Содржини скриј
1 DELL PowerFlex Rack безбедносна конфигурација со PowerFlex 4.x
2 Информации за производот
3 Упатство за употреба на производот
4 Забелешки, предупредувања и предупредувања
5 Вовед
6 Безбедносни размислувања
7 Автентикација и овластување
8 Локален кориснички пристап на PowerFlex Manager
9 Прекинувачи на Dell PowerSwitch
10 Ревизија и логирање
11 Документи / ресурси
11.1 Референци
12 Поврзани мислења

лого на Dell

DELL PowerFlex Rack безбедносна конфигурација со PowerFlex 4.x

DELL-PowerFlex-Rack-Security-Configuration-with-PowerFlex-4.x-product-image

Информации за производот

Dell PowerFlex Rack со PowerFlex 4.x е производ фокусиран на безбедноста, дизајниран да им обезбеди на корисниците безбеден и сигурен модел за распоредување. Производот вклучува карактеристики како што се
административна контрола, мрежна безбедност и заштита на оџакот за управување за да се осигури безбедноста на податоците и ресурсите. Исто така, ги интегрира заедничките безбедносни технологии и обезбедува насоки поврзани со специфични рамки за усогласеност и напредни решенија за облак.

Забелешки, предупредувања и предупредувања

  • Забелешка: Важни информации кои ќе ви помогнат подобро да го користите вашиот производ
  • Внимание: Покажува потенцијално оштетување на хардверот или губење на податоци и ви кажува како да го избегнете проблемот
  • Предупредување: Покажува потенцијал за материјална штета, лична повреда или смрт

Содржини

  • Поглавје 1: Вовед
  • Поглавје 2: Историја на ревизии
  • Поглавје 3: Одрекување од одговорност
  • Поглавје 4: Модел на распоредување
  • Поглавје 5: Безбедносни размислувања
  • Поглавје 6: Дневници на серверот на Cloud Link Center
  • Поглавје 7: Безбедност на податоците

Упатство за употреба на производот

Модел на распоредување

Поглавјето за моделот за распоредување дава информации за тоа како да се распореди Dell PowerFlex Rack со производ PowerFlex 4.x. Вклучува детали за различните компоненти и како да се администрираат. Исто така, дава насоки за тоа како да се користи поделбата на должностите и да се минимизира употребата на споделени ингеренциите.

Безбедносни размислувања

Поглавјето за безбедносни размислувања дава информации за тоа како да се осигура безбедноста на производот. Вклучува детали за административна контрола, мрежна безбедност и заштита на оџакот за управување. Исто така, дава упатства за тоа како да се снимат дневници на настани со систем за безбедносни информации и управување со настани (SIEM) и да се ревидираат сите активности за промена на привилегии и улоги.

Безбедност на податоците

Поглавјето за безбедност на податоците дава информации за клучевите за шифрирање и како да се обезбеди безбедност на податоците. Вклучува упатства за тоа како да управувате со клучевите за шифрирање и да ги заштитите од неовластен пристап. Генерално, важно е да ги следите упатствата дадени во Dell PowerFlex Rack with PowerFlex 4.x Security Configuration Guide за да се осигурате безбедноста и безбедноста на вашите податоци и ресурси.

Забелешки, предупредувања и предупредувања

  • ЗАБЕЛЕШКА: ЗАБЕЛЕШКА означува важни информации што ви помагаат подобро да го користите вашиот производ.
  • ВНИМАНИЕ: ВНИМАНИЕ означува или потенцијално оштетување на хардверот или губење на податоци и ви кажува како да го избегнете проблемот.
  • ПРЕДУПРЕДУВАЊЕ: ПРЕДУПРЕДУВАЊЕ означува потенцијал за материјална штета, лична повреда или смрт.

Вовед

Овој водич обезбедува збир на најдобри безбедносни практики за подобрување на безбедноста за околината на PowerFlex rack. Предвидената публика за овој водич ги вклучува оние кои планираат, спроведуваат, администрираат или ревизија на безбедносните контроли во околина на PowerFlex rack. Примарната публика е техничка, но документот се однесува на потребите на низа професионалци од безбедносни програми. Треба да имате разумно разбирање за архитектурата на решетката PowerFlex, особено за инфраструктурата за управување. Погледнете ја решетката на Dell PowerFlex со завршена архитектура PowerFlex 4.xview за повеќе информации. Dell Technologies обезбедува друга помош што може да биде корисна за да помогне во прашања поврзани со безбедноста или усогласеноста, како на пр.

  • PowerFlex rack упатство за решавање на проблемите на повеќе станари
  • Заштита на менаџерските интерфејси со зголемена поделба на должностите, идентификација, овластување, ревизија и контрола на пристап
  • Интегрирање на заеднички безбедносни технологии со држачот PowerFlex
  • Насоки поврзани со конкретни рамки и резултати за усогласеност (на прample, PCI, HIPAA, FISMA, и така натаму)
  • Насоки поврзани со напредни облак решенија

Историја на ревизии

Датум Документ ревизија Опис на промените
март 2023 година 1.2 Уреднички ажурирања
јануари 2023 година 1.1 Уреднички ажурирања
август 2022 година 1.0 Почетно ослободување

Одрекување

  • Информациите во оваа публикација се дадени „како што се“. Dell Technologies не дава никакви застапувања или гаранции во однос на информациите во оваа публикација и конкретно ги отфрла имплицитните гаранции или продавањето или соодветноста за одредена цел.
  • Одредени комерцијални субјекти, опрема или материјали може да се идентификуваат во овој документ со цел адекватно да се опише експериментална постапка или концепт. Таквата идентификација не е наменета да имплицира препорака или одобрување од Dell Technologies, ниту има намера да имплицира дека ентитетите, материјалите или опремата се нужно најдобро достапни за таа цел.
  • Ништо во овој документ не треба да се смета дека е во спротивност со стандардите и упатствата кои се задолжителни и обврзувачки со законите или правилата на владините агенции.

Модел на распоредување

  • Овој водич обезбедува збир на најдобри безбедносни практики за подобрување на безбедноста за околината на PowerFlex rack.
  • Dell PowerFlex Rack со PowerFlex 4.x Architecture Overview го опишува стандардниот модел на распоредување и други сценарија за распоредување. Овие опции за распоредување влијаат на безбедносното држење на решетката PowerFlex, а особено на безбедносната зона за управување, каде што многу безбедносни контроли влегуваат во опсег за распоредување во околината на вашиот центар за податоци.
  • За стандардниот модел на распоредување за решетката PowerFlex, дизајнот на системот претпоставува дека ќе ги обезбедите мрежните безбедносни услуги за заштита на безбедносната зона за управување. Размислете за распоредување заштитни ѕидови на работ на мрежата за управување со решетката PowerFlex за да ги обезбедите овие контроли.
  • Овој водич дава референци за корисни информации во врска со интерфејсите за управување со мрежата, портите и протоколите потребни за управување и административни операции. Користете ги овие информации за да креирате основни правила за заштитен ѕид што може да се распореди за да ја обезбеди потребната контрола на пристап до мрежата за зоната за управување.

Безбедносни размислувања

Административна контрола
Dell Technologies презема мерки на претпазливост за менување на сите стандардни администраторски лозинки и ја следи политиката за создавање сложени лозинки за сите сметки што ги контролираат интерфејсите за управување. Dell Technologies користи побезбедна опција за складирање лозинки секогаш кога е можно. Покрај промената на стандардните поставки за административна контрола на пристап, Dell Technologies препорачува да се користат следните мерки за безбедност, под услов тие да не се во спротивност со безбедносната политика на вашата организација

  • Користете LDAP сервер или Windows AD автентикација за сите компоненти на решетката PowerFlex. Овие контра мерки ги ублажуваат заканите поврзани со лозинка со политиките за лозинка и ја олеснуваат ревизијата на правата.
  • Користете ги привилегираните улоги на ниско ниво за сите компоненти на решетката PowerFlex.
  • Користете ја поделбата на должностите во најголема изводлива мера при администрирање на компоненти.
  • Минимизирајте ја употребата на споделени акредитиви. Особено, минимизирајте ја употребата на стандардните сметки за суперкорисници.
  • Снимајте ги сите дневници за настани со систем за безбедносни информации и управување со настани (SIEM). Ревизија на сите активности за промена на привилегии и улоги и поставете предупредувања за оваа активност.

Мрежна безбедност

  • Како и со другите мрежни средини, решетката PowerFlex треба да биде заштитена од мрежни напади како што се измама, душкање сообраќај и сообраќајниampеринг. Сите компоненти на решетката PowerFlex се конфигурирани да користат безбедни административни интерфејси кои се автентицирани и шифрирани. PowerFlex rack автентицира, шифрира и го одвојува сообраќајот на рамнините за управување, контрола и податоци.
  • Стандардната архитектура PowerFlex rack го одвојува сообраќајот со создавање на посебни, посветени мрежни зони за контрола, податоци, VMware vSphere v Motion, резервна копија и други цели. Дизајнот на мрежата на решетката PowerFlex ги вклучува најдобрите безбедносни практики од производителите на компоненти и за физички и за виртуелни мрежни компоненти.
  • Ако ви е потребна мрежна сегментација надвор од VLAN, можете да го конфигурирате PowerFlex решетката за да обезбеди подобрено физичко или логично одвојување на мрежните зони. Стандардниот производ може да поддржува некои опции за конфигурација, како што се списоците за контрола на пристап до мрежата (ACL) на прекинувачите на Cisco Nexus или конфигурацијата на правилата на огнениот ѕид на домаќинот VMware ESXi. Други опции за распоредување може да бараат дополнителен хардвер, софтвер или права (како што се партнерски решенија за екосистемот). За прampLe, иако не е дел од стандардната архитектура на производот, компатибилната технологија за физички или виртуелен заштитен ѕид може да се воведе на критичните мрежни граници каде што е потребно, за да се постигне потребното ниво на безбедност и контрола на пристапот.
  • Консултирајте се со тимот на вашата сметка на Dell Technologies за да дознаете повеќе за опциите за сегментација и безбедност на мрежата.

Заштита на оџакот за управување
Безбедноста на системот за управување е од витално значење за заштитата на држачот PowerFlex и неговите управувани компоненти и базени на ресурси. Покрај контролите за автентикација, овластување и сметководство (ААА), важни се следниве:

  • Управувачките интерфејси треба да имаат пораки со банери кои официјално ги известуваат корисниците за следење, недостаток на очекувања за приватност и граѓански и кривични одговорности за злонамерно или штетно однесување, без оглед на намерата.
  • Отстранете или оневозможете стандардни или добро познати сметки.
  • Конфигурирајте ги интерфејсите за управување да бараат силни лозинки.
  • Конфигурирајте ги интерфејсите за управување со релативно краток период на истекот на врската.
  • Применете ја стандардната хигиена на операциите на апликациите за управување со хостинг на системи. За прampле, распоредете антивирусни апликации, процедури за резервна копија и управување со крпење.

Автентикација и овластување

VMware vSphere опкружување VMware vCenter користи едно најавување за автентичност на корисникот врз основа на членството во групата на корисникот. Улогата на корисникот на објект или
глобалната дозвола на корисникот одредува дали корисникот може да извршува други задачи на VMware vSphere. За повеќе информации, видете ги следните теми:

  • vSphere дозволи и задачи за управување со корисници
  • Разбирање на авторизацијата во vSphere

Можете да го интегрирате VMware vCenter со Microsoft Active Directory за централизирано управување со идентитетот и пристапот.

Локален кориснички пристап на PowerFlex Manager

Кориснички улоги

  • Корисничките улоги ги контролираат активностите што можат да ги извршуваат различни типови на корисници, во зависност од активностите што ги извршуваат кога користат PowerFlex Manager.
  • Улогите што може да им се доделат на локалните корисници и на корисниците на LDAP се идентични. На секој корисник може да му се додели само една улога. Ако корисникот LDAP е доделен директно на корисничка улога, а исто така и на групна улога, корисникот LDAP ќе ги има дозволите за двете улоги.
    • ЗАБЕЛЕШКА: Корисничките дефиниции не се увезуваат од претходните верзии на PowerFlex и мора повторно да се конфигурираат.

Следната табела ги сумира активностите што може да се извршат за секоја корисничка улога

Улога Активности
Супер корисник
  • Управувајте со ресурсите за складирање
  • Управувајте со операциите на животниот циклус, групите на ресурси, шаблони, распоредувањето, операциите за заднина
Супер корисник може да ги извршува сите системски операции.
  • Управувајте со операциите за репликација, врсничките системи, RCGs
  • Управувајте со снимки, политики за снимки
  • Управувајте со корисници, сертификати
  • Заменете ги погоните
  • Хардверски операции
  • View конфигурации за складирање, детали за ресурсите
  • View конфигурација на платформата, детали за ресурсите
  • Следење на системот (настани, предупредувања)
  • Изведете операции за сервисирање
  • Ажурирајте ги системските поставки
Администратор на системот
  • Управувајте со ресурсите за складирање
  • Управувајте со операциите на животниот циклус, групите на ресурси, шаблони, распоредувањето, операциите за заднина
Системскиот администратор може да ги извршува сите операции, освен оние за управување со корисници и безбедност.
  • Управувајте со операциите за репликација, врсничките системи, RCGs
  • Управувајте со снимки, политики за снимки
  • Заменете ги погоните
  • Хардверски операции
  • View конфигурации за складирање, детали за ресурсите
  • View конфигурација на платформата, детали за ресурсите
  • Следење на системот (настани, предупредувања)
Улога Активности
  • Изведете операции за сервисирање
  • Ажурирајте ги системските поставки
Администратор за складирање
Администраторот за складирање може да ги извршува сите предни операции поврзани со складирање, вклучително и управување со елементи на веќе поставени NAS и блок системи. За exampле: создаде волумен, создаде file систем, управуваат file-кориснички квоти на сервери.
ЗАБЕЛЕШКА: Операции како што се создавање базен за складирање, креирање file-серверот и додадете јазол NAS не може да се врши од страна на администраторот за складирање, но може да се врши од улогата на администратор на животниот циклус.
  • Управувајте со ресурсите за складирање
  • Управувајте со операциите за репликација, врсничките системи, RCGs
  • Управувајте со снимки, политики за снимки
  • Заменете ги погоните
  • Хардверски операции
  • View конфигурации за складирање, детали за ресурсите
  • View конфигурација на платформата, детали за ресурсите
  • Следење на системот (настани, предупредувања)
Администратор на животниот циклус
Администраторот на животниот циклус може да управува со животниот циклус на хардверот и системите.
  • Управувајте со операциите на животниот циклус, групите на ресурси, шаблони, распоредувањето, операциите за заднина
  • Заменете ги погоните
  • Хардверски операции
  • View групи на ресурси и шаблони
  • Следење на системот (настани, предупредувања)
Менаџер за репликација
Управувачот за репликација е подмножество на улогата на администратор за складирање, за работа на постоечки системи за поставување и управување со репликација и снимки.
  • Управувајте со операциите за репликација, врсничките системи, RCGs
  • Управувајте со снимки, политики за снимки
  • View конфигурации за складирање, детали за ресурси (волумен, снимка, репликација views)
  • Следење на системот (настани, предупредувања)
Менаџер за слики
Управувачот со слики е подмножество на администратор за складирање, што работи само на постоечки системи. Оваа улога ги вклучува сите операции потребни за поставување и управување со снимки.
  • Управувајте со снимки, политики за снимки
  • View конфигурации за складирање, детали за ресурсите
  • Следење на системот (настани, предупредувања)
Администратор за безбедност
Администраторот за безбедност управува со контрола на пристап заснована на улоги (RBAC) и федерација на корисници LDAP. Ги вклучува сите безбедносни аспекти на системот.
  • Управувајте со корисници, сертификати
  • Следење на системот (настани, предупредувања)
Техничар
На овој корисник му е дозволено да ги врши сите операции на HW FRU на системот. Тој исто така може да ги изврши соодветните команди за правилно одржување, како
  • Заменете ги погоните
  • Хардверски операции
  • Следење на системот (настани, предупредувања)
  • Изведете операции за сервисирање
Улога Активности
како внесување на јазол во режим на одржување.
Замена на погон
Ова е подгрупа на улогата Техничар. Заменувачот на диск е корисник на кој му е дозволено само да ги извршува операциите потребни за замена на дискот. За прample: операции на животниот циклус на јазолот и евакуација на блок системски уред.
  • Заменете ги погоните
  • Следење на системот (настани, предупредувања)
Монитор
Улогата на монитор има пристап само за читање до системот, вклучувајќи топологија, предупредувања, настани и метрика.
  • View конфигурации за складирање, детали за ресурсите
  • View конфигурација на платформата, детали за ресурсите
  • Следење на системот (настани, предупредувања)
Поддршка
Улогата за поддршка е посебен вид системски администратор (сите активности освен операциите за управување со корисници/безбедносни) што треба да се користат само од персоналот за поддршка (CX) и програмерите. Оваа корисничка улога има пристап до недокументирани, специјални операции и опции за заеднички операции, потребни само за цели на поддршка.
ЗАБЕЛЕШКА: Оваа посебна улога треба да се користи само со поддршка. Отвора специјални, често опасни, команди за напредно решавање проблеми.
  • Управувајте со ресурсите за складирање
  • Управувајте со операциите на животниот циклус, групите на ресурси, шаблони, распоредувањето, операциите за заднина
  • Управувајте со операциите за репликација, врсничките системи, RCGs
  • Управувајте со снимки, политики за снимки
  • Заменете ги погоните
  • Хардверски операции
  • View конфигурации за складирање, детали за ресурсите
  • View конфигурација на платформата, детали за ресурсите
  • Следење на системот (настани, предупредувања)
  • Изведете операции за сервисирање
  • Специјални операции за поддршка на Dell Technologies

Безбедна поддршка за далечинско бирање

  • Решетката PowerFlex користи Secure Connect Gateway за да обезбеди безбедна поддршка за далечинско бирање од поддршката на Dell Technologies.
  • Функцијата за акредитиви за далечинска услуга обезбедува механизам за безбедно генерирање на токени за автентикација базирани на сесии, користејќи сметка за услуга дефинирана на управуван уред за поддршка за далечински уред за бирање.

Стандардната сметка на PowerFlex
PowerFlex Manager ја има следната стандардна сметка.

Корисничка сметка Опис
Админ
  • PowerFlex Manager има една стандардна сметка („админ“) со стандардна лозинка Admin123!. Користење на Web UI кога се најавувате за прв пат. Мора да ја замените лозинката откако ќе заврши првичното распоредување.
  • Оваа сметка е супер корисник и обезбедува целосни администраторски привилегии за сите активности за конфигурација и следење.

Корисничките сметки се чуваат локално или преку LDAP. За информации за мапирање на улоги на корисникот, видете го Упатството за конфигурација за безбедност на Dell PowerFlex 4.0.x.

PowerFlex јазли

  • Може да поставите кориснички сметки со специфични привилегии (овластување засновано на улоги) за да управувате со вашите јазли PowerFlex користејќи интегриран Dell Remote Access Controller (iDRAC).
  • Поставете локални корисници или користете директориумски услуги како што се Microsoft Active Directory или LDAP за да поставите кориснички сметки.
  • iDRAC поддржува пристап заснован на улоги до корисници со сет поврзани привилегии. Улогите се администратор, оператор, само за читање или ниедна. Улогата ги дефинира максималните достапни привилегии.
  • За повеќе информации, видете го Упатството за корисникот на интегрираниот контролер за далечински пристап на Dell.

Вградени стандардни сметки за скок сервер базирани на оперативен систем
Скокниот сервер за управување базиран на вграден оперативен систем ги користи следните стандардни сметки:

Корисничка сметка Опис
админ Сметка што се користи за далечинско најавување преку SSH или VNC
корен Root SSH е стандардно оневозможен

Пристапот за SSH и GUI (VNC) е стандардно овозможен за серверот за скокови базиран на вграден оперативен систем.

Прекинувачи на Dell PowerSwitch

Прекинувачите PowerSwitch користат OS10 како оперативен систем.
OS10 поддржува два стандардни корисници

  • admin – се користи за најавување на CLI
  • linuxadmin – се користи за пристап до школка на Linux

За да го оневозможите корисникот на linuxadmin

  1. Влезете во режимот КОНФИГУРАЦИЈА.
  2. Внесете ја оваа команда: OS10(config)# system-user linuxadmin disable

Пристап заснован на улоги за прекинувачите PowerSwitch

  • Прекинувачите на PowerSwitch поддржуваат контрола на пристап заснована на улоги.
  • Следната табела ги сумира улогите на кои може да се додели корисникот
Корисничка сметка Опис
sysadmin Системски администратор
Корисничка сметка Опис
  • Целосен пристап до сите системски команди и системската школка
  • Ексклузивен пристап до команди кои манипулираат со file систем
  • Може да креира кориснички ID и кориснички улоги
секадмин Администратор за безбедност
  • Целосен пристап до конфигурациските команди кои поставуваат безбедносна политика и системски пристап, како што се јачината на лозинката, овластувањето AAA и криптографските клучеви
  • Може да прикажува безбедносни информации, како што се криптографски клучеви, статистика за најавување и информации за евиденција
нетадмин Мрежен администратор
  • Целосен пристап до конфигурациските команди кои управуваат со сообраќајот што тече низ прекинувачот, како што се рути, интерфејси и ACL
  • Не може да се пристапи кон конфигурациските команди за безбедносните карактеристики
  • Не може view безбедносни информации
нетооператор Мрежен оператор
  • Пристап до режимот EXEC до view моменталната конфигурација
  • Не може да се измени ниту една конфигурациска поставка на прекинувачот

Нивоа на привилегии за прекинувачите PowerSwitch

Користете ги нивоата на привилегии за да го ограничите корисничкиот пристап до подмножество на команди. Следната табела ги опишува поддржаните нивоа на привилегии:

Ниво Опис
0 На корисниците им дава најмала привилегија, ограничувајќи го пристапот до основните команди
1 Овозможува пристап до збир на команди за прикажување и одредени операции, како што се pint, traceroute и така натаму
15 Обезбедува пристап до сите достапни команди за одредена корисничка улога
0, 1 и 15 Системски конфигурирани нивоа на привилегии со претходно дефиниран сет на команди
2 до 14 Не е конфигуриран; можете да ги приспособите овие нивоа за различни корисници и права за пристап.

За дополнителни информации, видете го упатството за корисникот на OS10 Enterprise Edition.

Dell CloudLink
На секој корисник на CloudLink му е доделена улога што ги одредува неговите дозволи во CloudLink Center. Следната табела ги наведува стандардните кориснички сметки на CloudLink Center:

Корисничка сметка Опис Стандардна лозинка
корен root сметка на оперативниот систем Никој
секадмин Се користи за администраторот на CloudLink Center преку web кориснички интерфејс Никој; корисникот мора да ја постави лозинката при првичното најавување

CloudLink поддржува различни видови методи за автентикација преку

  • Локални кориснички сметки на серверот CloudLink Center
  • Windows Active Directory LDAP или услуга LDAPs
  • Повеќефакторска автентикација со користење на Google Authenticator или RSA SecurID за локални или корисници на домен на Windows, CloudLink поддржува пристап заснован на улоги за кориснички сметки. За повеќе информации, видете го Упатството за администрација на Dell CloudLink

PowerFlex базиран на Microsoft Windows Server 2019 конфигурација на јазли само за пресметување
Овој дел содржи детали за конфигурација за автентикација и овластување за јазли само за пресметување PowerFlex базирани на Windows Server 2019.

Оневозможете ја вградената гостинска сметка
Користете ја оваа постапка за да ја оневозможите вградената гостинска сметка.
Чекори

  1. Во прозорецот Run, внесете gpedit.msc и кликнете OK. Се прикажува Уредувачот на политики за локална група.
  2. Во левиот панел, кликнете Конфигурација на компјутер > Поставки за Windows > Поставки за безбедност > Локални политики > Опции за безбедност.
  3. Во окното Политика, кликнете двапати Сметки: Статус на сметката на гости и изберете Оневозможено.
  4. Кликнете на ОК.

Овозможете ја политиката за сложеност на лозинката
Користете ја оваа постапка за да ја овозможите политиката за сложеност на лозинката.
Чекори

  1. Во прозорецот Run, внесете gpedit.msc и кликнете OK. Се прикажува Уредувачот на политики за локална група.
  2. Во левиот панел, кликнете Конфигурација на компјутер > Поставки за Windows > Поставки за безбедност > Политики за сметка > Политика за лозинка.
  3. Во окното Политика, кликнете двапати на Лозинката мора да ги исполнува барањата за сложеност и изберете Овозможено.
  4. Кликнете на ОК.

Конфигурирајте ја минималната должина на лозинката
Користете ја оваа постапка за да ја конфигурирате минималната должина на лозинката за Windows Server 2019.
Чекори

  1. Во прозорецот Run, внесете gpedit.msc и кликнете OK. Се прикажува Уредувачот на политики за локална група.
  2. Во левиот панел, кликнете Конфигурација на компјутер > Поставки за Windows > Поставки за безбедност > Политики за сметка > Политика за лозинка.
  3. Во окното Политика, кликнете двапати Минимална должина на лозинка и сменете ја Лозинката мора да биде најмалку: до 14 знаци.
  4. Кликнете на ОК.

Оневозможете го блокот за пораки на серверот
Користете ја оваа постапка за да го оневозможите блокот за пораки на серверот (SMB) v1.
Чекори

  1. Отворете го Управникот со сервери и изберете го серверот со функцијата.
  2. На заглавието, кликнете Менаџер. Изберете Отстрани улоги и карактеристики од паѓачката листа.
  3. Во прозорецот Избери дестинација сервер, изберете го соодветниот сервер од делот Избор на сервер и кликнете Следно.
  4. Кликнете Следно.
    1. Се прикажува страницата со карактеристики.
  5. Пребарај за SMB 1.0/CIFS File Поддршка за споделување и направете едно од следново
    1. Ако SMB 1.0/CIFS File Полето за избор на Поддршка за споделување е јасно, кликнете Откажи.
    2. Ако SMB 1.0/CIFS File Полето за штиклирање Поддршка за споделување е избрано, избришете го полето за избор и кликнете Следно > Отстрани.

Поставете ограничување за неактивност и заштитник на екранот
Користете ја оваа постапка за да го поставите ограничувањето за неактивност на 15 минути или помалку. Ова го заклучува системот со заштитник на екранот.
Чекори

  1. Во прозорецот Run, внесете gpedit.msc и кликнете OK.
    1. Се прикажува Уредувачот на политики за локална група.
  2. Во левиот панел, кликнете Конфигурација на компјутер > Поставки за Windows > Поставки за безбедност > Локални политики > Опции за безбедност. Политиката е прикажана на десниот панел.
  3. Во окното Политика, кликнете двапати на Интерактивно најавување: Ограничување на неактивност на машината и поставете го Машината ќе се заклучи по 900 секунди или помалку (со исклучок на 0).
  4. Кликнете на ОК.

Ограничете го пристапот
Користете ја оваа постапка за да го ограничите пристапот од мрежата само на администраторите, автентицираните корисници и групите на контролери на домени на претпријатијата на контролерите на домени.
Чекори

  1. Во прозорецот Run, внесете gpedit.msc и кликнете OK.
    1. Се прикажува Уредувачот на политики за локална група.
  2. Во левото окно, кликнете Конфигурација на компјутер > Поставки за Windows > Поставки за безбедност > Локални политики > Доделување кориснички права.
  3. Во окното Политика, кликнете двапати Пристапете до овој компјутер од мрежата и изберете Администратори, автентицирани корисници и само контролори на домени на претпријатија.
    ЗАБЕЛЕШКА: За да изберете повеќе сметки или групи, притиснете Ctrl и кликнете на сметките или групите што сакате да ги изберете.
  4. Кликнете на ОК.

Ревизија и логирање

Системски предупредувања

  • PowerFlex Manager ги прикажува сите предупредувања генерирани од компонентите на системот како блок, file услуги, јазли и прекинувачи. Ти можеш view системот предупредува со користење на PowerFlex Manager, API или CLI.
  • Поставете ги политиките за известување да испраќаат предупредувања до е-пошта, SNMP стапици и надворешен системски дневник. За повеќе информации, видете Додај политика за известување.
  • Можете да го измените нивото на сериозност на системските предупредувања. Фабрички дефинираните предупредувања се испраќаат до Dell Technologies, заедно со оригиналните фабрички дефинирани податоци за сериозноста за анализа на основната причина. За други цели, се користат нивоа на сериозност дефинирани од корисникот.

Додајте политика за известување
Кога додавате политика за известување, ги дефинирате правилата за обработка на настани или предупредувања од извори и до кои дестинации треба да се испраќаат тие информации.
Чекори

  1. Одете во Поставки > Настани и предупредувања > Политики за известувања.
  2. Кликнете на Креирај нова политика.
  3. Внесете име и опис за политиката за известување.
  4. Од менито Ресурсен домен, изберете го доменот на ресурси на кој сакате да додадете политика за известување. Опциите на доменот на ресурсите се:
    • Сите
    • Управување
    • Блокирај (складирање)
    • File (Складирање)
    • Пресметување (сервери, оперативни системи, виртуелизација)
    • Мрежа (прекинувачи, поврзување итн.)
    • Безбедност (RBAC, сертификати, CloudLink итн.)
  5. Од менито Тип на извор, изберете како сакате да се примаат настаните и предупредувањата. Опциите за тип на извор се:
    • Snmpv2c
    • Snmpv3
    • Сислог
    • powerflex
  6. Изберете го полето за избор покрај нивоата на сериозност што сакате да ги поврзете со оваа политика. Тежината го означува ризикот (ако има) за системот, во однос на промените што ја генерирале пораката за настанот.
  7. Изберете ја потребната дестинација и кликнете Испрати.

Изменете ја политиката за известување
Можете да менувате одредени поставки кои се поврзани со политика за известување.

За оваа задача
Не можете да го менувате типот на изворот или дестинацијата откако ќе се додели на политика за известување.
Чекори

  1. Одете во Поставки > Настани и предупредувања > Политики за известувања.
  2. Изберете ја политиката за известување што сакате да ја измените.
  3. Можете да изберете да ја измените политиката за известување на следниве начини:
    • За да ја активирате или деактивирате политиката, кликнете Активно.
    • За да ја измените политиката, кликнете Измени. Се отвора прозорецот за уредување политика за известување.
  4. Кликнете Испрати.

Избришете политика за известување
Откако ќе се избрише политиката за известување, таа не може да се врати.

За оваа задача
За да избришете политика за известување
Чекори

  1. Одете во Поставки > Настани и предупредувања > Политики за известувања.
  2. Изберете ја политиката за известување што сакате да ја избришете.
  3. Кликнете Избриши. Добивате информативна порака во која се прашува дали сте сигурни дека сакате да ја избришете политиката.
  4. Кликнете Испрати и кликнете Отфрли.

Системски настани

  • PowerFlex Manager ги прикажува дневниците за системски настани генерирани од системски компоненти, хардвер и софтверски стекови. Ти можеш view дневникот за системски настани користејќи PowerFlex Manager, REST API или CLI.
  • Политиката за задржување за дневници на системски настани е 13 месеци или 3 милиони настани. Можете да ги поставите политиките за известување да го испраќаат дневникот за системски настани на е-пошта или да се пренасочуваат на syslog. За повеќе информации, видете Додај политика за известување.

Дневници на апликации
Дневниците на апликациите се дневници на ниско ниво на компонентите на системот. Овие се претежно корисни за анализа на основната причина. Портата за безбедно поврзување овозможува безбедно, со голема брзина, 24×7, далечинско поврзување помеѓу Dell Technologies и инсталациите на клиентите, вклучувајќи:

  • Далечинско следење
  • Далечинско дијагностицирање и поправка
  • Секојдневно испраќање системски настани (излез од syslog), предупредувања и топологија PowerFlex.

PowerFlex испраќа податоци до CloudIQ преку портата за безбедно поврзување. За да овозможите пренос на податоци на CloudIQ, конфигурирајте го Support Assist и проверете дали е овозможена опцијата Поврзи се со CloudIQ. За информации, видете Овозможување SupportAssist во Упатството за администрација на Dell PowerFlex 4.0.x.
Следната табела опишува различни логови собрани од различни компоненти

Компонента Локација
МДМ дневник
  • Дневниците не содржат никакви кориснички податоци (бидејќи корисничките податоци не минуваат низ MDM)
  • Дневниците може да ги содржат корисничките имиња на MDM (но никогаш лозинки),
 Linux: /opt/emc/scaleio/mdm/logs
Компонента Локација
IP адреси, команди за конфигурација на MDM, настани и така натаму.
Дневници на LIA Linux: /opt/emc/scaleio/lia/logs

Управување со дневници и пронаоѓање
Можете да управувате и да враќате дневници на различни начини:

  • ViewЛокално внесување дневници на апликации MDM—Користете ја командата showevents.py, користејќи прекинувачи за филтри за да ја контролирате сериозноста на предупредувањата.
  • Get Info — Get Info ви овозможува да составите ZIP file системски дневници за смена на проблеми. Можете да ја извршите оваа функција од локален јазол за сопствените дневници или со користење на PowerFlex Manager за да соберете дневници од сите компоненти на системот.

VMware vSphere околина
За повеќе информации за управувањето со дневниците на VMware vSphere ESXi и vCenter Server, видете го соодветниот дел за евиденција за ревизија на VMware vSphere Security.

Дневници на серверот iDRAC на Dell
За информации за дневниците на серверот iDRAC, видете го Упатството за корисникот на интегрираниот контролер за далечински пристап на Dell.

Дневници на прекинувачот PowerSwitch
Прекинувачите на PowerSwitch поддржуваат ревизија и безбедносни дневници.

Дневник тип Опис
Ревизија Содржи настани и информации за конфигурација, вклучувајќи
  • Корисникот се најавува на прекинувачот
  • Системски настани за мрежни или системски проблеми
  • Промени во конфигурацијата на корисникот, вклучително и кој ја направил промената и датумот и времето на промената
  • Неконтролирано исклучување
Безбедност Содржи безбедносни настани и информации, вклучувајќи
  • Воспоставување на безбедни сообраќајни текови, како што е SSH
  • Прекршувања на безбедни текови или прашања со сертификати
  • Додавање и бришење на корисници
  • Корисничкиот пристап и конфигурацијата се менуваат во безбедносните и крипто параметрите

Контролата на пристап заснована на улоги (RBAC) го ограничува пристапот до ревизорските и безбедносните дневници, врз основа на улогата на корисникот на сесијата CLI. Овозможувањето на RBAC се препорачува кога се овозможува ревизија и безбедносни дневници. Кога RBAC е овозможено:

  • Само корисничката улога на системски администратор може да ја изврши командата за да овозможи логирање.
  • Системскиот администратор и администраторот за безбедност на системот кориснички улоги можат view безбедносни настани и системски настани.
  • Улогата на корисникот на системскиот администратор може view ревизија, безбедност и системски настани.
  • Може само улогите на администраторот на системот и корисникот на безбедносниот администратор view безбедносни дневници.
  • Улогите на мрежниот администратор и мрежниот оператор можат view системски настани.

Можете да конфигурирате далечински системски сервер да прима системски пораки од прекинувачите PowerSwitch. Видете го упатството за конфигурација на Dell за конкретниот прекинувач за детални информации.

Дневници на серверот на CloudLink Center
Настаните се евидентирани и до нив може да се пристапи преку интерфејсот за управување со CloudLink Center. Серверот CloudLink Center ги евидентира безбедносните настани, вклучувајќи:

  • Кориснички најавувања
  • Неуспешни обиди за отклучување на CloudLink Vault со помош на лозинка
  • Регистрации на машини
  • Се менува во режимот CloudLink Vault
  • Успешни или неуспешни обиди да се изврши безбедно корисничко дејство
  • Клучни активности, како што се барања, ажурирања или преместувања

Користете а web прелистувач до view овие настани во интерфејсот за управување со CloudLink Center. Овие настани може да се испратат и до дефиниран системски сервер.

Безбедност на податоците
CloudLink обезбедува управување со клучеви засновано на политики и шифрирање на податоци во мирување и за виртуелните машини и за уредите PowerFlex. CloudLink има две компоненти за безбедност на податоците:

Компонента Опис
CloudLink центар Web-базиран интерфејс кој управува со околината CloudLink
  • Управува со клучевите за шифрирање што се користат за обезбедување на уредите за заштитените машини
  • Ги конфигурира безбедносните политики
  • Ги следи безбедносните и оперативните настани
  • Собира трупци
Агент CloudLink SecureVM
  • Агентен софтвер распореден на сервер за складирање податоци (SDS), VMware ESXi SVM или физичка машина Линукс.
  • Тој комуницира со Центарот CloudLink за овластување пред стартување и дешифрирање на клучевите за шифрирање dm-crypt.

Клучеви за шифрирање
CloudLink користи два типа клучеви за шифрирање за да обезбеди машини кои користат шифрирање за складирање базирано на софтвер

Клуч Опис
Клуч за шифрирање на уред/гласен клуч (VKEK) CloudLink генерира пар VKEK за секој уред.
Клуч за шифрирање на уредот CloudLink генерира единствен клуч за шифрирање на уредот за секој шифриран уред. Матичните технологии во оперативниот систем на машината го користат клучот за шифрирање.

CloudLink Center управува со само-шифрирачки дискови (SED). SED управуван од CloudLink е заклучен. CloudLink Center мора да го ослободи клучот за шифрирање за да го отклучи SED.

  • Пристаништа и протоколи за автентикација
    За списокот на пристаништа и протоколи на PowerFlex Manager, видете го Упатството за конфигурација за безбедност на Dell PowerFlex 4.0.x.
  • VMware vSphere порти и протоколи
    Овој дел содржи информации за портите и протоколите на VMware vSphere.
  • VMware vSphere 7.0
    За информации за портите и протоколите за VMware vCenter Server и VMware ESXi хостовите, видете VMware Ports and Protocols.
  • Пристаништа и протоколи на CloudLink Center
    CloudLink Center ги користи следните порти и протоколи за комуникација со податоци
Пристаниште Протокол Тип на порта Насока Користете
80 HTTP TCP Влезни/излезни Преземање и кластер комуникација на агентот CloudLink
443 HTTP TCP Влезни/излезни CloudLink центар web пристап и кластерска комуникација
1194 Сопственост преку TLS 1.2 TCP, UDP Влезни Комуникација со агентот CloudLink
5696 KMIP TCP Влезни KMIP услуга
123 NTP UDP Излез NTP сообраќај
162 SNMP UDP Излез SNMP сообраќај
514 системски лог UDP Излез Далечинска комуникација со серверот системски дневник

Вградени порти и протоколи за управување со скокови на сервери засновани на оперативен систем
Вградениот скок сервер базиран на оперативен систем ги користи следните порти и протоколи за комуникација со податоци:

Пристаниште Протокол Тип на порта Насока Користете
22 SSH TCP Влезни Управувачки пристап
5901 VNC TCP Влезни Пристап до далечинска работна површина
5902 VNC TCP Влезни Пристап до далечинска работна површина

© 2022- 2023 Dell Inc. или нејзините подружници. Сите права се задржани. Dell Technologies, Dell и други заштитни знаци се заштитни знаци на Dell Inc. или негови
подружници. Другите трговски марки може да бидат трговски марки на нивните сопственици.

Документи / ресурси

DELL PowerFlex Rack безбедносна конфигурација со PowerFlex 4.x [pdf] Упатство за корисникот
PowerFlex 4.x, PowerFlex Rack со PowerFlex 4.x, PowerFlex Rack, PowerFlex Rack безбедносна конфигурација со PowerFlex 4.x, PowerFlex Rack безбедносна конфигурација

Референци

Поврзани мислења

Оставете коментар

Вашата адреса за е-пошта нема да биде објавена. Задолжителните полиња се означени *