Funciones de seguridad
SnapCenter emplea funciones de seguridad y autenticación estrictas para permitirle mantener seguros los datos.
SnapCenter incluye las siguientes funciones de seguridad:
-
Toda la comunicación con SnapCenter utiliza HTTP sobre SSL (HTTPS).
-
Todas las credenciales en SnapCenter están protegidas con el cifrado Advanced Encryption Standard (AES).
-
SnapCenter utiliza algoritmos de seguridad que cumplen con el estándar de procesamiento de información federal (FIPS).
-
SnapCenter admite el uso de certificados de CA autorizados que proporciona el cliente.
-
SnapCenter 4.1.1 o posterior admite la comunicación de seguridad de la capa de transporte (TLS) 1.2 con ONTAP. También puede usar comunicación TLS 1.2 entre clientes y servidores.
-
SnapCenter admite un conjunto determinado de conjuntos de claves de cifrado SSL para proporcionar seguridad a través de la comunicación de red.
Para obtener más información, consulte "Cómo configurar el conjunto de claves de cifrado SSL".
-
SnapCenter se instala dentro del firewall de su compañía para habilitar el acceso al servidor SnapCenter y permitir la comunicación entre SnapCenter Server y los plugins.
-
El acceso a la API de SnapCenter y las operaciones utiliza tokens cifrados con el cifrado AES, que caducan luego de 24 horas.
-
SnapCenter se integra con Windows Active Directory para el inicio de sesión y RBAC que rige los permisos de acceso.
-
IPSec es compatible con SnapCenter en ONTAP para equipos host Windows y Linux. "Leer más".
-
Los cmdlets de PowerShell de SnapCenter están protegidos por la sesión.
-
Después de un período predeterminado de 15 minutos de inactividad, SnapCenter advierte que la sesión se cerrará en 5 minutos. Después de 20 minutos de inactividad, SnapCenter cierra la sesión, que debe volver a iniciarse. Es posible modificar el período de cierre de sesión por inactividad.
-
El inicio de sesión se deshabilita temporalmente luego de 5 o más intentos incorrectos de inicio de sesión.
-
Admite la autenticación de certificados de CA entre SnapCenter Server y ONTAP. "Leer más".
-
Se añade el verificador de integridad al servidor de SnapCenter y a los plugins y valida todos los binarios enviados durante las operaciones de instalación y actualización nuevas.
Descripción general del certificado CA
El instalador de SnapCenter Server activa la compatibilidad centralizada con certificados SSL durante la instalación. Para mejorar la comunicación segura entre el servidor y el plugin, SnapCenter admite el uso de certificados de CA autorizados proporcionados por el cliente.
Debe implementar los certificados de CA después de instalar el servidor SnapCenter y los plugins respectivos. Para obtener más información, consulte "Genere un archivo CSR de certificado de CA".
También puede implementar el certificado de CA para el plugin de SnapCenter para VMware vSphere. Para obtener más información, consulte "Crear e importar certificados".
Comunicación SSL bidireccional
La comunicación SSL bidireccional protege la comunicación mutua entre el servidor de SnapCenter y los plugins.
Descripción general de la autenticación basada en certificados
La autenticación basada en certificado verifica la autenticidad de los usuarios respectivos que intentan acceder al host del plugin de SnapCenter. El usuario debe exportar el certificado de servidor de SnapCenter sin clave privada e importarlo en el almacén de confianza del host del plugin. La autenticación basada en certificado solo funciona si la función SSL bidireccional está activada.
Autenticación multifactor (MFA)
La MFA usa un proveedor de identidades (IDP) de terceros a través del lenguaje de marcado de aserción de seguridad (SAML) para gestionar las sesiones de los usuarios. Esta funcionalidad mejora la seguridad de la autenticación al tener la opción de utilizar varios factores, como TOTP, biometría, notificaciones de inserción, etc. junto con el nombre de usuario y la contraseña existentes. Además, permite al cliente utilizar sus propios proveedores de identidades de usuario para obtener un inicio de sesión unificado (SSO) en toda su cartera.
La MFA solo se aplica a los inicios de sesión de la interfaz de usuario del servidor de SnapCenter. Los inicios de sesión se autentican a través de los servicios de Federación de Active Directory (AD FS) de IDP. Puede configurar varios factores de autenticación en AD FS. SnapCenter es el proveedor de servicios y debe configurar SnapCenter como parte de confianza en AD FS. Para habilitar la MFA en SnapCenter, necesitará los metadatos de AD FS.
Para obtener información sobre cómo habilitar la MFA, consulte "Active la autenticación multifactor".