Dell EMC PowerStore Sicherheitskonfigurationsleitfaden 1.x July 2020 Rev.
Anmerkungen, Vorsichtshinweise und Warnungen ANMERKUNG: Eine ANMERKUNG macht auf wichtige Informationen aufmerksam, mit denen Sie Ihr Produkt besser einsetzen können. VORSICHT: Ein VORSICHTSHINWEIS warnt vor möglichen Beschädigungen der Hardware oder vor Datenverlust und zeigt, wie diese vermieden werden können. WARNUNG: Mit WARNUNG wird auf eine potenziell gefährliche Situation hingewiesen, die zu Sachschäden, Verletzungen oder zum Tod führen kann. © 2020 Dell Inc. oder ihre Tochtergesellschaften.
Inhaltsverzeichnis Weitere Ressourcen........................................................................................................................ 5 Kapitel 1: Authentifizierung und Zugriff............................................................................................ 6 Authentifizieren und Verwalten von Nutzerkonten, Rollen und Berechtigungen..........................................................6 Werkseitige Standardverwaltung.....................................................
Data-at-Rest-Verschlüsselung...........................................................................................................................................37 Verschlüsselungsaktivierung.............................................................................................................................................. 37 Verschlüsselungsstatus...................................................................................................................................................
Vorwort Es werden regelmäßig neue Software- und Hardwareversionen veröffentlicht, um das Produkt kontinuierlich zu verbessern. Einige in diesem Dokument beschriebene Funktionen werden eventuell nicht von allen Versionen der von Ihnen derzeit verwendeten Software oder Hardware unterstützt. In den Versionshinweisen zum Produkt finden Sie aktuelle Informationen zu Produktfunktionen.
1 Authentifizierung und Zugriff Dieses Kapitel enthält die folgenden Informationen: Themen: • • • • • • • • • • • • • • Authentifizieren und Verwalten von Nutzerkonten, Rollen und Berechtigungen Zertifikate Sichere Kommunikation zwischen PowerStore-Appliances in einem Cluster Sichere Kommunikation für Replikation und Datenimport Unterstützung für die vSphere Storage API for Storage Awareness CHAP-Authentifizierung Konfigurieren von CHAP Externer SSH-Zugriff Konfigurieren des externen SSH-Zugriffs NFS secu
Kontotyp Benutzername Kennwort Rechte sich nicht als Servicenutzer bei PowerStore Manager anmelden. Sitzungsregeln Sitzungen auf dem Cluster weisen die folgenden Eigenschaften auf: ● Ablaufzeit = 1 Stunde ANMERKUNG: Der Benutzer wird automatisch vom Cluster abgemeldet, nachdem die Sitzung eine Stunde lang inaktiv war. ● Das Sitzungs-Timeout ist nicht konfigurierbar.
VORSICHT: Es ist wichtig, dass Sie das ESXi-Kennwort nicht verlieren. Wenn ESXi ausfällt und Sie nicht über das Kennwort verfügen, muss die Appliance neu initialisiert werden. Diese Vorgehensweise ist für ESXi normal, allerdings kann die Neuinitialisierung aufgrund eines verlorenen Kennworts zu Datenverlust führen. VORSICHT: Das standardmäßige ESXi-Kennwort wird für jede PowerStore X model-Appliance eindeutig konfiguriert.
Aufgabe Operator VMAdministrator Sicherheitsadmi nistrator Speicheradminis trator Administrator Sehen Sie sich Folgendes an: ● ● ● ● ● Dateisystemwarnmeldungen NAS-Serverliste Dateisystemliste Liste der Dateinutzerquoten Liste der Routen für die Dateischnittstelle ● Liste der Dateischnittstellen ● Liste der SMB-Shares ● NFS-Exportliste Sehen Sie sich Folgendes an: ● Liste von Datei-DNS-Servern oder einen bestimmten DNSServer ● Liste von Datei-FTP-Servern oder einen bestimmten FTPServer ● Liste von D
Aufgabe Operator ● Liste von SMB-Freigaben oder eine bestimmte SMB-Freigabe Einen bestimmten NAS-Server hinzufügen, ändern, löschen oder pingen oder ein Kennwort, Hosts oder Gruppen auf einen bestimmten NAS-Server hochladen Kennwort oder Hosts eines bestimmten NAS-Servers anzeigen Ein Dateisystem hinzufügen oder ein bestimmtes Dateisystem auf einem vorhandenen NAS-Server ändern oder löschen Einen Clone oder Snapshot zu einem bestimmten Dateisystem hinzufügen oder ein bestimmtes Dateisystem aktualisieren o
Aufgabe Operator VMAdministrator Sicherheitsadmi nistrator Speicheradminis trator Administrator Eine Dateischnittstellenroute hinzufügen oder eine bestimmte Dateischnittstellenroute ändern oder löschen Einen Datei-DNS-, Datei-FTP-, Datei-Kerberos-, Datei-LDAP-, Datei-NDMP- oder Datei-NISServer hinzufügen oder einen bestimmten Datei-DNS-, DateiFTP-, Datei-Kerberos-, DateiLDAP-, Datei-NDMP- oder DateiNIS-Server ändern oder löschen Eine Datei-Kerberos-Keytab hochladen Eine Datei-Kerberos-Keytab herunterl
Die Methode zum Zurücksetzen dieser Kennwörter hängt davon ab, ob Ihre Appliance eine PowerStore T model oder eine PowerStore X model ist. Verwenden Sie die für Ihre Appliance geltende Methode, um das Admin- und/oder Servicekennwort zurückzusetzen.
Voraussetzungen Bringen Sie Namen des primären Node Ihrer primären Appliance in Erfahrung (z. B. PSTX-44W1BW2-A und PowerStore D6013). Falls erforderlich, generieren Sie die Datei reset.iso. Info über diese Aufgabe Verwenden Sie für eine PowerStore X model-Appliance ein ISO-Image und hängen Sie es über vSphere ein. Vorab erstellte Image-Dateien können von www.dell.com/support heruntergeladen werden.
Zertifikate Die Daten im Zertifikatspeicher von PowerStore sind persistent.
● Unterstützung bei der Einrichtung sicherer Verbindungen, sobald die Vertrauensstellung eingerichtet ist PowerStore unterstützt die folgenden Funktionen zum Management von Zertifikaten: ● Für die Replikation muss ein Zertifikataustausch zwischen zwei PowerStore-Clustern stattfinden, damit eine vertrauenswürdige Kommunikation hergestellt werden kann.
● Ein Administrator entfernt den VASA-Anbieter über den vSphere-Client aus der vCenter-Konfiguration und der vCenter-Server beendet die Verbindung. ● Der vCenter Server oder ein vCenter Server-Service schlägt fehl, wodurch die Verbindung getrennt wird. Wenn vCenter oder der vCenter Server-Service die SSL-Verbindung nicht wiederherstellen kann, wird eine neue gestartet. ● Der VASA Provider schlägt fehl, die Verbindung wird beendet.
Tabelle 1. Einschränkungen für den iSCSI CHAP-Erkennungsmodus (fortgesetzt) CHAP-Modus Einzelmodus (Initiator aktiviert) Gegenseitiger Modus (Initiator und Ziel aktiviert) Normal Funktioniert wie erwartet. Die Zugangsdaten werden getestet von PowerStore. Funktioniert wie erwartet. Die Zugangsdaten werden übertragen von PowerStore.
● SSH Management: Eine Seite mit SSH-Einstellungen, auf die Sie im PowerStore Manager zugreifen können (klicken Sie auf Settings und wählen Sie unter Security die Option SSH Management aus). ● REST-API-Server: Eine Anwendungsschnittstelle, die REST-API-Anforderungen zur Konfiguration der SSH-Einstellungen empfangen kann. Weitere Informationen über die REST API finden Sie im PowerStore REST API Reference Guide.
Ethernet-Serviceportschnittstelle und IPMItool für Appliance-Node Ihre Appliance ermöglicht den Konsolenzugriff über einen Ethernetserviceport, der sich in jedem Node befindet. Dieser Zugriff erfordert die Verwendung des IPMItool. Das IPMItool ist ein Netzwerktool, das SSH oder Telnet ähnelt und über eine Ethernetverbindung und unter Verwendung des IPMI-Protokolls eine Verknüpfung zu jedem Node herstellt.
● Vollständiges Konfigurieren eines UNIX-KDC-basierten Kerberos-Bereichs Wenn sich der Administrator für die Verwendung der konfigurierten Windows-Domain entscheidet, muss er nichts weiter tun. Jeder vom NFS-Service verwendete SPN wird automatisch dem KDC hinzugefügt/daraus entfernt, wenn der SMB-Server hinzugefügt/entfernt wird. Beachten Sie, dass der SMB-Server nicht gelöscht werden kann, wenn NFS secure für die Verwendung der SMB-Konfiguration konfiguriert ist.
Windows-Sicherheitsmodell Das Windows-Sicherheitsmodell basiert in erster Linie auf Objektrechten. Dazu gehört die Verwendung einer SD (Security Descriptor, Sicherheitsbeschreibung) und ihrer ACL (Access Control List, Zugriffskontrollliste). Wenn die SMB-Policy ausgewählt ist, werden Änderungen an den Modusbits vom NFS-Protokoll ignoriert.
Windows-Resolver Windows-Resolver werden verwendet, um Folgendes für die Benutzerzuordnung zu tun: ● Für eine gegebene SID (Sicherheitskennung) wird der entsprechende Windows-Kontoname zurückgegeben. ● Für einen gegebenen Windows-Kontonamen wird die entsprechende SID zurückgegeben.
SID In secmap secmap? Ja In lokalen Dateien oder UDS? UID und primäre GID Nein In lokaler Gruppendatenbank? Nein UID und primäre GID Ja UID und primäre GID Ja UID und primäre GID Nein Ja Automatische Zuordnung? Windows-Name für Nur-SMB-Zugriff Nein Im Domaincontroller? Ja Nein Ja WindowsName In ntxmap? Ja Unix-Name UNIXStandardkonto? Nein Nein Windows-Name = UNIX-Name Unbekannter SID-Zugriff verweigert Zuordnung fehlgeschlagen Zugriff verweigert Abbildung 1.
UID-zu-SID-Zuordnung Die folgende Sequenz ist die Vorgehensweise, um eine UID in eine SID-Zuordnung aufzulösen: 1. secmap wird nach der UID durchsucht. Wenn die UID gefunden wird, wird die SID-Zuordnung aufgelöst. 2. Wenn die UID nicht in secmap gefunden wird, muss der Unix-Name, der der UID entspricht, gefunden werden. a. Der UDS (NIS-Server, LDAP-Server oder lokale Dateien) wird mithilfe der UID durchsucht. Wenn die UID gefunden wird, ist der zugehörige Unix-Name der Benutzername. b.
UID In secmap secmap? Ja Im Domaincontroller? SID Nein SID Nein Nein In lokalen Dateien oder UDS? Ja Ja UnixName In ntxmap? Nein Ja WindowsName Windows-Name = UNIX-Name In lokaler Gruppendatenbank? Ja SID Nein Windows -Standardkonto? Ja SID Nein Unauflösbare UID Zugriff verweigert Abbildung 2.
Zugriffs-Policies für NFS, SMB und FTP In einer Multiprotokollumgebung verwendet das Speichersystem Dateisystemzugriffs-Policies, um die Benutzerzugriffskontrolle für die Dateisysteme zu managen. Es gibt zwei Arten von Sicherheit, UNIX und Windows. Für Unix-Sicherheitsauthentifizierung werden die Anmeldedaten vom UDS (Unix-Directory Services) erstellt, außer für nicht sicheren NFS-Zugang, wo die Anmeldedaten vom Hostclient bereitgestellt werden.
● Zur Erstellung von Windows-Zugangsdaten für eine SMB-Anforderung. ● Zur Erstellung von Windows-Zugangsdaten für eine NFS-Anforderung, wenn die Zugriffs-Policy für das Dateisystem Windows ist. ANMERKUNG: Für eine NFS-Anforderung, wenn die Eigenschaft „Erweiterte Zugangsdaten“ nicht festgelegt ist, werden die UnixZugangsdaten aus der NFS-Anforderung verwendet.
Windows-Zugangsdaten für SMB-Anforderungen Zur Verarbeitung von SMB-Anforderungen für ein Nur-SMB- oder Multiprotokolldateisystem mit einer Windows- oder nativen ZugriffsPolicy müssen Windows-Anmeldedaten verwendet werden. Die Windows-Anmeldedaten für SMB müssen nur einmal zum Zeitpunkt der Anforderung einer Sitzungseinrichtung erstellt werden, wenn sich der Benutzer verbindet.
2 Kommunikationssicherheitseinstellungen Dieser Abschnitt enthält die folgenden Themen: Themen: • Portnutzung Portnutzung In den folgenden Abschnitten sind die Netzwerkports und die zugehörigen Services der Appliance dargestellt. Die Appliance dient unter verschiedenen Umständen als Netzwerkclient, zum Beispiel bei der Kommunikation mit einem vCenter Server. In diesen Fällen initiiert die Appliance die Kommunikation und die Netzwerkinfrastruktur muss diese Verbindungen unterstützen.
Tabelle 2. Appliance-Netzwerkports (fortgesetzt) Port Service Protokoll Zugriffsrichtung Beschreibung 443 HTTPS TCP Bidirektional Sicherer HTTP-Datenverkehr zu PowerStore Manager. Ist dieser Port geschlossen, ist keine Kommunikation mit der Appliance möglich. 500 IPsec (IKEv2) UDP Bidirektional Damit IPsec trotz Firewalls funktioniert, öffnen Sie UDP-Port 500 und lassen Sie die IP-Protokollnummern 50 und 51 in eingehenden und ausgehenden Firewallfiltern zu.
Tabelle 2. Appliance-Netzwerkports (fortgesetzt) Port Service Protokoll Zugriffsrichtung Beschreibung ● Erforderlich für die zugehörigen SupportAssist Connect HomeFunktionen. 8443, 50443, 55443 oder 60443 Windows-ImportHost-Agent, LinuxImport-Host-Agent oder VMwareImport-Host-Agent TCP Ausgehend Einer dieser Ports muss geöffnet sein, wenn der Datenspeicher von LegacySpeichersystemen importiert wird.
Tabelle 3. Appliance-Netzwerkports in Bezug auf Dateien (fortgesetzt) Port Service Protokoll Zugriffsrichtung Beschreibung 123 NTP UDP Ausgehend NTP-Zeitsynchronisation. Ist der Port geschlossen, wird die Zeit zwischen Appliances nicht synchronisiert. 135 Microsoft RPC TCP Eingehend Mehrere Zwecke für Microsoft Client. Auch verwendet für NDMP.
Tabelle 3. Appliance-Netzwerkports in Bezug auf Dateien (fortgesetzt) Port Service Protokoll Zugriffsrichtung Beschreibung dieser Port geschlossen, ist die IPsecVerbindung zwischen den PowerStoreAppliances nicht verfügbar. 636 LDAPS TCP/UDP Ausgehend Sichere LDAP-Abfragen. Ist dieser Port geschlossen, sind sichere LDAPAuthentifizierungsabfragen nicht verfügbar.
Tabelle 3. Appliance-Netzwerkports in Bezug auf Dateien (fortgesetzt) Port Service Protokoll Zugriffsrichtung Beschreibung ● Der NDMP-Service kann deaktiviert werden, wenn keine NDMPBandsicherung verwendet wird. ● Der NDMP-Service wird über eine Kombination aus Benutzername und Passwort authentifiziert. Der Benutzername ist konfigurierbar. In der NDMP-Dokumentation wird beschrieben, wie Sie das Passwort für verschiedene Umgebungen konfigurieren.
Tabelle 4. Netzwerkports in Verbindung mit PowerStore X model-Appliances (fortgesetzt) Port Service Protokoll Zugriffsrichtung Beschreibung 6999 NSX Virtual Distributed Logical Router, rabbitmqproxy UDP ● Bidirektionaler Service für NSX Virtual Distributed Router ● Ausgehend für rabbitmqproxy ● Für den Service NSX Virtual Distributed Router wird der Firewallport, der diesem Service zugeordnet ist, geöffnet, wenn NSX VIBs installiert und das VDR-Modul erstellt wird.
3 Auditing Dieses Kapitel enthält die folgenden Informationen: Themen: • Auditing Auditing Auditing bietet eine Verlaufsansicht der Nutzeraktivitäten auf dem System. Ein Nutzer mit der Rolle eines Administrators, Sicherheitsadministrators oder Speicheradministrators kann die REST API verwenden, um Konfigurationsänderungsereignisse auf dem System zu suchen und anzuzeigen. Die Ereignisse, die auditiert werden, beziehen sich nicht nur auf die Sicherheit, alle festgelegten Vorgänge (d. h.
4 Datensicherheitseinstellungen Dieser Abschnitt enthält die folgenden Themen: Themen: • • • • • • • • Data-at-Rest-Verschlüsselung Verschlüsselungsaktivierung Verschlüsselungsstatus Key-Management Keystore-Backupdatei Neuverwendung eines Laufwerks in einer Appliance mit aktivierter Verschlüsselung Austauschen eine Basisgehäuses und von Nodes bei einem System mit aktivierter Verschlüsselung Zurücksetzen einer Appliance auf die Werkseinstellungen Data-at-Rest-Verschlüsselung Data-at-Rest-Verschlüsselung (
Der Verschlüsselungsstatus auf Clusterebene zeigt, ob eine Appliance-Verschlüsselung aktiviert ist. Er hängt nicht mit dem Laufwerksstatus zusammen. Der Verschlüsselungsstatus einer Appliance kann wie folgt lauten: ● Encrypted: Die Verschlüsselungsfunktion ist auf der Appliance aktiviert. ● Unencrypted: Die Verschlüsselungsfunktion wird auf der Appliance nicht unterstützt. ● Encrypting: Wird während des Vorgangs der Verschlüsselungsaktivierung angezeigt.
Zum Sichern der Keystore-Archivdatei ist die Nutzerrolle Administrator oder Speicheradministrator erforderlich. Zum Sichern der Keystore-Archivdatei klicken Sie auf Settings und wählen Sie unter Security die Option Encryption aus. Klicken Sie auf der Seite Encryption unter Lockbox Backup auf Download Keystore Backup. ANMERKUNG: Wenden Sie sich an Ihren Serviceanbieter, um das Keystore-Backup im Falle eines Fehlers wiederherzustellen.
Weitere Informationen zu diesen Skripten finden Sie im PowerStore Service Scripts Guide.
5 Sichere Wartungseinstellungen Dieses Kapitel enthält die folgenden Informationen: Themen: • • • • • • • • Funktionsbeschreibung von SupportAssist SupportAssist-Optionen SupportAssist Gateway Connect-Optionen SupportAssist Direct Connect-Optionen Voraussetzungen für SupportAssist Gateway Connect Voraussetzungen für SupportAssist Direct Connect Konfigurieren von SupportAssist Konfigurieren von SupportAssist Funktionsbeschreibung von SupportAssist™ Die SupportAssist-Funktion bietet eine IP-basierte Verbin
Clusterserver (die einzige Konfigurationsoption) bereitgestellt wird, besteht keine Failover-Fähigkeit für den noch funktionierenden Gatewayserver im Cluster. Wenn der HA-Gatewayserver, mit dem die Appliance verbunden ist, ausfällt, beendet die Appliance die Übertragung aller ausgehenden Dateien, z. B. Call-Home- und CloudIQ-Dateien, an den Dell EMC Support.
● Gateway Connect mit Remotezugriff: für zentralisiertes SupportAssist und Ausführungen auf einem vom Kunden bereitgestellten Gatewayserver mit derselben bidirektionalen Dateiübertragung wie Gateway Connect ohne Remotezugriff, aber mit Remotezugriff für Dell EMC Supportmitarbeiter. ● Direct Connect ohne Remotezugriff: für verteiltes SupportAssist, das auf einzelnen Appliances mit derselben bidirektionalen Dateiübertragung ausgeführt wird wie Gateway Connect ohne Remotezugriff.
Es sind keine weiteren Aktionen erforderlich. Wenn SupportAssist Direct Connect nicht aktiviert werden kann, verhindert dies nicht das Hinzufügen der Appliance.
Die Schaltfläche sollte sich nach rechts verschieben und die Anzeige sollte sich ändern zu Enabled. Der Connection Status ändert sich jedoch erst, nachdem Sie die erforderlichen Konfigurationsinformationen eingegeben und auf Apply geklickt haben. 3. Unter SupportAssist ist das Kontrollkästchen Connect to CloudIQ standardmäßig aktiviert. Wenn Sie keine Dateien an CloudIQ senden möchten, deaktivieren Sie das Kontrollkästchen. Lassen Sie das Kontrollkästchen andernfalls aktiviert. 4.
A TLS-Chiffren Dieser Anhang enthält folgende Informationen: Themen: • Unterstützte TLS-Cipher Suites Unterstützte TLS-Cipher Suites Eine Cipher Suite definiert einen Satz von Technologien zum Sichern der TLS-Kommunikation: ● Schlüsselaustauschalgorithmus (wie der zur Datenverschlüsselung verwendete geheime Schlüssel vom Client an den Server kommuniziert wird). Beispiele: RSA-Schlüssel oder Diffie-Hellman (DH) ● Authentifizierungsmethode (wie Hosts die Identität von Remotehosts authentifizieren können).