Hardening-Richtlinien für StorageGRID-Knoten
StorageGRID Nodes können auf VMware Virtual Machines, innerhalb eines Docker Containers auf Linux-Hosts oder als dedizierte Hardware-Appliances implementiert werden. Jeder Plattformtyp und jeder Node-Typ verfügt über eigene Best Practices zur Härtung.
Firewall-Konfiguration
Im Rahmen des System-Hardening-Prozesses müssen Sie externe Firewall-Konfigurationen überprüfen und ändern, damit der Datenverkehr nur von den IP-Adressen und den Ports akzeptiert wird, von denen er unbedingt benötigt wird.
Bei Nodes, die auf VMware Plattformen und StorageGRID Appliances ausgeführt werden, kommt eine interne Firewall zum Einsatz, die automatisch gemanagt wird. Diese interne Firewall bietet zwar eine zusätzliche Schutzschicht gegen häufig vorgängige Bedrohungen, sie macht aber keine externe Firewall erforderlich.
Eine Liste aller von StorageGRID verwendeten internen und externen Ports finden Sie im Installationsleitfaden für Ihre Plattform.
Virtualisierung, Container und gemeinsam genutzte Hardware
Vermeiden Sie bei allen StorageGRID Nodes die Ausführung von StorageGRID auf derselben physischen Hardware wie die nicht vertrauenswürdige Software. Gehen Sie nicht davon aus, dass der Hypervisor-Schutz Malware den Zugriff auf StorageGRID geschützte Daten verhindert, wenn sowohl StorageGRID als auch die Malware auf derselben physischen Hardware vorhanden sind. So nutzen beispielsweise die Meltdown- und Specter-Angriffe kritische Schwachstellen in modernen Prozessoren und ermöglichen Programmen, Daten im Arbeitsspeicher auf demselben Computer zu stehlen.
Deaktivieren Sie nicht verwendete Dienste
Bei allen StorageGRID-Knoten sollten Sie den Zugriff auf nicht genutzte Services deaktivieren oder blockieren. Wenn Sie beispielsweise nicht planen, den Client-Zugriff auf die Audit-Shares für CIFS oder NFS zu konfigurieren, blockieren oder deaktivieren Sie den Zugriff auf diese Dienste.
Schutz von Nodes während der Installation
Erlauben Sie nicht, nicht vertrauenswürdigen Benutzern über das Netzwerk auf StorageGRID-Knoten zuzugreifen, wenn die Knoten installiert werden. Nodes sind erst dann vollständig gesichert, wenn sie sich dem Grid angeschlossen haben.
Richtlinien für Admin-Nodes
Admin Nodes stellen Managementservices wie Systemkonfiguration, Monitoring und Protokollierung bereit. Wenn Sie sich beim Grid Manager oder dem Tenant Manager anmelden, stellen Sie eine Verbindung zu einem Admin-Node her.
Befolgen Sie diese Richtlinien, um die Admin-Knoten in Ihrem StorageGRID-System zu sichern:
-
Sichern Sie alle Admin-Knoten von nicht vertrauenswürdigen Clients, wie denen im offenen Internet. Stellen Sie sicher, dass kein nicht vertrauenswürdiger Client auf einen beliebigen Admin-Node im Grid-Netzwerk, auf das Admin-Netzwerk oder auf das Client-Netzwerk zugreifen kann.
-
StorageGRID-Gruppen steuern den Zugriff auf Grid Manager- und Mandantenmanager-Funktionen. Gewähren Sie jeder Gruppe von Benutzern die erforderlichen Mindestberechtigungen für ihre Rolle, und verwenden Sie den schreibgeschützten Zugriffsmodus, um zu verhindern, dass Benutzer die Konfiguration ändern.
-
Verwenden Sie bei der Verwendung von StorageGRID Load Balancer-Endpunkten Gateway-Nodes anstelle von Admin-Nodes für nicht vertrauenswürdigen Client-Datenverkehr.
-
Wenn Mandanten nicht vertrauenswürdig sind, dürfen sie keinen direkten Zugriff auf den Mandantenmanager oder die Mandantenmanagement-API haben. Verwenden Sie stattdessen ein Mandantenportal oder ein externes Mandantenmanagement-System, das mit der Mandantenmanagement-API interagiert.
-
Optional können Sie einen Admin-Proxy verwenden, um mehr Kontrolle über die AutoSupport Kommunikation von Admin Nodes zur NetApp Unterstützung zu erhalten. Lesen Sie die Schritte zum Erstellen eines Admin-Proxys in den Anweisungen zur Administration von StorageGRID.
-
Verwenden Sie optional die eingeschränkten 8443- und 9443-Ports, um die Kommunikation zwischen Grid Manager und Tenant Manager voneinander zu trennen. Blockieren Sie den gemeinsam genutzten Port 443 und beschränken Sie Mandantenanforderungen auf Port 9443, um zusätzlichen Schutz zu bieten.
-
Verwenden Sie optional separate Admin-Nodes für Grid-Administratoren und Mandantenbenutzer.
Weitere Informationen finden Sie in den Anweisungen zum Verwalten von StorageGRID.
Richtlinien für Storage-Nodes
Storage-Nodes managen und speichern Objektdaten und Metadaten. Befolgen Sie diese Richtlinien, um die Speicherknoten in Ihrem StorageGRID System zu sichern.
-
Aktivieren Sie keine Outbound-Services für nicht vertrauenswürdige Mandanten. Wenn Sie beispielsweise das Konto für einen nicht vertrauenswürdigen Mandanten erstellen, dürfen Sie dem Mandanten nicht erlauben, seine eigene Identitätsquelle zu verwenden, und lassen Sie die Nutzung von Plattformdiensten nicht zu. Informationen zum Erstellen eines Mandantenkontos finden Sie in den Anweisungen für die Administration von StorageGRID.
-
Verwenden Sie einen Drittanbieter-Load-Balancer für nicht vertrauenswürdigen Client-Datenverkehr. Der Lastausgleich von Drittanbietern bietet mehr Kontrolle und zusätzlichen Schutz vor Angriffen.
-
Optional können Sie einen Storage Proxy verwenden, um mehr Kontrolle über Cloud Storage Pools und die Kommunikation von Plattform-Services von Storage Nodes zu externen Services zu erhalten. Lesen Sie die Schritte zum Erstellen eines Speicher-Proxy in den Anweisungen für die Administration von StorageGRID.
-
Optional können Sie über das Client-Netzwerk eine Verbindung zu externen Diensten herstellen. Wählen Sie dann Konfiguration > Netzwerkeinstellungen > nicht vertrauenswürdiges Clientnetzwerk aus, und geben Sie an, dass das Client-Netzwerk auf dem Speicherknoten nicht vertrauenswürdig ist. Der Speicherknoten akzeptiert keinen eingehenden Datenverkehr im Client-Netzwerk mehr, aber er erlaubt weiterhin ausgehende Anfragen für Platform Services.
Richtlinien für Gateway-Nodes
Gateway-Knoten stellen eine optionale Schnittstelle zum Lastausgleich bereit, über die Client-Anwendungen eine Verbindung zu StorageGRID herstellen können. Befolgen Sie die folgenden Richtlinien zum Sichern aller Gateway-Knoten in Ihrem StorageGRID System:
-
Konfigurieren und verwenden Sie Load Balancer-Endpunkte anstatt den CLB-Service auf Gateway-Nodes zu verwenden. Lesen Sie in den Anweisungen zur Administration von StorageGRID die Schritte zum Verwalten des Lastausgleichs.
Der CLB-Service ist veraltet. -
Verwenden Sie für nicht vertrauenswürdigen Client-Datenverkehr einen Drittanbieter-Load-Balancer zwischen Client und Gateway-Node oder Storage-Nodes. Der Lastausgleich von Drittanbietern bietet mehr Kontrolle und zusätzlichen Schutz vor Angriffen. Wenn Sie einen Load Balancer eines Drittanbieters verwenden, kann der Netzwerk-Traffic optional auch so konfiguriert werden, dass er über einen internen Load Balancer-Endpunkt geleitet oder direkt an Storage Nodes gesendet wird.
-
Wenn Sie Load Balancer-Endpunkte verwenden, lassen Sie optional Clients über das Client-Netzwerk verbinden. Wählen Sie dann Konfiguration > Netzwerkeinstellungen > nicht vertrauenswürdiges Clientnetzwerk aus, und geben Sie an, dass das Client-Netzwerk auf dem Gateway-Knoten nicht vertrauenswürdig ist. Der Gateway-Node akzeptiert nur eingehenden Datenverkehr an den Ports, die explizit als Load Balancer-Endpunkte konfiguriert wurden.
Richtlinien für die Nodes von Hardware-Appliances
StorageGRID Hardware-Appliances wurden speziell für den Einsatz in einem StorageGRID System entwickelt. Einige Geräte können als Storage-Nodes verwendet werden. Andere Appliances können als Admin-Nodes oder Gateway-Nodes verwendet werden. Appliance-Nodes können mit softwarebasierten Nodes kombiniert oder voll entwickelten All-Appliance-Grids implementiert werden.
Beachten Sie diese Richtlinien zum Schutz aller Hardware-Appliance-Nodes in Ihrem StorageGRID System:
-
Wenn die Appliance SANtricity System Manager zum Management des Storage Controllers verwendet, verhindern Sie, dass nicht vertrauenswürdige Clients über das Netzwerk auf SANtricity System Manager zugreifen.
-
Wenn die Appliance über einen Baseboard Management Controller (BMC) verfügt, beachten Sie, dass der BMC-Management-Port einen niedrigen Hardwarezugriff ermöglicht. Schließen Sie den BMC-Management-Port nur an ein sicheres, vertrauenswürdiges, internes Management-Netzwerk an. Wenn kein solches Netzwerk verfügbar ist, lassen Sie den BMC-Management-Port unverbunden oder blockiert, es sei denn, eine BMC-Verbindung wird vom technischen Support angefordert.
-
Wenn die Appliance die Remote-Verwaltung der Controller-Hardware über Ethernet mit dem IPMI-Standard (Intelligent Platform Management Interface) unterstützt, blockieren Sie den nicht vertrauenswürdigen Datenverkehr auf Port 623.
-
Wenn der Storage Controller in der Appliance Laufwerke mit FDE- oder FIPS-Laufwerken umfasst und die Laufwerkssicherheitsfunktion aktiviert ist, konfigurieren Sie die Schlüssel zur Laufwerksicherheit mithilfe von SANtricity.
-
Bei Appliances ohne FDE- oder FIPS-Laufwerke ermöglicht die Node-Verschlüsselung mithilfe eines Key Management Servers (KMS).
Hinweise zur Installation und Wartung Ihrer StorageGRID Hardware-Appliance finden Sie in der Installations- und Wartungsanleitung.