Skip to main content
Cloud Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Sicherheitstool

Beitragende

Cloud Insights umfasst Sicherheitsfunktionen, mit denen Ihre Umgebung sicherer betrieben werden kann. Die Funktionen umfassen Verbesserungen bei der Verschlüsselung, Passwort-Hashing und die Fähigkeit, interne Benutzerpasswörter zu ändern sowie Schlüsselpaare, die Kennwörter verschlüsseln und entschlüsseln.

Zum Schutz sensibler Daten empfiehlt NetApp, nach einer Installation oder einem Upgrade die Standardschlüssel und das Benutzerpasswort „Acquisition“ zu ändern.

Verschlüsselte Passwörter für die Datenquelle werden in Cloud Insights gespeichert, wobei ein öffentlicher Schlüssel zur Verschlüsselung von Passwörtern verwendet wird, wenn ein Benutzer diese auf einer Konfigurationsseite des Datensammlers eingibt. Cloud Insights verfügt nicht über die privaten Schlüssel, die zum Entschlüsseln der Datensammlerkennwörter erforderlich sind. Nur Erfassungseinheiten (aus) verfügen über den privaten Datensammlerschlüssel, der zum Entschlüsseln der Datensammlerkennwörter erforderlich ist.

Überlegungen zu Upgrades und Installationen

Wenn Ihr Insight-System nicht standardmäßige Sicherheitskonfigurationen enthält (d. h. Sie haben ein rekeyed Kennwort), müssen Sie Ihre Sicherheitskonfigurationen sichern. Durch die Installation neuer Software oder in einigen Fällen eines Software-Upgrades wird das System auf eine Standardsicherheitskonfiguration zurückgesetzt. Wenn Ihr System auf die Standardkonfiguration zurückgesetzt wird, müssen Sie die nicht voreingestellte Konfiguration wiederherstellen, damit das System ordnungsgemäß funktioniert.

Sicherheitsverwaltung auf der Akquisitionseinheit

Mit dem SecurityAdmin-Tool können Sie Sicherheitsoptionen für Cloud Insights verwalten und auf dem System der Erfassungseinheit ausgeführt werden. Die Sicherheitsverwaltung umfasst das Verwalten von Schlüsseln und Passwörtern, das Speichern und Wiederherstellen von Sicherheitskonfigurationen, die Sie erstellen oder auf die Standardeinstellungen wiederherstellen.

Bevor Sie beginnen

  • Sie müssen über Administratorrechte auf dem AU-System verfügen, um die Acquisition Unit-Software (die das SecurityAdmin-Tool enthält) installieren zu können.

  • Wenn Sie nicht-Admin-Benutzer haben, die anschließend auf das SecurityAdmin-Tool zugreifen müssen, müssen diese zur cisys-Gruppe hinzugefügt werden. Die cisys-Gruppe wird während der AU-Installation erstellt.

Nach der AU-Installation befindet sich das SecurityAdmin-Tool auf dem Erfassungseinheitssystem an einem der folgenden Standorte:

Windows - C:\Program Files\SANscreen\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

Verwenden des SecurityAdmin-Tools

Starten Sie das SecurityAdmin-Tool im interaktiven Modus (-i).

Hinweis Es wird empfohlen, das SecurityAdmin-Tool im interaktiven Modus zu verwenden, um das Übergeben von Geheimnissen in der Befehlszeile zu vermeiden, die in Protokollen erfasst werden können.

Folgende Optionen werden angezeigt:

Optionen für SecurityAdmin Tool (Linux)

  1. Backup

    Erstellt eine Sicherungszip-Datei des Tresors, die alle Passwörter und Schlüssel enthält und legt die Datei an einem vom Benutzer angegebenen Speicherort oder an den folgenden Standardstandorten ab:

    Windows - C:\Program Files\SANscreen\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    Es wird empfohlen, Vault-Backups sicher zu halten, da sie vertrauliche Informationen enthalten.

  2. Wiederherstellen

    Stellt die Zip-Sicherung des erstellten Tresors wieder her. Nach der Wiederherstellung werden alle Passwörter und Schlüssel zum Zeitpunkt der Backup-Erstellung auf die vorhandenen Werte zurückgesetzt.

    Restore kann verwendet werden, um Passwörter und Schlüssel auf mehreren Servern zu synchronisieren, zum Beispiel mit den folgenden Schritten: 1) Ändern der Verschlüsselungsschlüssel auf der AU. 2) Erstellen Sie eine Sicherung des Tresors. 3) Stellen Sie die Vault-Sicherung auf jedem der aus wieder her.

  3. Skript Zum Abrufen Des Externen Schlüssels Registrieren/Aktualisieren

    Verwenden Sie ein externes Skript, um die AU-Verschlüsselungsschlüssel zu registrieren oder zu ändern, die zum Verschlüsseln oder Entschlüsseln von Gerätekennwörtern verwendet werden.

    Wenn Sie Verschlüsselungsschlüssel ändern, sollten Sie Ihre neue Sicherheitskonfiguration sichern, damit Sie sie nach einem Upgrade oder einer Installation wiederherstellen können.

    Beachten Sie, dass diese Option nur unter Linux verfügbar ist.

    Wenn Sie Ihr eigenes Schlüsselabruf-Skript mit dem SecurityAdmin-Tool verwenden, beachten Sie Folgendes:

    • Der aktuell unterstützte Algorithmus ist RSA mit mindestens 2048 Bit.

    • Das Skript muss die privaten und öffentlichen Schlüssel im Klartext zurückgeben. Das Skript darf keine verschlüsselten privaten und öffentlichen Schlüssel zurückgeben.

    • Das Skript sollte rohe, codierte Inhalte zurückgeben (nur PEM-Format).

    • Das externe Skript muss über execute Berechtigungen verfügen.

  4. Verschlüsselungstasten Drehen

    Drehen Sie die Verschlüsselungsschlüssel (heben Sie die Registrierung der aktuellen Schlüssel auf und registrieren Sie neue Schlüssel). Um einen Schlüssel aus einem externen Schlüsselverwaltungssystem zu verwenden, müssen Sie die ID des öffentlichen Schlüssels und die ID des privaten Schlüssels angeben.

  5. Auf Standardschlüssel zurücksetzen

    Setzt das Erfassungs-Benutzerpasswort und die Erfassungs-Benutzerverschlüsselungsschlüssel auf die Standardwerte zurück. Bei der Installation werden die Standardwerte angegeben.

  6. Passwort Des Truststore Ändern

    Ändern Sie das Passwort des Truststore.

  7. Passwort Des Keystore Ändern

    Ändern Sie das Passwort des Keystore.

  8. Passwort Des Verschlüsselten Collectors

    Kennwort für den Datensammler verschlüsseln.

  9. Ausgang

    Beenden Sie das SecurityAdmin-Tool.

Wählen Sie die Option, die Sie konfigurieren möchten, und befolgen Sie die Anweisungen.

Festlegen eines Benutzers, der das Tool ausführen soll

Wenn Sie sich in einer kontrollierten, sicherheitsbewussten Umgebung befinden, verfügen Sie möglicherweise nicht über die cisys-Gruppe, möchten aber möglicherweise, dass bestimmte Benutzer das SecurityAdmin-Tool ausführen.

Sie können dies erreichen, indem Sie die AU-Software manuell installieren und den Benutzer/die Gruppe angeben, für den Sie Zugriff haben möchten.

  • Laden Sie den CI Installer mithilfe der API auf das AU-System herunter, und entpacken Sie ihn.

    • Sie benötigen ein einmaliger Autorisierungstoken. Siehe API Swagger Dokumentation (Admin > API Access und wählen Sie den Link API Documentation) und finden Sie den Abschnitt GET /au/oneTimeToken API.

    • Sobald Sie das Token haben, verwenden Sie die GET /au/Installers/{Platform}/{Version} API, um die Installer-Datei herunterzuladen. Sie müssen sowohl die Plattform (Linux oder Windows) als auch die Installer-Version bereitstellen.

  • Kopieren Sie die heruntergeladene Installationsdatei auf das AU-System, und entpacken Sie sie.

  • Navigieren Sie zu dem Ordner, der die Dateien enthält, und führen Sie das Installationsprogramm als root aus. Geben Sie dabei den Benutzer und die Gruppe an:

    ./cloudinsights-install.sh <User> <Group>

Wenn der angegebene Benutzer und/oder die angegebene Gruppe nicht vorhanden ist, werden diese erstellt. Der Benutzer hat Zugriff auf das SecurityAdmin-Tool.

Proxy wird aktualisiert oder entfernt

Mit dem SecurityAdmin-Tool können Proxy-Informationen für die Acquisition Unit festgelegt oder entfernt werden, indem das Tool mit dem Parameter -PR ausgeführt wird:

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Cloud Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

Um den Proxy beispielsweise zu entfernen, führen Sie folgenden Befehl aus:

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
Sie müssen die Erfassungseinheit neu starten, nachdem Sie den Befehl ausgeführt haben.

Um einen Proxy zu aktualisieren, lautet der Befehl

./securityadmin -pr -upr <arg>

Externer Schlüsselabruf

Wenn Sie ein UNIX-Shell-Skript bereitstellen, kann es von der Erfassungseinheit ausgeführt werden, um den privaten Schlüssel und den öffentlichen Schlüssel von Ihrem Schlüsselverwaltungssystem abzurufen.

Um den Schlüssel abzurufen, führt Cloud Insights das Skript aus und gibt zwei Parameter an: Key id und key type. Key id kann verwendet werden, um den Schlüssel in Ihrem Key Management System zu identifizieren. Schlüsseltyp ist entweder "öffentlich" oder "privat". Wenn der Schlüsseltyp „public“ ist, muss das Skript den öffentlichen Schlüssel zurückgeben. Wenn der Schlüsseltyp „privat“ ist, muss der private Schlüssel zurückgegeben werden.

Um den Schlüssel an die Erfassungseinheit zurücksenden zu können, muss das Skript den Schlüssel auf die Standardausgabe drucken. Das Skript muss only den Schlüssel zur Standardausgabe drucken; kein anderer Text muss in der Standardausgabe gedruckt werden. Sobald der angeforderte Schlüssel in die Standardausgabe gedruckt wurde, muss das Skript mit einem Exit-Code von 0 beendet werden. Jeder andere Rückgabewert wird als Fehler angesehen.

Das Skript muss mit der Erfassungseinheit mit dem SecurityAdmin-Tool registriert werden, das das Skript zusammen mit der Erfassungseinheit ausführt. Das Skript muss über read und execute Berechtigungen für den Root- und „cisys“-Benutzer verfügen. Wenn das Shell-Skript nach der Registrierung geändert wird, muss das geänderte Shell-Skript erneut bei der Erfassungseinheit registriert werden.

Eingabeparameter: Schlüssel-id

Schlüsselkennung zur Identifizierung des Schlüssels im Verschlüsselungsmanagement-System des Kunden

Eingabeparameter: Schlüsseltyp

Public oder Private Cloud.

Ausgang

Die angeforderte Taste muss in der Standardausgabe ausgedruckt werden. 2048-Bit RSA-Schlüssel wird derzeit unterstützt. Schlüssel müssen im folgenden Format kodiert und gedruckt werden:

Privates Schlüsselformat - PEM, DER-encoded PKCS8 PrivateKeyInfo RFC 5958

Public Key Format - PEM, DER-encoded X.509 SubjectPublicKeyInfo RFC 5280

Exit-Code

Der Exit-Code von Null wird erfolgreich ausgeführt. Alle anderen Exit-Werte gelten als fehlgeschlagen.

Skriptberechtigungen

Das Skript muss über Lese- und Ausführungsberechtigungen für den Root- und „cisys“-Benutzer verfügen.

Protokolle

Skriptausführungen werden protokolliert. Protokolle finden Sie in -

/Var/log/netapp/Cloudinsights/securityadmin/securityadmin.log

/Var/log/netapp/Cloudinsights/acq/acq.log

Verschlüsseln eines Kennworts für die Verwendung in API

Mit Option 8 können Sie ein Passwort verschlüsseln, das Sie dann per API an einen Datensammler weiterleiten können.

Starten Sie das SecurityAdmin-Tool im interaktiven Modus und wählen Sie Option 8: Encrypt Password.

 securityadmin.sh -i
Sie werden aufgefordert, das Kennwort einzugeben, das Sie verschlüsseln möchten. Beachten Sie, dass die von Ihnen eingegebenen Zeichen nicht auf dem Bildschirm angezeigt werden.  Geben Sie das Passwort erneut ein, wenn Sie dazu aufgefordert werden.

Wenn Sie den Befehl in einem Skript verwenden, verwenden Sie alternativ auf einer Befehlszeile securityadmin.sh mit dem Parameter "-enc" und geben Ihr unverschlüsseltes Passwort ein:

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["Beispiel für CLI"]

Das verschlüsselte Passwort wird auf dem Bildschirm angezeigt. Kopieren Sie die gesamte Zeichenfolge einschließlich aller führenden oder nachgestellten Symbole.

Interaktiver Modus Kennwort verschlüsseln, Breite=640

Um das verschlüsselte Passwort an einen Datensammler zu senden, können Sie die Data Collection API verwenden. Der Swagger für diese API ist unter Admin > API Access zu finden und auf den Link "API Documentation" zu klicken. Wählen Sie den API-Typ „Data Collection“ aus. Wählen Sie unter der Überschrift Data_Collection.Data_Collector die API /Collector/Datasources POST für dieses Beispiel aus.

API zur Datenerfassung

Wenn Sie die Option preEncrypted auf true setzen, wird jedes Passwort, das Sie über den API-Befehl übergeben, als bereits verschlüsselt behandelt; die API verschlüsselt das/die Passwort(e) nicht neu. Wenn Sie Ihre API erstellen, fügen Sie einfach das zuvor verschlüsselte Passwort an der entsprechenden Stelle ein.

API-Beispiel, width=600