Dell EMC PowerStore Guía de configuración de seguridad 1.x July 2020 Rev.
Notas, precauciones y advertencias NOTA: Una NOTA indica información importante que le ayuda a hacer un mejor uso de su producto. PRECAUCIÓN: Una ADVERTENCIA indica un potencial daño al hardware o pérdida de datos y le informa cómo evitar el problema. AVISO: Una señal de PRECAUCIÓN indica la posibilidad de sufrir daño a la propiedad, heridas personales o la muerte. © 2020 Dell Inc. o sus filiales. Todos los derechos reservados. Dell, EMC y otras marcas comerciales son marcas comerciales de Dell Inc.
Tabla de contenido Recursos adicionales.......................................................................................................................5 Capítulo 1: Autenticación y acceso....................................................................................................6 Autenticación y administración de cuentas de usuario, funciones y privilegios............................................................. 6 Administración predeterminada de fábrica...................................
Cifrado de datos en reposo................................................................................................................................................ 37 Activación del cifrado.......................................................................................................................................................... 37 Estado de cifrado.............................................................................................................................................
Prefacio Como parte de un esfuerzo por mejorar, se lanzan periódicamente revisiones de software y hardware. Algunas funciones que se describen en este documento no son compatibles con todas las versiones del software o el hardware actualmente en uso. Las notas de la versión del producto proporcionan la información más actualizada acerca de las características del producto.
1 Autenticación y acceso Este capítulo contiene la siguiente información: Temas: • • • • • • • • • • • • • • Autenticación y administración de cuentas de usuario, funciones y privilegios Certificados Comunicación segura entre los dispositivos PowerStore dentro de un clúster Comunicación segura para la replicación y la importación de datos Compatibilidad con vSphere Storage API for Storage Awareness autenticación CHAP Configuración de CHAP Acceso mediante SSH externo Configuración del acceso mediante SSH e
Tipo de cuenta Nombre de usuario Contraseña Privilegios puede iniciar sesión en PowerStore Manager con el usuario de servicio. Reglas de las sesiones Las sesiones en el clúster tienen las siguientes características: ● El plazo de vencimiento es de una hora. NOTA: La sesión del usuario en el clúster se cierra automáticamente después de una inactividad de una hora. ● El tiempo de espera de sesión no es configurable.
PRECAUCIÓN: Es fundamental que no pierda la contraseña de ESXi. Si ESXi queda inactivo y usted no dispone de la contraseña, el dispositivo se debe reinicializar. Este comportamiento es normal para ESXi; sin embargo, la reinicialización debido a una contraseña perdida puede provocar la pérdida de datos. PRECAUCIÓN: La contraseña predeterminada de ESXi está configurada de manera exclusiva para cada dispositivo PowerStore X model.
Tarea Operador Administrador de VM Administrador de seguridad Administrador de almacenamiento Administrador Ver lo siguiente: ● ● ● ● ● ● ● ● Alertas del sistema de archivos Lista de servidores NAS Lista de sistemas de archivos Lista de cuotas de usuario de archivo Lista de rutas de interfaces de archivo Lista de interfaces de archivo Lista de recursos compartidos de SMB Lista de exportaciones de NFS Ver lo siguiente: ● Lista de servidores DNS de archivo o un servidor DNS especificado ● Lista de ser
Tarea Operador ● Lista de servidores SMB o un servidor SMB especificado ● Lista de recursos compartidos de SMB o un recurso compartido de SMB especificado Agregar, modificar, eliminar o hacer ping a un servidor NAS especificado, o cargar contraseña, hosts o grupos a un servidor NAS especificado Ver la contraseña o los hosts de un servidor NAS especificado Agregar un sistema de archivos o modificar o eliminar un sistema de archivos especificado en un servidor NAS existente Agregar un clon o una instantánea
Tarea Operador Administrador de VM Administrador de seguridad Administrador de almacenamiento Administrador Agregar una interfaz de archivo o modificar o eliminar una interfaz de archivo especificada Agregar una ruta de interfaz de archivo o modificar o eliminar una ruta de interfaz de archivo especificada Agregar un servidor DNS de archivo, FTP de archivo, Kerberos de archivo, LDAP de archivo, NDMP de archivo o NIS de archivo, o modificar o eliminar un servidor DNS de archivo, FTP de archivo, Kerbero
Restablecer las contraseñas de las cuentas de administrador y servicio El dispositivo se envía con una cuenta de usuario administrador predeterminada que permite realizar la configuración inicial. También se envía con una cuenta de usuario de servicio predeterminado que le permite realizar funciones de servicio especializadas. Se recomienda configurar inicialmente PowerStore mediante la interfaz de usuario de PowerStore Manager en lugar de otro método, como la API REST o la CLI.
Restablecer las contraseñas de las cuentas de administrador y servicio a sus valores predeterminados en un dispositivo PowerStore X model Requisitos previos Conozca el nombre del nodo primario del dispositivo primario (por ejemplo, PSTX-44W1BW2-A y PowerStore D6013). Si es necesario, genere el archivo reset.iso. Sobre esta tarea En el caso de un dispositivo PowerStore X model, utilice una imagen ISO y móntela desde vSphere. Los archivos de imagen creados previamente se pueden descargar desde www.dell.
Resultados Si aún no se le solicita restablecer la contraseña en el intento de inicio de sesión después de ejecutar este procedimiento, póngase en contacto con el proveedor de servicio. Certificados Los datos en el almacén de certificados de PowerStore son persistentes.
La infraestructura de certificados y credenciales de PowerStore permite el intercambio de certificados de servidor y cliente, así como de la información de identificación.
Sesión de vCenter, conexión segura y credenciales Una sesión de vCenter comienza cuando un administrador de vSphere usa vSphere Client para proporcionar a vCenter Server la URL del proveedor de VASA y las credenciales de inicio de sesión. vCenter Server usa la URL, las credenciales y el certificado SSL del proveedor de VASA para establecer una conexión segura con el proveedor de VASA.
Tabla 1. Limitaciones del modo de descubrimiento de CHAP de iSCSI (continuación) Modo de CHAP Normal Modo único (iniciador habilitado) Modo mutuo (iniciador y destino habilitados) no da lugar a un acceso no deseado a los datos de usuario. descubrimiento fallará si el host desafía a PowerStore. Funciona según lo previsto. PowerStore prueba las credenciales. Funciona según lo previsto. PowerStore transfiere las credenciales.
● Servidor de API REST: interfaz de aplicaciones que puede recibir solicitudes de la API REST para configurar los ajustes de SSH. Para obtener más información sobre la API REST, consulte PowerStore REST API Reference Guide. ● svc_service_config : un comando de servicio que puede ingresar directamente como el usuario de servicio en el dispositivo. Para obtener más información sobre este comando, consulte PowerStore Service Scripts Guide.
Puerto de servicio Ethernet del nodo de un dispositivo y IPMItool El dispositivo proporciona acceso a la consola por medio de un puerto de servicio Ethernet presente en cada nodo. Este acceso requiere el uso de IPMItool. IPMItool es una herramienta de red similar a SSH o Telnet, que se conecta a cada nodo a través de una conexión Ethernet mediante el protocolo IPMI. IPMItool es una utilidad de Windows que negocia un canal de comunicación seguro para acceder a la consola del nodo de un dispositivo.
Si el administrador decide utilizar el dominio de Windows configurado, no hay que hacer nada más. Todos los SPN que utiliza el servicio de NFS se agregan al KDC o se quitan de él de forma automática al unir o desvincular el servidor de SMB. Tenga en cuenta que el servidor de SMB no puede destruirse si el NFS seguro está configurado para usar la configuración de SMB.
descriptor de seguridad de cada objeto. Cada ACL contiene entradas de control de acceso (ACE). A su vez, cada ACE contiene un único SID que identifica a un usuario, un grupo o una computadora, y una lista de derechos que se rechazan o se permiten para ese SID. Acceso a sistemas de archivos en un ambiente multiprotocolo El acceso a archivos se proporciona a través de servidores NAS. Un servidor NAS contiene un conjunto de sistemas de archivos donde están almacenados los datos.
secmap La función de secmap es almacenar todos los mapeos de SID a UID y GID primario y de UID a SID con el fin de garantizar la coherencia en todos los sistemas de archivos del servidor NAS. ntxmap ntxmap se usa para asociar una cuenta de Windows a una cuenta de UNIX cuando el nombre es diferente. Por ejemplo, si hay un usuario con una cuenta denominada Gerald en Windows, pero la cuenta en UNIX se llama Gerry, se usa ntxmap para establecer la correlación entre ambas cuentas.
SID ¿En secmap secmap? Sí ¿En archivos locales o UDS? UID y GID primario No ¿En la base de datos del grupo local? No UID y GID primario Sí UID y GID primario Sí UID y GID primario No Sí Nombre de Windows utilizado para acceso solo a SMB ¿Mapeo automático? No ¿En la controladora de dominio? Sí No Sí Nombre de Windows ¿En ntxmap? Sí Nombre de UNIX No ¿Cuenta predeterminada de UNIX? No Nombre de Windows = Nombre de UNIX SID desconocido Acceso denegado Mapeo fallido Acceso denegado
Mapeo de UID a SID La siguiente secuencia es el proceso que se usa para resolver un mapeo de UID a un SID: 1. El UID se busca en secmap. Si el UID se encuentra, el mapeo de SID se resuelve. 2. Si el UID no se encuentra en secmap, se debe buscar el nombre de UNIX relacionado con el UID. a. Se busca en el UDS (servidor NIS, servidor LDAP o archivos locales) mediante el UID. Si el UID se encuentra, el nombre de UNIX relacionado es el nombre de usuario. b.
UID ¿En secmap secmap? Sí ¿En la controladora de dominio? SID No SID No No ¿En archivos locales o UDS? Sí Sí Nombre de UNIX ¿En ntxmap? No Sí Nombre de Windows Nombre de Windows = Nombre de UNIX ¿En la base de datos del grupo local? Sí SID No ¿Cuenta predeterminada de Windows? Sí SID No UID irresoluble Acceso denegado Ilustración 2.
Políticas de acceso para NFS, SMB y FTP En un ambiente multiprotocolo, el sistema de almacenamiento usa políticas de acceso del sistema de archivos para administrar el control de acceso de los usuarios a sus sistemas de archivos. Existen dos tipos de seguridad, UNIX y Windows. Para la autenticación de seguridad de UNIX, la credencial se crea a partir de los servicios de directorio de UNIX (UDS), excepto para el acceso NFS no seguro, en el cual el cliente de host la proporciona.
● Para crear una credencial de Windows para una solicitud de NFS cuando la política de acceso para el sistema de archivos es Windows. NOTA: Para una solicitud de NFS cuando la propiedad de credencial extendida no está configurada, se utiliza la credencial de UNIX de la solicitud de NFS. Cuando se usa la autenticación Kerberos para una solicitud de SMB, la credencial de Windows del usuario del dominio se incluye en el vale de Kerberos de la solicitud de configuración de la sesión.
Credencial de Windows para solicitudes SMB Para manejar las solicitudes de SMB para un sistema de archivos solo SMB o multiprotocolo con una política de acceso de Windows o nativa, se debe utilizar una credencial de Windows. La credencial de Windows para SMB solo tiene que crearse una vez en el momento en que se solicita la configuración de la sesión cuando se conecta el usuario.
2 Ajustes de seguridad para la comunicación Esta sección contiene los siguientes temas: Temas: • Uso de puertos Uso de puertos En las siguientes secciones se describe el conjunto de puertos de red y los servicios correspondientes que se pueden encontrar en el dispositivo. El dispositivo funciona como un cliente de red en diversas circunstancias, por ejemplo, en la comunicación con una instancia de vCenter Server.
Tabla 2. Puertos de red del dispositivo (continuación) Puerto Servicio Protocolo Dirección de acceso Descripción 443 HTTPS TCP Bidireccional Tráfico HTTP seguro a PowerStore Manager. Si está cerrado, la comunicación con el dispositivo no estará disponible. 500 IPsec (IKEv2) UDP Bidireccional Para hacer que IPsec funcione a través de los firewalls, abra el puerto UDP 500 y permita los números de protocolo IP 50 y 51 en los filtros de firewall entrantes y salientes.
Tabla 2. Puertos de red del dispositivo (continuación) Puerto Servicio Protocolo Dirección de acceso Windows, agente de host de importación de Linux o agente de host de importación de VMware 9443 Descripción desde sistemas de almacenamiento heredado. SupportAssist TCP Saliente Se requiere para la API REST de SupportAssist relacionada con Connect Home.
Tabla 3. Puertos de red del dispositivo relacionados con archivos (continuación) Puerto Servicio Protocolo Dirección de acceso Descripción 135 RPC de Microsoft TCP Entrante Múltiples usos para cliente de Microsoft. También se utiliza para NDMP. 137 WINS para NetBIOS de Microsoft UDP; TCP/UDP Entrante; saliente El servicio de nombres de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del dispositivo y es un componente principal de esa función (Wins).
Tabla 3. Puertos de red del dispositivo relacionados con archivos (continuación) Puerto Servicio Protocolo Dirección de acceso Descripción conexión IPsec entre los dispositivos PowerStore no estará disponible. 636 LDAPS TCP/UDP Saliente Consultas de LDAP seguras. Si está cerrado, no estarán disponibles las consultas de autenticación LDAP seguras.
Tabla 3. Puertos de red del dispositivo relacionados con archivos (continuación) Puerto Servicio Protocolo Dirección de acceso Descripción ● El servicio NDMP puede deshabilitarse si no se utiliza el respaldo en cinta de NDMP. ● El servicio NDMP se autentica con un nombre de usuario y una contraseña. El nombre de usuario puede configurarse. La documentación de NDMP describe cómo configurar la contraseña para distintos ambientes.
Tabla 4. Puertos de red relacionados con los dispositivos PowerStore X model (continuación) Puerto Servicio Protocolo Dirección de acceso Descripción 5989 Servidor de CIM seguro TCP Entrante Servidor para CIM.
3 Auditoría Este capítulo contiene la siguiente información: Temas: • Auditoría Auditoría La auditoría proporciona una vista histórica de la actividad de los usuarios en el sistema. Un usuario con la función de administrador, administrador de seguridad o administrador de almacenamiento puede usar la API REST para buscar y ver eventos de cambio en la configuración en el sistema.
4 Configuración de la seguridad de datos Esta sección contiene los siguientes temas: Temas: • • • • • • • • Cifrado de datos en reposo Activación del cifrado Estado de cifrado Administración de claves Archivo de respaldo del almacenamiento de claves Replanificar una unidad en un dispositivo con el cifrado habilitado Reemplazo de un gabinete base y nodos en un sistema en el que está habilitado el cifrado Restablecimiento de un dispositivo a los ajustes de fábrica Cifrado de datos en reposo El cifrado de d
El estado de cifrado de un dispositivo aparece como uno de los siguientes: ● Encrypted: la funcionalidad de cifrado está habilitada en el dispositivo. ● Unencrypted: la funcionalidad de cifrado no es compatible con el dispositivo. ● Encrypting: aparece durante el proceso de activación del cifrado. Cuando el proceso de cifrado se completa correctamente, el estado de cifrado en el nivel del clúster aparece como cifrado.
Replanificar una unidad en un dispositivo con el cifrado habilitado Sobre esta tarea Una unidad de autocifrado (SED) se bloquea cuando se inicializa un dispositivo o cuando se inserta en un dispositivo ya inicializado. La unidad no se puede utilizar en otro sistema sin que antes de desbloquee. La unidad bloqueada se vuelve inutilizable cuando se inserta en un dispositivo diferente y su estado de cifrado aparece como Foreign en el nuevo dispositivo.
5 Configuración de facilidad de reparación segura Este capítulo contiene la siguiente información: Temas: • • • • • • • • Descripción operacional de SupportAssist Opciones de SupportAssist Opciones de SupportAssist Gateway Connect Opciones de SupportAssist Direct Connect Requisitos para SupportAssist Gateway Connect Requisitos para SupportAssist Direct Connect Configuración de SupportAssist Configurar SupportAssist Descripción operacional de SupportAssist™ La función SupportAssist proporciona una conexió
sobreviviente en el clúster. Si el servidor de gateway de HA al cual está conectado el dispositivo queda inactivo, el dispositivo dejará de transferir archivos salientes, como archivos de CloudIQ y Call Home, al soporte de Dell EMC. La conectividad entrante de SupportAssist para el acceso remoto al dispositivo continuará funcionando mediante el servidor de gateway de HA sobreviviente del clúster.
● Gateway Connect with remote access: para SupportAssist centralizado; se ejecuta en un servidor de gateway suministrado por el cliente con la misma transferencia de archivos bidireccional que Gateway Connect without remote access, y con acceso remoto para el personal de soporte de Dell EMC. ● Direct Connect without remote access: para SupportAssist distribuido que se ejecuta en dispositivos individuales con la misma transferencia de archivos bidireccional que Gateway Connect without remote access.
automáticamente en el nuevo dispositivo. No es necesario realizar acciones adicionales. Si SupportAssist Direct Connect no se puede habilitar, esto no impedirá que el proceso de adición del dispositivo se realice.
El botón debe desplazarse hacia la derecha y su indicación debe cambiar a Enabled. Sin embargo, Connection Status no cambiará hasta que se ingrese la información de configuración necesaria y se haga clic en Apply. 3. En SupportAssist, la casilla de verificación Connect to CloudIQ está seleccionada de manera predeterminada. Si no desea enviar archivos a CloudIQ, deseleccione la casilla de verificación. De lo contrario, déjela seleccionada. 4.
A Conjuntos de aplicaciones de cifrado TLS En este apéndice se incluye la siguiente información: Temas: • Conjuntos de cifrado TLS compatibles Conjuntos de cifrado TLS compatibles Un conjunto de cifrado define un conjunto de tecnologías que protegen las comunicaciones por el protocolo TLS: ● Algoritmo de intercambio de claves (la manera en que se usa la clave para cifrar los datos que se transmiten del cliente al servidor).