройства и управления учетными записями пользователей. Обслуживание service Для выполнения сервисных операций. ПРИМЕЧАНИЕ: Сервисный пользователь существует для доступа с помощью протокола безопасной оболочки (SSH). Однако нельзя войти в PowerStore Manager, используя учетную запись сервисного пользователя.
Пароли ESXi Используемый по умолчанию пароль учетной записи root для ESXi на устройстве PowerStore X model имеет следующий формат: _123!, где — это семизначный сервисный код Dell для данного устройства. Не изменяйте пароль ESXi по умолчанию до завершения первоначальной настройки кластера. Дополнительные сведения об изменении пароля ESXi см. в документации по VMware ESXi. ОСТОРОЖНО: Очень важно не потерять пароль ESXi.
Задача Оператор Администрато р виртуальной машины Администратор Администратор Администратор безопасности хранилища источника сертификатов VMware (VMCA) Роли и привилегии, связанные с файлами Система поддерживает следующие роли и привилегии, связанные с файлами. ПРИМЕЧАНИЕ: Символ в ячейке таблицы обозначает поддерживаемую привилегию для этой роли, а пустая ячейка указывает на то, что привилегия не поддерживается для этой роли.
Задача Оператор ● список серверов NIS для файлов или указанный сервер NIS; ● список файловых систем или указанная файловая система; ● список квот деревьев для файлов или указанная квота деревьев для файлов; ● список квот пользователей для файлов или указанная квота пользователей; ● список средств антивирусной проверки для файлов или указанное средство антивирусной проверки для файлов; ● список серверов NAS или указанный сервер NAS; ● список операций экспорта NFS или указанная операция экспорта NFS; ● спис
Задача Оператор Администрато р виртуальной машины Администратор Администратор Администратор безопасности хранилища Добавление квоты пользователей для файлов, а также изменение, удаление или обновление указанной квоты пользователей для файлов Добавление средства антивирусной проверки для файлов, изменение или удаление указанного средства антивирусной проверки для файлов либо отправка указанной конфигурации средства антивирусной проверки для файлов Загрузка указанной конфигурации средства антивирусной про
Задача Оператор Администрато р виртуальной машины Администратор Администратор Администратор безопасности хранилища Отправка keytab Kerberos для файлов Загрузка keytab Kerberos для файлов Отправка конфигурации LDAP или сертификата LDAP для файлов Загрузка сертификата LDAP для файлов Управление учетными записями пользователей на основе привилегий роли Пользователь с ролью администратора или администратора безопасности может выполнять следующие действия по управлению учетными записями пользователей: ● соз
Восстановление паролей администратора и сервисной учетной записи по умолчанию на устройстве PowerStore T model Об этой задаче Для устройства PowerStore T model в качестве основного метода восстановления пароля учетной записи администратора и сервисной учетной записи является использование USB-накопителя. Поддерживаются файловые системы FAT32 и ISO 9660. ПРИМЕЧАНИЕ: Чтобы восстановить пароль, когда устройство находится в режиме обслуживания, выполните следующие действия с одним отличием.
Об этой задаче Для устройства PowerStore X model воспользуйтесь образом ISO, подключив его из vSphere. Предварительно созданные файлы образа можно скачать на странице www.dell.com/support. Можно также создать собственный образ в системе Linux, выполнив одну или обе сенсорные команды в зависимости от того, какие пароли следует восстановить. mkdir iso touch iso/admin touch iso/service mkisofs -V RSTPWD -o reset.iso iso ПРИМЕЧАНИЕ: Образ ISO, reset.
● сертификаты источника сертификатов (CA); ● сертификаты клиентов; ● сертификаты серверов. Просмотр сертификатов Об этой задаче Для каждого сертификата, хранящегося в устройстве, в PowerStore Manager отображается следующая информация: ● ● ● ● ● ● ● Service Type Scope Issued by Valid Valid to Issued to ПРИМЕЧАНИЕ: Для просмотра дополнительной информации о сертификатах используйте программный интерфейс REST API или интерфейс командной строки.
PowerStore поддерживает следующие функции управления сертификатами: ● Обмен сертификатами между двумя кластерами PowerStore для установления доверенного соединения управления при проведении репликации. Для осуществления репликации между кластерами PowerStore необходимо установить двустороннее доверие между кластерами, чтобы обеспечить взаимную аутентификацию по протоколу TLS при создании запросов на управление REST репликации.
сертификат VASA Provider для установления безопасного соединения с VASA Provider. Сессия vCenter завершается, когда происходит одно из следующих событий: ● Администратор использует клиент vSphere для удаления VASA Provider из конфигурации vCenter, и сервер vCenter Server разрывает соединение. ● В работе сервера vCenter происходит сбой, или происходит сбой сервиса сервера vCenter, в результате чего подключение разрывается.
Таблица 1. Ограничения режима обнаружения по протоколу CHAP для iSCSI Режим CHAP Односторонний режим (активирован Взаимный режим (активированы инициатор) инициатор и целевое устройство) Обнаружение PowerStore не будет аутентифицировать (проверять) хост. Аутентификацию невозможно использовать для предотвращения обнаружения целевых устройств. Это не приводит к непредусмотренному доступу к пользовательским данным.
Настройка внешнего доступа по протоколу SSH Внешний доступ по протоколу SSH к устройствам в кластере можно настроить с помощью любого из следующих средств: ● SSH Management — страница настройки параметров SSH, доступ к которой возможен из PowerStore Manager (нажмите Settings и в разделе Security выберите SSH Management). ● Сервер REST API — прикладной интерфейс, который может принимать запросы REST API для настройки параметров SSH. Дополнительные сведения о REST API см.
предоставления доступа к системным ресурсам для сервисной учетной записи или отказа в доступе к этим ресурсам. Эти правила определяют разрешения сервисной учетной записи для других компонентов устройства, которые не определены другим образом стандартными разрешениями для файловой системы Linux. Сервисные скрипты устройства Версия программного обеспечения устройства включает набор скриптов для диагностики проблем, настройки системы и ее восстановления.
Взаимосвязи файловых протоколов При использовании Kerberos потребуется следующее: ● DNS — вместо IP-адресов следует использовать DNS-имя. ● NTP — PowerStore должен иметь настроенный сервер NTP. ПРИМЕЧАНИЕ: Kerberos использует правильную синхронизацию времени между KDC, серверами и клиентом в сети. ● UDS — для создания учетных данных. ● Имя хоста — Kerberos работает с именами, а не с IP-адресами. Безопасность NFS использует одно или два имени субъектов-служб (SPN) в зависимости от значения имени хоста.
Безопасность объектов файловой системы В среде с несколькими протоколами политика безопасности настраивается на уровне файловой системы отдельно для каждой файловой системы. Каждая файловая система на основании настроенной для нее политики безопасности определяет способ урегулирования различий в семантике контроля доступа протоколов NFS и SMB. Выбранная политика доступа определяет, какой механизм применяется для обеспечения безопасности файлов в конкретной файловой системе.
файловой системы могли принудительно применяться, даже если они не встроены в тот или иной протокол. В сопоставлении пользователей участвуют следующие компоненты: ● службы каталогов UNIX и/или локальные файлы; ● Сопоставители Windows ● безопасная установка соответствия (secmap) — кэш-память, содержащая все соответствия между идентификаторами SID и UID или GID, используемыми сервером сетевой системы хранения данных; ● ntxmap.
1. Выполняется поиск идентификатора SID в secmap. Если SID найден, определяются соответствующие ему идентификаторы UID и GID. 2. Если SID в secmap не найден, необходимо найти имя Windows, относящееся к SID. a. Выполняется поиск идентификатора SID в базе данных локальных групп серверов SMB сетевой системы хранения данных. Если SID найден, соответствующее ему имя Windows определяется как имя локального пользователя вместе с именем сервера SMB. b.
SID В secmap secmap? Да В локальных файлах или UDS? UID и главный GID Нет В базе данных локальных групп? Нет UID и главный GID Да UID и главный GID Да UID и главный GID Нет Да Имя Windows, используемое для доступа только по SMB Автоматическое сопоставление? Нет В контроллере домена? Да Нет Да Имя Windows В ntxmap? Да Имя UNIX Нет Учетная запись UNIX по умолчанию? Нет Имя Windows = имя UNIX Неизвестный SID, отказано в доступе Не удалось сопоставить, отказано в доступе Рисунок 1
Установка соответствия между UID и SID Ниже описан порядок определения идентификатора SID, соответствующего идентификатору UID. 1. Выполняется поиск идентификатора UID в secmap. Если UID найден, определяется соответствующий ему идентификатор SID. 2. Если UID в secmap не найден, необходимо найти имя UNIX, относящееся к UID. a. Производится поиск идентификатора UID в службе каталогов Unix (UDS) (на сервере NIS, на сервере LDAP или в локальных файлах).
UID В secmap secmap? Да В контроллере домена? SID Нет SID Нет Нет В локальных файлах или UDS? Да Да Имя UNIX В ntxmap? Нет Да Имя Windows Имя Windows = имя UNIX В базе данных локальных групп? Да SID Нет Учетная запись Windows по умолчанию? Да SID Нет Неразрешимый UID, отказано в доступе Рисунок 2.
Политики доступа для протоколов NFS, SMB и FTP В среде с несколькими протоколами система хранения использует политики доступа файловой системы для управления доступом пользователей к файловым системам. Существует два вида безопасности: UNIX и Windows. Для аутентификации в системе безопасности UNIX учетные данные создаются на основе служб каталогов UNIX (UDS), за исключением небезопасного доступа по протоколу NFS, при котором учетные данные предоставляются клиентом хоста.
Учетные данные для обеспечения безопасности на уровне файлов Для обеспечения безопасности на уровне файлов система хранения должна создать учетные данные, связанные с обрабатываемым запросом протокола SMB или NFS. Существуют два вида учетных данных, Windows и UNIX. Учетные данные Windows и UNIX создаются сервером NAS для перечисленных ниже сценариев использования. ● Для создания учетных данных UNIX с более чем 16 группами для запроса NFS.
группами. Свойство extendedUnixCredEnabled сервера NFS обеспечивает возможность создания учетных данных, содержащих более 16 групп. Если это свойство задано, в активную службу UDS отправляется запрос с идентификатором UID для получения идентификатора GID главной группы и всех идентификаторов GID групп, к которым он принадлежит. Если идентификатор UID не найден в службе UDS, используются учетные данные UNIX, встроенные в запрос.
Windows Server. В средстве CAVA для выявления известных вирусов и предотвращения заражения ими файлов в СХД используется антивирусное программное обеспечение стороннего производителя. Почему важны антивирусные средства? Система хранения устойчива к воздействию вирусов благодаря своей архитектуре. Сервер NAS обеспечивает доступ к данным в реальном времени при помощи встроенной операционной системы. Сторонние системы не могут запускать программы, содержащие вирусы, в операционной системе.
2 Настройки безопасности соединения В этом разделе рассматриваются следующие темы. Темы: • Использование портов Использование портов В следующих разделах описывается набор сетевых портов и соответствующих сервисов, которые могут присутствовать в устройстве. При определенных обстоятельствах устройство работает в качестве сетевого клиента, например при взаимодействии с сервером vCenter. В этих случаях соединение инициируется устройством, а такие подключения должны поддерживаться сетевой инфраструктурой.
Таблица 2. Сетевые порты устройства (продолжение) Порт Обслуживание Протокол Направление доступа Описание 123 NTP Протокол TCP/UDP Исходящий Синхронизация времени по NTP. Если закрыт, синхронизация времени между устройствами не выполняется. 443 HTTPS TCP Двусторонний Безопасная передача трафика HTTP в PowerStore Manager. Если закрыт, соединение с устройством становится недоступным.
Таблица 2. Сетевые порты устройства (продолжение) Порт Обслуживание Протокол Направление доступа Описание поддержки обоснованной производительности репликации при использовании соединения с низкой задержкой. 3261 Мобильность данных TCP Двусторонний Используется мобильностью данных для поддержки обоснованной производительности репликации при подключении с большой задержкой. 5353 DNS многоадресной рассылки (mDNS) UDP Двусторонний Многоадресный запрос DNS.
Таблица 3. Сетевые порты устройства, связанные с файлами (продолжение) Порт Обслуживание Протокол Направление доступа Описание управления. Если закрыт, FTP недоступен. 53 DNS Протокол TCP/UDP Исходящий Используется для передачи запросов DNS на сервер DNS. Если закрыт, разрешение имен DNS не будет работать. Требуется для SMB v1. 88 Kerberos Протокол TCP/UDP Исходящий Требуется для сервисов аутентификации Kerberos.
Таблица 3. Сетевые порты устройства, связанные с файлами (продолжение) Порт Обслуживание Протокол Направление доступа Описание работы требуется сетевое подключение между клиентами с правами доступа к сервисам SMB на устройстве и этим портом. При отключении этого порта отключаются и все связанные с SMB сервисы. Если при этом также отключен порт 139, совместное использование файлов по протоколу SMB также отключается.
Таблица 3. Сетевые порты устройства, связанные с файлами (продолжение) Порт Обслуживание Протокол Направление доступа Описание функции восстановления после сбоев. Если этот порт закрыт, службы NAS statd будут недоступны. 4001 NLMD для NFSv3 Протокол TCP/UDP Двусторонний Используется для предоставления сервисов NFS lockd. lockd — управляющая программа блокировки файлов NFS. Она обрабатывает запросы на блокировку от клиентов NFS и работает вместе с управляющей программой statd.
Таблица 3. Сетевые порты устройства, связанные с файлами (продолжение) Порт Обслуживание Протокол Направление доступа Описание 12228 Сервис антивирусной проверки TCP Исходящий Требуется для сервиса антивирусной проверки. Сетевые порты, связанные с устройствами модели PowerStore X В следующей таблице описывается набор сетевых портов и соответствующих сервисов, которые могут присутствовать на устройствах PowerStore X model. Таблица 4.
Таблица 4. Сетевые порты, связанные с устройствами PowerStore X model (продолжение) Порт Обслуживание Протокол TCP Направление доступа Описание го маршрутизатор а NSX ● Исходящий для rabbitmqproxy открывается, когда устанавливаются VIB NSX и создается модуль VDR. Если с хостом не связано ни одного экземпляра VDR, порт открывать необязательно. ● В случае rabbitmqproxy: проксисервер, работающий на хосте ESXi.
3 Аудит В этой главе содержится следующая информация: Темы: • Контроль Контроль Контроль обеспечивает историческое представление действий пользователей в системе. Пользователь с ролью администратора, администратора безопасности или администратора хранилища может использовать программный интерфейс REST API для поиска и просмотра событий изменения конфигурации в системе. В рамках аудита проверяются не только события, связанные с безопасностью.
4 Параметры безопасности данных В этом разделе рассматриваются следующие темы.
● уровень накопителя. Состояние шифрования на уровне кластера отражает лишь то, включено ли шифрование для устройства. Оно никак не связано с состоянием накопителя. Состояние шифрования устройства может иметь одно из следующих значений: ● Encrypted — возможность шифрования на устройстве включена. ● Unencrypted — возможность шифрования не поддерживается устройством. ● Encrypting — отображается в процессе активации шифрования.
ПРИМЕЧАНИЕ: Настоятельно рекомендуется скачивать созданный архивный файл хранилища ключей во внешнее, безопасное расположение. Если файлы хранилища ключей в системе повреждаются и становятся недоступными, система переходит в режим обслуживания. Для решения этой проблемы потребуется архивный файл хранилища ключей и договор на обслуживание. Для резервного копирования архивного файла хранилища ключей пользователь должен обладать ролью администратора или администратора хранилища.
устройство в состояние заводской поставки, удаляя все пользовательские данные и постоянные конфигурации. Если в кластере осталось только главное устройство, для сброса этого устройства можно выполнить скрипт svc_factory_reset. ПРИМЕЧАНИЕ: Рекомендуется, чтобы эти скрипты запускались только квалифицированным поставщиком услуг. Дополнительную информацию об этих скриптах см. в документеPowerStore Service Scripts Guide.
5 Настройки безопасного удобства обслуживания В этой главе содержится следующая информация: Темы: • • • • • • • • Описание использования SupportAssist Варианты SupportAssist Параметры SupportAssist Gateway Connect Параметры SupportAssist Direct Connect Требования для SupportAssist Gateway Connect Требования для SupportAssist Direct Connect Настройка SupportAssist Настройка SupportAssist Описание использования SupportAssist™ Функция SupportAssist обеспечивает IP-подключение, позволяющее службе поддержки D
Управление SupportAssist Функцией SupportAssist можно управлять с помощью PowerStore Manager или программного интерфейса REST API. Вы можете активировать или отключать сервис и предоставлять актуальную информацию, необходимую для выбранного вами варианта SupportAssist. ПРИМЕЧАНИЕ: Варианты Gateway Connect with remote assist и Gateway Connect without remote assist для централизованного SupportAssist не поддерживают высокую доступность (HA).
Варианты SupportAssist Функция SupportAssist обеспечивает IP-подключение, позволяющее службе поддержки Dell EMC Support получать файлы ошибок и оповещения от вашей системы и удаленно осуществлять поиск и устранение неисправностей, благодаря чему повышаются оперативность и эффективность решения проблем.
Активируйте и настройте SupportAssist Direct Connect на странице Support Assist, которую можно открыть с помощью Settings и которая указана в списке в разделе Support в PowerStore Manager. В результате этих действий устройство будет настроено так, чтобы использовать для подключения к службе поддержки Dell EMC Support защищенное соединение. Для SupportAssist Direct Connect можно выбрать один из следующих вариантов подключения для удаленного обслуживания.
● Сервер REST API — прикладной интерфейс, который может принимать запросы REST API для настройки параметров SupportAssist. Дополнительные сведения о REST API см. в документе PowerStore REST API Reference Guide. Чтобы определить состояние функции SupportAssist, нажмите Settings в PowerStore Manager и в разделе Support выберите SupportAssist.
ПРИМЕЧАНИЕ: Если в поле «Connectivity Status» сохраняется значение Transitioning и не меняется в течение нескольких минут (времени, достаточного для проверки возможности подключения), обратитесь в службу онлайнподдержки. 7. Выберите Send Test Alert, чтобы отправить тестовое оповещение в службу поддержки Dell EMC и убедиться в наличии сквозного соединения. 8. Убедитесь в том, что указана правильная контактная информация. Исправьте все неправильные и устаревшие сведения.
A Пакеты шифрования TLS В этом приложении содержится следующая информация: Темы: • Поддерживаемые пакеты шифрования TLS Поддерживаемые пакеты шифрования TLS Пакет шифрования определяет набор методов защиты передачи данных по протоколу TLS. ● Алгоритм обмена ключами (каким образом секретный ключ, используемый для шифрования данных, передается с клиента на сервер). Примеры: ключ RSA или Diffie-Hellman (DH). ● Метод аутентификации (каким образом хосты могут аутентифицировать удостоверения удаленных хостов).