Categorías de cumplimiento de clusters
En esta tabla se describen los parámetros de cumplimiento de normativas de seguridad del clúster que Unified Manager evalúa, la recomendación de NetApp y si el parámetro afecta a la determinación general del clúster que se está quejando o no.
El hecho de que haya SVM no compatibles en un clúster afectará al valor de cumplimiento de normativas para el clúster. Por lo tanto, en algunos casos puede que necesite solucionar problemas de seguridad con una SVM antes de que la seguridad del clúster se vea como compatible.
Tenga en cuenta que no todos los parámetros enumerados a continuación aparecen para todas las instalaciones. Por ejemplo, si no tiene clústeres con una relación entre iguales o si ha deshabilitado AutoSupport en un clúster, no verá los elementos de transporte HTTPS de Cluster peering o AutoSupport en la página de interfaz de usuario.
Parámetro | Descripción | Recomendación | Afecta a Cluster Compliance |
---|---|---|---|
FIPS global |
Indica si el modo de cumplimiento de normativas Global FIPS (estándar de procesamiento de información federal) 140-2 está habilitado o deshabilitado. Cuando FIPS está habilitada, TLSv1 y SSLv3 están desactivados y sólo se permiten TLSv1.1 y TLSv1.2. |
Activado |
Sí |
Telnet |
Indica si el acceso Telnet al sistema está activado o desactivado. NetApp recomienda Secure Shell (SSH) para el acceso remoto seguro. |
Deshabilitado |
Sí |
Configuración SSH no segura |
Indica si SSH utiliza cifrados no seguros, por ejemplo, cifrados que empiecen por *cbc. |
No |
Sí |
Banner de inicio de sesión |
Indica si el banner de inicio de sesión está habilitado o deshabilitado para los usuarios que acceden al sistema. |
Activado |
Sí |
Conexión de clústeres entre iguales |
Indica si la comunicación entre clústeres con una relación entre iguales está cifrada o no cifrada. El cifrado debe configurarse en los clústeres de origen y destino para que este parámetro se considere compatible. |
Cifrado |
Sí |
Protocolo de hora de red |
Indica si el clúster tiene uno o más servidores NTP configurados. Para redundancia y mejor servicio, NetApp recomienda asociar al menos tres servidores NTP al clúster. |
Configurado |
Sí |
OCSP |
Indica si hay aplicaciones en ONTAP que no están configuradas con OCSP (protocolo de estado de certificado en línea) y, por lo tanto, las comunicaciones no están cifradas. Se enumeran las aplicaciones no conformes. |
Activado |
No |
Registro de auditoría remota |
Indica si el reenvío de registros (Syslog) está cifrado o no cifrado. |
Cifrado |
Sí |
Transporte HTTPS AutoSupport |
Indica si se utiliza HTTPS como el protocolo de transporte predeterminado para enviar mensajes de AutoSupport al soporte de NetApp. |
Activado |
Sí |
Usuario administrador predeterminado |
Indica si el usuario administrador predeterminado (integrado) está activado o desactivado. NetApp recomienda bloquear (deshabilitar) cualquier cuenta integrada que no sea innecesaria. |
Deshabilitado |
Sí |
Usuarios de SAML |
Indica si SAML está configurado. SAML permite configurar la autenticación multifactor (MFA) como método de inicio de sesión para el inicio de sesión único. |
No |
No |
Usuarios de Active Directory |
Indica si está configurado Active Directory. Active Directory y LDAP son los mecanismos de autenticación preferidos para los usuarios que acceden a clústeres. |
No |
No |
Usuarios LDAP |
Indica si LDAP está configurado. Active Directory y LDAP son los mecanismos de autenticación preferidos para los usuarios que gestionan clústeres a través de usuarios locales. |
No |
No |
Usuarios certificados |
Indica si se configuró un usuario de certificado para iniciar sesión en el clúster. |
No |
No |
Usuarios locales |
Indica si se han configurado usuarios locales para iniciar sesión en el clúster. |
No |
No |
Shell remoto |
Indica si RSH está activado. Por motivos de seguridad, se debe desactivar RSH. Se recomienda Secure Shell (SSH) para acceso remoto seguro. |
Deshabilitado |
Sí |
MD5 en uso |
Indica si las cuentas de usuario de ONTAP utilizan la función Hash MD5 menos segura. Se prefiere la migración de cuentas de usuario hash MD5 a la función hash criptográfica más segura como SHA-512. |
No |
Sí |
Tipo de emisor de certificados |
Indica el tipo de certificado digital utilizado. |
Firmado por CA |
No |