Obsah skrýt
1 Konfigurace zabezpečení racku DELL PowerFlex s PowerFlex 4.x
2 Informace o produktu
3 Návod k použití produktu
4 Poznámky, upozornění a varování
5 Zavedení
6 Bezpečnostní aspekty
7 Autentizace a autorizace
8 Přístup místního uživatele PowerFlex Manager
9 Přepínače Dell PowerSwitch
10 Auditování a protokolování
11 Dokumenty / zdroje
11.1 Reference
12 Související příspěvky

logo dell

Konfigurace zabezpečení racku DELL PowerFlex s PowerFlex 4.x

DELL-PowerFlex-Rack-Security-Configuration-with-PowerFlex-4.x-product-image

Informace o produktu

Dell PowerFlex Rack s PowerFlex 4.x je produkt zaměřený na zabezpečení navržený tak, aby uživatelům poskytoval bezpečný a spolehlivý model nasazení. Produkt obsahuje funkce jako např
administrativní kontrola, zabezpečení sítě a ochrana zásobníku správy k zajištění bezpečnosti dat a zdrojů. Také integruje běžné bezpečnostní technologie a poskytuje pokyny týkající se konkrétních rámců dodržování předpisů a pokročilých cloudových řešení.

Poznámky, upozornění a varování

  • Poznámka: Důležité informace, které vám pomohou lépe využívat váš produkt
  • Pozor: Označuje potenciální poškození hardwaru nebo ztrátu dat a říká, jak se problému vyhnout
  • Varování: Označuje potenciální poškození majetku, zranění osob nebo smrt

Obsah

  • Kapitola 1: Úvod
  • Kapitola 2: Historie revizí
  • Kapitola 3: Zřeknutí se odpovědnosti
  • Kapitola 4: Model nasazení
  • Kapitola 5: Bezpečnostní aspekty
  • Kapitola 6: Protokoly serveru Cloud Link Center
  • Kapitola 7: Zabezpečení dat

Návod k použití produktu

Model nasazení

Kapitola model nasazení poskytuje informace o tom, jak nasadit Dell PowerFlex Rack s produktem PowerFlex 4.x. Obsahuje podrobnosti o různých složkách a o tom, jak je spravovat. Poskytuje také návod, jak používat oddělení povinností a minimalizovat používání sdílených přihlašovacích údajů.

Bezpečnostní aspekty

Kapitola týkající se zabezpečení poskytuje informace o tom, jak zajistit zabezpečení produktu. Obsahuje podrobnosti o administrativní kontrole, zabezpečení sítě a ochraně zásobníku správy. Poskytuje také návod, jak zachycovat protokoly událostí pomocí systému správy informací o zabezpečení a událostí (SIEM) a jak auditovat všechny aktivity změny oprávnění a rolí.

Zabezpečení dat

Kapitola zabezpečení dat poskytuje informace o šifrovacích klíčích a o tom, jak zajistit bezpečnost dat. Obsahuje pokyny, jak spravovat šifrovací klíče a chránit je před neoprávněným přístupem. Celkově je důležité řídit se pokyny uvedenými v příručce Dell PowerFlex Rack with PowerFlex 4.x Security Configuration Guide, abyste zajistili bezpečnost a zabezpečení vašich dat a zdrojů.

Poznámky, upozornění a varování

  • POZNÁMKA: POZNÁMKA označuje důležité informace, které vám pomohou lépe využívat váš produkt.
  • POZOR: UPOZORNĚNÍ označuje potenciální poškození hardwaru nebo ztrátu dat a říká, jak se problému vyhnout.
  • VAROVÁNÍ: VAROVÁNÍ označuje potenciální poškození majetku, zranění osob nebo smrt.

Zavedení

Tato příručka poskytuje sadu osvědčených postupů zabezpečení pro zvýšení zabezpečení prostředí racku PowerFlex. Cílové publikum pro tuto příručku zahrnuje ty, kteří plánují, implementují, spravují nebo auditují bezpečnostní kontroly v prostředí racku PowerFlex. Primární publikum je technické, ale dokument se zabývá potřebami řady odborníků na bezpečnostní programy. Měli byste rozumně rozumět architektuře racku PowerFlex, zejména infrastruktuře správy. Podívejte se na Dell PowerFlex Rack s PowerFlex 4.x Architecture Overview Pro více informací. Společnost Dell Technologies poskytuje další pomoc, která může být užitečná při řešení problémů se zabezpečením nebo dodržováním předpisů, jako je např

  • Pokyny pro rack PowerFlex pro řešení problémů s více nájemci
  • Ochrana rozhraní pro správu se zdokonaleným oddělením povinností, identifikací, autorizací, auditem a řízením přístupu
  • Integrace běžných bezpečnostních technologií se stojanem PowerFlex
  • Pokyny týkající se konkrétních rámců dodržování předpisů a výsledků (napřample, PCI, HIPAA, FISMA a tak dále)
  • Pokyny týkající se pokročilých cloudových řešení

Historie revizí

Datum Dokument revize Popis změn
březen 2023 1.2 Redakční aktualizace
ledna 2023 1.1 Redakční aktualizace
srpna 2022 1.0 Počáteční vydání

Zřeknutí se odpovědnosti

  • Informace v této publikaci jsou poskytovány „tak, jak jsou“. Společnost Dell Technologies neposkytuje žádná prohlášení ani záruky jakéhokoli druhu s ohledem na informace v této publikaci a konkrétně se zříká předpokládaných záruk nebo prodejnosti nebo vhodnosti pro konkrétní účel.
  • V tomto dokumentu mohou být identifikovány určité komerční entity, zařízení nebo materiály, aby bylo možné adekvátně popsat experimentální postup nebo koncept. Taková identifikace není zamýšlena tak, aby naznačovala doporučení nebo podporu společnosti Dell Technologies, ani neznamená, že entity, materiály nebo vybavení jsou nutně nejlepší dostupné pro daný účel.
  • Nic v tomto dokumentu by nemělo být v rozporu se standardy a pokyny, které jsou povinné a závazné zákony nebo pravidly vládních agentur.

Model nasazení

  • Tato příručka poskytuje sadu osvědčených postupů zabezpečení pro zvýšení zabezpečení prostředí racku PowerFlex.
  • Rack Dell PowerFlex s architekturou PowerFlex 4.x Overview popisuje výchozí model nasazení a další scénáře nasazení. Tyto možnosti nasazení ovlivňují stav zabezpečení racku PowerFlex a zejména zónu zabezpečení správy, kde se v prostředí vašeho datového centra nabízí řada bezpečnostních kontrol.
  • U výchozího modelu nasazení pro stojan PowerFlex návrh systému předpokládá, že budete poskytovat služby zabezpečení sítě pro ochranu zóny zabezpečení správy. Zvažte nasazení firewallů na okraji sítě pro správu racku PowerFlex, které zajistí tyto ovládací prvky.
  • Tato příručka obsahuje odkazy na užitečné informace týkající se rozhraní pro správu sítě, portů a protokolů potřebných pro operace správy a správy. Tyto informace použijte k vytvoření základní sady pravidel brány firewall, kterou lze nasadit k zajištění požadované kontroly přístupu k síti pro zónu správy.

Bezpečnostní aspekty

Administrativní kontrola
Společnost Dell Technologies přijala opatření týkající se změny všech výchozích hesel správce a dodržuje zásady vytváření složitých hesel pro všechny účty ovládající rozhraní pro správu. Společnost Dell Technologies používá bezpečnější možnost ukládání hesel, kdykoli je to možné. Kromě změny výchozího nastavení řízení přístupu pro správce doporučuje společnost Dell Technologies používat následující bezpečnostní opatření, pokud nejsou v rozporu se zásadami zabezpečení vaší organizace.

  • Použijte server LDAP nebo ověřování Windows AD pro všechny součásti racku PowerFlex. Tato protiopatření zmírňují hrozby související s hesly pomocí zásad hesel a usnadňují audit oprávnění.
  • Používejte nízkoúrovňové role oprávnění pro všechny komponenty racku PowerFlex.
  • Při podávání komponent používejte v maximální možné míře oddělení povinností.
  • Minimalizujte používání sdílených přihlašovacích údajů. Zejména minimalizujte používání výchozích účtů superuživatelů.
  • Zachyťte všechny protokoly událostí pomocí systému správy informací o zabezpečení a událostí (SIEM). Auditujte všechny aktivity změny oprávnění a rolí a nastavte výstrahy pro tuto aktivitu.

Zabezpečení sítě

  • Stejně jako u jiných síťových prostředí musí být rack PowerFlex chráněn před síťovými útoky, jako je spoofing, traffic sniffing a traffic.ampering. Všechny rackové komponenty PowerFlex jsou nakonfigurovány tak, aby používaly zabezpečená administrativní rozhraní, která jsou ověřená a šifrovaná. Rack PowerFlex ověřuje, šifruje a segreguje provoz na úrovni správy, řízení a dat.
  • Výchozí racková architektura PowerFlex odděluje provoz vytvořením samostatných vyhrazených síťových zón pro řízení, data, VMware vSphere v Motion, zálohování a další účely. Návrh rackové sítě PowerFlex zahrnuje osvědčené bezpečnostní postupy od výrobců komponent pro fyzické i virtuální síťové komponenty.
  • Pokud požadujete segmentaci sítě mimo VLAN, můžete nakonfigurovat rack PowerFlex tak, aby poskytoval vylepšené fyzické nebo logické oddělení síťových zón. Standardní produkt může podporovat některé možnosti konfigurace, jako jsou seznamy řízení přístupu k síti (ACL) na přepínačích Cisco Nexus nebo konfigurace pravidel brány firewall hostitele VMware ESXi. Jiné možnosti nasazení mohou vyžadovat další hardware, software nebo oprávnění (jako jsou partnerská ekosystémová řešení). NapřampAčkoli to není součástí standardní architektury produktu, lze na kritických hranicích sítě zavést kompatibilní technologii fyzického nebo virtuálního firewallu, kde je to nutné, pro dosažení požadované úrovně zabezpečení a řízení přístupu.
  • Chcete-li se dozvědět více o možnostech segmentace sítě a zabezpečení, poraďte se se svým účetním týmem Dell Technologies.

Ochrana management stacku
Zabezpečení systému správy je životně důležité pro ochranu stojanu PowerFlex a jeho spravovaných komponent a fondů zdrojů. Kromě kontroly autentizace, autorizace a účtování (AAA) je důležité vzít v úvahu následující:

  • Rozhraní pro správu by měla obsahovat bannerové zprávy, které oficiálně upozorňují uživatele na monitorování, nedostatek očekávání v oblasti soukromí a občanskoprávní a trestní odpovědnost za škodlivé nebo škodlivé chování, bez ohledu na záměr.
  • Odstraňte nebo deaktivujte výchozí nebo dobře známé účty.
  • Nakonfigurujte rozhraní pro správu tak, aby vyžadovala silná hesla.
  • Nakonfigurujte rozhraní pro správu s relativně krátkým časovým limitem připojení.
  • Aplikujte standardní provozní hygienu na systémy hostující aplikace pro správu. Napřample, nasazovat antivirové aplikace, postupy zálohování a správu oprav.

Autentizace a autorizace

Prostředí VMware vSphere VMware vCenter používá jednotné přihlášení k ověření uživatele na základě členství ve skupině uživatele. Role uživatele na objektu resp
globální oprávnění uživatele určuje, zda uživatel může provádět další úlohy VMware vSphere. Další informace naleznete v následujících tématech:

  • Úlohy oprávnění a správy uživatelů vSphere
  • Vysvětlení autorizace ve vSphere

VMware vCenter můžete integrovat s Microsoft Active Directory pro centralizovanou správu identit a přístupu.

Přístup místního uživatele PowerFlex Manager

Uživatelské role

  • Uživatelské role řídí aktivity, které mohou provádět různé typy uživatelů v závislosti na aktivitách, které provádějí při používání PowerFlex Manager.
  • Role, které lze přiřadit místním uživatelům a uživatelům LDAP, jsou totožné. Každému uživateli lze přiřadit pouze jednu roli. Pokud je uživatel LDAP přiřazen přímo k uživatelské roli a také ke skupinové roli, bude mít uživatel LDAP oprávnění obou rolí.
    • POZNÁMKA: Uživatelské definice se neimportují z dřívějších verzí PowerFlex a je třeba je znovu nakonfigurovat.

Následující tabulka shrnuje aktivity, které lze provádět pro jednotlivé uživatelské role

Role Činnosti
Super uživatel
  • Spravujte prostředky úložiště
  • Správa operací životního cyklu, skupin prostředků, šablon, nasazení, backendových operací
Hlavní uživatel může provádět všechny systémové operace.
  • Správa replikačních operací, peer systémů, RCG
  • Spravujte snímky, zásady snímků
  • Správa uživatelů, certifikátů
  • Vyměňte disky
  • Hardwarové operace
  • View konfigurace úložiště, podrobnosti o zdrojích
  • View konfigurace platformy, podrobnosti o zdrojích
  • Monitorování systému (události, výstrahy)
  • Proveďte operace provozuschopnosti
  • Aktualizujte nastavení systému
Správce systému
  • Spravujte prostředky úložiště
  • Správa operací životního cyklu, skupin prostředků, šablon, nasazení, backendových operací
Správce systému může provádět všechny operace kromě správy uživatelů a zabezpečení.
  • Správa replikačních operací, peer systémů, RCG
  • Spravujte snímky, zásady snímků
  • Vyměňte disky
  • Hardwarové operace
  • View konfigurace úložiště, podrobnosti o zdrojích
  • View konfigurace platformy, podrobnosti o zdrojích
  • Monitorování systému (události, výstrahy)
Role Činnosti
  • Proveďte operace provozuschopnosti
  • Aktualizujte nastavení systému
Správce úložiště
Správce úložiště může provádět všechny front-end operace související s úložištěm, včetně správy prvků již nastavených NAS a blokových systémů. Pro exampten: vytvořit objem, vytvořit file systém, spravovat file-uživatelské kvóty serveru.
POZNÁMKA: Operace, jako je vytvoření fondu úložiště, vytvoření file-server a add NAS uzel nemůže provádět Správce úložiště, ale může je provádět role Správce životního cyklu.
  • Spravujte prostředky úložiště
  • Správa replikačních operací, peer systémů, RCG
  • Spravujte snímky, zásady snímků
  • Vyměňte disky
  • Hardwarové operace
  • View konfigurace úložiště, podrobnosti o zdrojích
  • View konfigurace platformy, podrobnosti o zdrojích
  • Monitorování systému (události, výstrahy)
Správce životního cyklu
Správce životního cyklu může spravovat životní cyklus hardwaru a systémů.
  • Správa operací životního cyklu, skupin prostředků, šablon, nasazení, backendových operací
  • Vyměňte disky
  • Hardwarové operace
  • View skupiny prostředků a šablony
  • Monitorování systému (události, výstrahy)
Správce replikací
Správce replikace je podmnožinou role Správce úložiště pro práci na stávajících systémech pro nastavení a správu replikace a snímků.
  • Správa replikačních operací, peer systémů, RCG
  • Spravujte snímky, zásady snímků
  • View konfigurace úložiště, podrobnosti o prostředcích (svazek, snímek, replikace views)
  • Monitorování systému (události, výstrahy)
Správce snímků
Snapshot Manager je podmnožinou Storage Admin, která funguje pouze na stávajících systémech. Tato role zahrnuje všechny operace potřebné k nastavení a správě snímků.
  • Spravujte snímky, zásady snímků
  • View konfigurace úložiště, podrobnosti o zdrojích
  • Monitorování systému (události, výstrahy)
Bezpečnostní administrátor
Security Admin spravuje řízení přístupu na základě rolí (RBAC) a federaci uživatelů LDAP. Zahrnuje všechny bezpečnostní aspekty systému.
  • Správa uživatelů, certifikátů
  • Monitorování systému (události, výstrahy)
Technik
Tento uživatel může v systému provádět všechny operace HW FRU. Dokáže také provádět příslušné příkazy pro správnou údržbu, např
  • Vyměňte disky
  • Hardwarové operace
  • Monitorování systému (události, výstrahy)
  • Proveďte operace provozuschopnosti
Role Činnosti
jako vstup uzlu do režimu údržby.
Náhražka pohonu
Toto je podmnožina role technika. Drive Replacer je uživatel, který smí provádět pouze operace nutné pro výměnu disku. Napřample: operace životního cyklu na uzlu a evakuace zařízení blokového systému.
  • Vyměňte disky
  • Monitorování systému (události, výstrahy)
Monitor
Role Monitor má přístup pouze pro čtení k systému, včetně topologie, výstrah, událostí a metrik.
  • View konfigurace úložiště, podrobnosti o zdrojích
  • View konfigurace platformy, podrobnosti o zdrojích
  • Monitorování systému (události, výstrahy)
Podpora
Role Support je speciálním druhem správce systému (všechny činnosti kromě operací správy uživatelů/zabezpečení), který mohou používat pouze pracovníci podpory (CX) a vývojáři. Tato uživatelská role má přístup k nezdokumentovaným speciálním operacím a možnostem běžných operací, které jsou vyžadovány pouze pro účely podpory.
POZNÁMKA: Tuto speciální roli by měla používat pouze podpora. Otevírá speciální, často nebezpečné, příkazy pro pokročilé odstraňování problémů.
  • Spravujte prostředky úložiště
  • Správa operací životního cyklu, skupin prostředků, šablon, nasazení, backendových operací
  • Správa replikačních operací, peer systémů, RCG
  • Spravujte snímky, zásady snímků
  • Vyměňte disky
  • Hardwarové operace
  • View konfigurace úložiště, podrobnosti o zdrojích
  • View konfigurace platformy, podrobnosti o zdrojích
  • Monitorování systému (události, výstrahy)
  • Proveďte operace provozuschopnosti
  • Speciální operace podpory Dell Technologies

Zabezpečená podpora vzdáleného telefonického připojení

  • Rack PowerFlex využívá Secure Connect Gateway k poskytování zabezpečené podpory vzdáleného telefonického připojení od podpory Dell Technologies.
  • Funkce pověření vzdálené služby poskytuje mechanismus pro bezpečné generování ověřovacích tokenů založených na relaci pomocí servisního účtu definovaného na spravovaném zařízení pro podporu telefonického připojení vzdáleného zařízení.

Výchozí účet PowerFlex
PowerFlex Manager má následující výchozí účet.

Uživatelský účet Popis
Admin
  • PowerFlex Manager má jeden výchozí účet („admin“) s výchozím heslem Admin123!. Použijte Web UI, když se přihlašujete poprvé. Po dokončení počátečního nasazení musíte heslo nahradit.
  • Tento účet je superuživatelem a poskytuje plná oprávnění správce ke všem činnostem konfigurace a monitorování.

Uživatelské účty jsou vedeny lokálně nebo prostřednictvím LDAP. Informace o mapování uživatelských rolí naleznete v Průvodci konfigurací zabezpečení Dell PowerFlex 4.0.x.

uzly PowerFlex

  • Můžete nastavit uživatelské účty se specifickými oprávněními (oprávnění na základě rolí) pro správu uzlů PowerFlex pomocí integrovaného řadiče vzdáleného přístupu Dell (iDRAC).
  • Nastavte místní uživatele nebo použijte adresářové služby, jako je Microsoft Active Directory nebo LDAP, k nastavení uživatelských účtů.
  • iDRAC podporuje přístup na základě rolí k uživatelům se sadou přidružených oprávnění. Role jsou správce, operátor, pouze pro čtení nebo žádné. Role definuje maximální dostupná oprávnění.
  • Další informace naleznete v uživatelské příručce k integrovanému řadiči vzdáleného přístupu Dell.

Výchozí účty skokového serveru založeného na vestavěném operačním systému
Server skoku pro správu na bázi vestavěného operačního systému používá následující výchozí účty:

Uživatelský účet Popis
admin Účet používaný pro vzdálené přihlášení přes SSH nebo VNC
vykořenit Root SSH je ve výchozím nastavení zakázán

Přístup SSH a GUI (VNC) je standardně povolen pro skokový server založený na vestavěném operačním systému.

Přepínače Dell PowerSwitch

Přepínače PowerSwitch používají jako operační systém OS10.
OS10 podporuje dva výchozí uživatele

  • admin – používá se k přihlášení do CLI
  • linuxadmin – používá se pro přístup k shellu Linuxu

Chcete-li zakázat uživatele linuxadmin

  1. Vstupte do režimu CONFIGURATION.
  2. Zadejte tento příkaz: OS10(config)# system-user linuxadmin disable

Přístup na základě rolí pro přepínače PowerSwitch

  • Přepínače PowerSwitch podporují řízení přístupu na základě rolí.
  • Následující tabulka shrnuje role, ke kterým může být uživatel přiřazen
Uživatelský účet Popis
správce systému Správce systému
Uživatelský účet Popis
  • Plný přístup ke všem systémovým příkazům a systémovému shellu
  • Výhradní přístup k příkazům, které manipulují s file systém
  • Může vytvářet ID uživatelů a uživatelské role
secadmin Bezpečnostní správce
  • Úplný přístup ke konfiguračním příkazům, které nastavují zásady zabezpečení a přístup k systému, jako je síla hesla, autorizace AAA a kryptografické klíče
  • Může zobrazit informace o zabezpečení, jako jsou kryptografické klíče, statistiky přihlášení a informace protokolu
netadmin Správce sítě
  • Úplný přístup ke konfiguračním příkazům, které řídí provoz procházející přepínačem, jako jsou trasy, rozhraní a ACL
  • Nelze získat přístup ke konfiguračním příkazům pro funkce zabezpečení
  • Nelze view bezpečnostní informace
síťový operátor Provozovatel sítě
  • Přístup do režimu EXEC do view aktuální konfiguraci
  • Nelze upravit žádné nastavení konfigurace na přepínači

Úrovně oprávnění pro přepínače PowerSwitch

Použijte úrovně oprávnění k omezení uživatelského přístupu k podmnožině příkazů. Následující tabulka popisuje podporované úrovně oprávnění:

Úroveň Popis
0 Poskytuje uživatelům nejmenší oprávnění a omezuje přístup k základním příkazům
1 Poskytuje přístup k sadě příkazů show a určitým operacím, jako je pint, traceroute a tak dále
15 Poskytuje přístup ke všem dostupným příkazům pro konkrétní uživatelskou roli
0, 1 a 15 Systémem nakonfigurované úrovně oprávnění s předdefinovanou sadou příkazů
2 až 14 Není nakonfigurováno; tyto úrovně můžete přizpůsobit pro různé uživatele a přístupová práva.

Další informace naleznete v uživatelské příručce OS10 Enterprise Edition.

Dell CloudLink
Každému uživateli CloudLink je přiřazena role, která určuje jeho oprávnění v CloudLink Center. V následující tabulce jsou uvedeny výchozí uživatelské účty CloudLink Center:

Uživatelský účet Popis Výchozí heslo
vykořenit Rootový účet operačního systému Žádný
secadmin Používá se pro správce CloudLink Center prostřednictvím web uživatelské rozhraní Žádný; uživatel musí nastavit heslo při prvním přihlášení

CloudLink podporuje různé typy autentizačních metod

  • Místní uživatelské účty na serveru CloudLink Center
  • Služba Windows Active Directory LDAP nebo LDAPs
  • Vícefaktorové ověřování pomocí aplikace Google Authenticator nebo RSA SecurID pro místní uživatele nebo uživatele domény Windows CloudLink podporuje přístup pro uživatelské účty na základě rolí. Další informace naleznete v příručce Dell CloudLink Administration Guide

PowerFlex se systémem Microsoft Windows Server 2019 konfigurace pouze výpočetních uzlů
Tato část obsahuje podrobnosti o konfiguraci ověřování a autorizace pro pouze výpočetní uzly PowerFlex se systémem Windows Server 2019.

Zakázat vestavěný účet hosta
Tento postup použijte k deaktivaci vestavěného účtu hosta.
Kroky

  1. V okně Spustit zadejte gpedit.msc a klikněte na OK. Zobrazí se Editor místních zásad skupiny.
  2. V levém podokně klikněte na Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Možnosti zabezpečení.
  3. V podokně Zásady poklepejte na Účty: Stav účtu hosta a vyberte Zakázáno.
  4. Klepněte na tlačítko OK.

Povolte zásadu složitosti hesla
Tento postup použijte k povolení zásady složitosti hesla.
Kroky

  1. V okně Spustit zadejte gpedit.msc a klikněte na OK. Zobrazí se Editor místních zásad skupiny.
  2. V levém podokně klikněte na Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtů > Zásady hesel.
  3. V podokně zásad poklepejte na položku Heslo musí splňovat požadavky na složitost a vyberte možnost Povoleno.
  4. Klepněte na tlačítko OK.

Nakonfigurujte minimální délku hesla
Tento postup použijte ke konfiguraci minimální délky hesla pro Windows Server 2019.
Kroky

  1. V okně Spustit zadejte gpedit.msc a klikněte na OK. Zobrazí se Editor místních zásad skupiny.
  2. V levém podokně klikněte na Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Zásady účtů > Zásady hesel.
  3. V podokně Zásady poklepejte na Minimální délka hesla a změna Heslo musí mít alespoň: až 14 znaků.
  4. Klepněte na tlačítko OK.

Zakázat blok zpráv serveru
Pomocí tohoto postupu zakážete blokování zpráv serveru (SMB) v1.
Kroky

  1. Otevřete Správce serveru a vyberte server s funkcí.
  2. V záhlaví klikněte na Správce. Z rozevíracího seznamu vyberte Odebrat role a funkce.
  3. V okně Vybrat cílový server vyberte příslušný server v části Výběr serveru a klikněte na Další.
  4. Klepněte na tlačítko Další.
    1. Zobrazí se stránka Funkce.
  5. Hledat SMB 1.0/CIFS File Sdílejte podporu a proveďte jednu z následujících akcí
    1. Pokud SMB 1.0/CIFS File Zaškrtávací políčko Podpora sdílení je zrušeno, klepněte na tlačítko Storno.
    2. Pokud SMB 1.0/CIFS File Je zaškrtnuto políčko Podpora sdílení, zrušte zaškrtnutí políčka a klikněte na Další > Odebrat.

Nastavte limit nečinnosti a spořič obrazovky
Tento postup použijte k nastavení limitu nečinnosti na 15 minut nebo méně. To uzamkne systém pomocí spořiče obrazovky.
Kroky

  1. V okně Spustit zadejte gpedit.msc a klikněte na OK.
    1. Zobrazí se Editor místních zásad skupiny.
  2. V levém podokně klikněte na Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Možnosti zabezpečení. Zásady se zobrazí v pravém podokně.
  3. V podokně Zásady poklepejte na Interaktivní přihlášení: Limit nečinnosti počítače a nastavte Stroj bude uzamčen po 900 sekundách nebo méně (kromě 0).
  4. Klepněte na tlačítko OK.

Omezit přístup
Tento postup použijte k omezení přístupu ze sítě pouze na správce, ověřené uživatele a skupiny řadičů podnikové domény na řadičích domény.
Kroky

  1. V okně Spustit zadejte gpedit.msc a klikněte na OK.
    1. Zobrazí se Editor místních zásad skupiny.
  2. V levém podokně klikněte na Konfigurace počítače > Nastavení systému Windows > Nastavení zabezpečení > Místní zásady > Přiřazení uživatelských práv.
  3. V podokně Zásady poklepejte na Přístup k tomuto počítači ze sítě a vyberte Pouze správci, ověření uživatelé a podnikové řadiče domény.
    POZNÁMKA: Chcete-li vybrat více účtů nebo skupin, stiskněte klávesu Ctrl a klikněte na účty nebo skupiny, které chcete vybrat.
  4. Klepněte na tlačítko OK.

Auditování a protokolování

Systémová upozornění

  • PowerFlex Manager zobrazuje všechny výstrahy generované komponentami systému, jako je blok, file služby, uzly a přepínače. Můžeš view systémová upozornění pomocí PowerFlex Manager, API nebo CLI.
  • Nastavte zásady oznamování tak, aby byly výstrahy odesílány na e-mail, depeše SNMP a externí protokol syslog. Další informace najdete v tématu Přidání zásad oznámení.
  • Úroveň závažnosti systémových výstrah můžete upravit. Továrně definované výstrahy jsou odesílány společnosti Dell Technologies spolu s původními továrně definovanými daty závažnosti pro analýzu hlavních příčin. Pro jiné účely se používají uživatelem definované úrovně závažnosti.

Přidejte zásady oznámení
Když přidáte zásady oznamování, definujete pravidla pro zpracování událostí nebo výstrah ze zdrojů a do kterých cílů se mají tyto informace zasílat.
Kroky

  1. Přejděte do Nastavení > Události a upozornění > Zásady oznámení.
  2. Klikněte na Vytvořit novou zásadu.
  3. Zadejte název a popis zásady oznámení.
  4. Z nabídky Doména prostředků vyberte doménu prostředků, do které chcete přidat zásady oznámení. Možnosti domény zdroje jsou:
    • Vše
    • Řízení
    • Blokovat (úložiště)
    • File (Skladování)
    • Compute (servery, operační systémy, virtualizace)
    • Síť (přepínače, konektivita atd.)
    • Zabezpečení (RBAC, certifikáty, CloudLink atd.)
  5. Z nabídky Typ zdroje vyberte, jak chcete přijímat události a výstrahy. Možnosti typu zdroje jsou:
    • Snmpv2c
    • Snmpv3
    • Syslog
    • Powerflex
  6. Zaškrtněte políčko vedle úrovní závažnosti, které chcete přiřadit k této zásadě. Závažnost označuje riziko (pokud existuje) pro systém ve vztahu ke změnám, které vygenerovaly zprávu o události.
  7. Vyberte požadovaný cíl a klikněte na Odeslat.

Upravte zásady oznámení
Můžete upravit určitá nastavení, která jsou přidružena k zásadám oznámení.

O tomto úkolu
Jakmile je typ zdroje nebo cíl přiřazen k zásadám oznámení, nemůžete změnit.
Kroky

  1. Přejděte do Nastavení > Události a upozornění > Zásady oznámení.
  2. Vyberte zásady oznámení, které chcete upravit.
  3. Zásady oznámení můžete upravit následujícími způsoby:
    • Chcete-li zásadu aktivovat nebo deaktivovat, klikněte na Aktivní.
    • Chcete-li zásady upravit, klepněte na tlačítko Upravit. Otevře se okno Upravit zásady upozornění.
  4. Klikněte na Odeslat.

Odstraňte zásady oznámení
Jakmile jsou zásady oznámení odstraněny, nelze je obnovit.

O tomto úkolu
Chcete-li odstranit zásady oznámení
Kroky

  1. Přejděte do Nastavení > Události a upozornění > Zásady oznámení.
  2. Vyberte zásady oznámení, které chcete odstranit.
  3. Klikněte na Smazat. Obdržíte informační zprávu s dotazem, zda jste si jisti, že chcete zásadu odstranit.
  4. Klikněte na Odeslat a klikněte na Odmítnout.

Systémové protokoly událostí

  • PowerFlex Manager zobrazuje protokoly systémových událostí generované systémovými komponentami, hardwarovými a softwarovými zásobníky. Můžeš view protokol systémových událostí pomocí PowerFlex Manager, REST API nebo CLI.
  • Zásada uchovávání protokolů systémových událostí je 13 měsíců nebo 3 miliony událostí. Zásady upozornění můžete nastavit tak, aby se protokol systémových událostí posílal na e-mail nebo přesměroval na syslog. Další informace najdete v tématu Přidání zásad oznámení.

Protokoly aplikací
Aplikační protokoly jsou nízkoúrovňové protokoly systémových komponent. Ty jsou většinou užitečné pro analýzu hlavních příčin. Brána Secure Connect Gateway umožňuje bezpečné, vysokorychlostní, 24×7 vzdálené připojení mezi Dell Technologies a zákaznickými instalacemi, včetně:

  • Vzdálené sledování
  • Dálková diagnostika a opravy
  • Denní odesílání systémových událostí (výstup syslog), výstrah a topologie PowerFlex.

PowerFlex odesílá data do CloudIQ prostřednictvím zabezpečené brány připojení. Chcete-li povolit přenos dat do CloudIQ, nakonfigurujte Support Assist a ujistěte se, že je povolena možnost Connect to CloudIQ. Informace naleznete v části Povolení aplikace SupportAssist v příručce Dell PowerFlex 4.0.x Administration Guide.
Následující tabulka popisuje různé protokoly shromážděné různými komponentami

Komponent Umístění
deník MDM
  • Protokoly neobsahují žádná uživatelská data (protože uživatelská data neprocházejí MDM)
  • Protokoly mohou obsahovat uživatelská jména MDM (ale nikdy hesla),
 Linux: /opt/emc/scaleio/mdm/logs
Komponent Umístění
IP adresy, konfigurační příkazy MDM, události a tak dále.
protokoly LIA Linux: /opt/emc/scaleio/lia/logs

Správa a vyhledávání protokolů
Protokoly můžete spravovat a získávat různými způsoby:

  • ViewMístní aplikace protokolů MDM – Použijte příkaz showevents.py, pomocí přepínačů filtrů ovládejte závažnost výstrah.
  • Get Info—Získat informace vám umožní sestavit ZIP file systémových protokolů pro odstraňování problémů. Tuto funkci můžete spustit z místního uzlu pro jeho vlastní protokoly nebo pomocí PowerFlex Manager sestavit protokoly ze všech systémových komponent.

Prostředí VMware vSphere
Další informace o správě protokolů VMware vSphere ESXi a vCenter Server naleznete v příslušné sekci protokolování auditu VMware vSphere Security.

Protokoly serveru Dell iDRAC
Informace o protokolech serveru iDRAC naleznete v Uživatelské příručce integrovaného řadiče vzdáleného přístupu Dell.

Protokoly přepínačů PowerSwitch
Přepínače PowerSwitch podporují protokoly auditu a zabezpečení.

Log typ Popis
Audit Obsahuje konfigurační události a informace, včetně
  • Uživatel se přihlásí do přepínače
  • Systémové události pro problémy se sítí nebo systémem
  • Změny konfigurace uživatele, včetně toho, kdo změnu provedl, a data a času změny
  • Nekontrolované vypnutí
Zabezpečení Obsahuje bezpečnostní události a informace, včetně
  • Zavedení bezpečných dopravních toků, jako je SSH
  • Porušení zabezpečených toků nebo problémy s certifikáty
  • Přidávání a mazání uživatelů
  • Uživatelský přístup a změny konfigurace bezpečnostních a kryptografických parametrů

Řízení přístupu na základě rolí (RBAC) omezuje přístup k protokolům auditu a zabezpečení na základě role uživatele relace CLI. Povolení RBAC se doporučuje při povolování protokolů auditu a zabezpečení. Když je povoleno RBAC:

  • Příkaz k povolení protokolování může spustit pouze uživatelská role správce systému.
  • Uživatelské role správce systému a správce zabezpečení systému mohou view bezpečnostní události a systémové události.
  • Uživatelská role správce systému může view audit, zabezpečení a systémové události.
  • Mohou pouze uživatelské role správce systému a správce zabezpečení view bezpečnostní protokoly.
  • Role správce sítě a operátora sítě mohou view systémové události.

Vzdálený server syslog můžete nakonfigurovat tak, aby přijímal systémové zprávy z přepínačů PowerSwitch. Podrobné informace naleznete v Průvodci konfigurací Dell pro konkrétní přepínač.

Protokoly serveru CloudLink Center
Události jsou protokolovány a lze k nim přistupovat prostřednictvím rozhraní pro správu CloudLink Center. Server CloudLink Center zaznamenává události zabezpečení včetně:

  • Přihlášení uživatelů
  • Neúspěšné pokusy o odemknutí úložiště CloudLink pomocí hesla
  • Registrace stroje
  • Přejde do režimu CloudLink Vault
  • Úspěšné nebo neúspěšné pokusy o provedení zabezpečené akce uživatele
  • Klíčové aktivity, jako jsou požadavky, aktualizace nebo přesuny

Použijte a web do prohlížeče view tyto události v rozhraní pro správu CloudLink Center. Tyto události lze také odeslat na definovaný server syslog.

Zabezpečení dat
CloudLink poskytuje správu klíčů založenou na zásadách a šifrování dat v klidu pro virtuální stroje i zařízení PowerFlex. CloudLink má dvě součásti zabezpečení dat:

Komponent Popis
CloudLink Center Webrozhraní, které spravuje prostředí CloudLink
  • Spravuje šifrovací klíče používané k zabezpečení zařízení pro chráněné počítače
  • Konfiguruje zásady zabezpečení
  • Monitoruje bezpečnostní a provozní události
  • Sbírá logy
Agent CloudLink SecureVM
  • Software agenta nasazený na úložném datovém serveru (SDS), VMware ESXi SVM nebo fyzickém počítači se systémem Linux.
  • Komunikuje s CloudLink Center pro autorizaci před spuštěním a dešifrování šifrovacích klíčů dm-crypt.

Šifrovací klíče
CloudLink používá dva typy šifrovacích klíčů k zabezpečení strojů, které používají softwarové šifrování úložiště

Klíč Popis
Šifrovací klíč zařízení/volume key (VKEK) CloudLink generuje pár VKEK pro každé zařízení.
Šifrovací klíč zařízení CloudLink generuje jedinečný šifrovací klíč zařízení pro každé šifrované zařízení. Nativní technologie v operačním systému stroje používají šifrovací klíč.

CloudLink Center spravuje samošifrovací disky (SED). SED spravovaný CloudLinkem je uzamčen. CloudLink Center musí uvolnit šifrovací klíč k odemknutí SED.

  • Porty a autentizační protokoly
    Seznam portů a protokolů PowerFlex Manager naleznete v Průvodci konfigurací zabezpečení Dell PowerFlex 4.0.x.
  • Porty a protokoly VMware vSphere
    Tato část obsahuje informace o portech a protokolech VMware vSphere.
  • VMware vSphere 7.0
    Informace o portech a protokolech pro VMware vCenter Server a hostitele VMware ESXi najdete v části Porty a protokoly VMware.
  • Porty a protokoly CloudLink Center
    CloudLink Center používá pro datovou komunikaci následující porty a protokoly
Přístav Protokol Typ portu Směr Použití
80 HTTP TCP Příchozí/odchozí Stažení agenta CloudLink a komunikace s clusterem
443 HTTPs TCP Příchozí/odchozí CloudLink Center web přístup a clusterová komunikace
1194 Proprietární přes TLS 1.2 TCP, UDP Příchozí Komunikace agenta CloudLink
5696 KMIP TCP Příchozí Služba KMIP
123 NTP UDP Odchozí NTP provoz
162 SNMP UDP Odchozí SNMP provoz
514 syslog UDP Odchozí Vzdálená komunikace se serverem syslog

Vestavěný management založený na operačním systému přeskakuje serverové porty a protokoly
Vestavěný skokový server založený na operačním systému používá pro datovou komunikaci následující porty a protokoly:

Přístav Protokol Typ portu Směr Použití
22 SSH TCP Příchozí Přístup pro správu
5901 VNC TCP Příchozí Přístup ke vzdálené ploše
5902 VNC TCP Příchozí Přístup ke vzdálené ploše

© 2022–2023 Dell Inc. nebo její dceřiné společnosti. Všechna práva vyhrazena. Dell Technologies, Dell a další ochranné známky jsou ochranné známky společnosti Dell Inc. nebo její
dceřiné společnosti. Ostatní ochranné známky mohou být ochrannými známkami příslušných vlastníků.

Dokumenty / zdroje

Konfigurace zabezpečení racku DELL PowerFlex s PowerFlex 4.x [pdfUživatelská příručka
PowerFlex 4.x, PowerFlex Rack s PowerFlex 4.x, PowerFlex Rack, Konfigurace zabezpečení PowerFlex Rack s PowerFlex 4.x, Konfigurace zabezpečení PowerFlex Rack

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *