Directrices de refuerzo para nodos de StorageGRID
Sugerir cambios
PDF
Los nodos StorageGRID se pueden implementar en máquinas virtuales de VMware, en un motor de contenedores en hosts Linux o como dispositivos de hardware dedicados. Cada tipo de plataforma y cada tipo de nodo tiene su propio conjunto de prácticas recomendadas de endurecimiento.
Controlar el acceso remoto de IPMI a BMC
Es posible habilitar o deshabilitar el acceso IPMI remoto para todos los dispositivos que contengan un BMC. La interfaz de IPMI remota permite que cualquier persona que tenga una cuenta y una contraseña de BMC acceda al hardware de bajo nivel a sus dispositivos StorageGRID. Si no necesita acceso IPMI remoto a BMC, deshabilite esta opción.
-
Para controlar el acceso remoto de IPMI al BMC en Grid Manager, vaya a Configuración > Seguridad > Configuración de seguridad > Dispositivos:
-
Desactive la casilla de verificación Enable remote IPMI access para desactivar el acceso IPMI a BMC.
-
Seleccione la casilla de verificación Enable remote IPMI access para habilitar el acceso de IPMI a BMC.
-
Para obtener información adicional sobre el endurecimiento de BMC , consulte la "Controladores de administración de placa base Harden" Hoja informativa sobre ciberseguridad de la "Agencia de Seguridad Nacional (NSA)" y "Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA)" .
Configuración del firewall
Como parte del proceso de endurecimiento del sistema, debe revisar las configuraciones de firewall externo y modificarlas para que el tráfico se acepte solo de las direcciones IP y en los puertos de los que se necesite estrictamente.
StorageGRID incluye un firewall interno en cada nodo que mejora la seguridad del grid al permitirle controlar el acceso de red al nodo. Debe "gestionar los controles internos del firewall"evitar el acceso a la red en todos los puertos, excepto los necesarios para su implementación de grid específica. Los cambios de configuración que realice en la página de control del firewall se despliegan en cada nodo.
Específicamente, puede gestionar estas áreas:
-
Direcciones privilegiadas: Puede permitir que las direcciones IP o subredes seleccionadas accedan a los puertos que están cerrados por la configuración en la pestaña Administrar acceso externo.
-
Administrar el acceso externo: Puede cerrar los puertos que están abiertos por defecto, o reabrir los puertos previamente cerrados.
-
Red cliente no confiable: Puede especificar si un nodo confía en el tráfico entrante de la red cliente, así como en los puertos adicionales que desea abrir cuando la red cliente no confiable está configurada.
Aunque este firewall interno proporciona una capa adicional de protección contra algunas amenazas comunes, no elimina la necesidad de un firewall externo.
Para obtener una lista de todos los puertos internos y externos utilizados por StorageGRID, consulte"Puertos internos StorageGRID" y"Puertos que se utilizan para comunicaciones externas" .
Desactive los servicios no utilizados
Para todos los nodos de StorageGRID , debe deshabilitar o bloquear el acceso a los servicios no utilizados. Por ejemplo, si no planea utilizar DHCP, utilice el Administrador de cuadrícula para cerrar el puerto 68. Seleccione Configuración > Control de firewall > Administrar acceso externo. A continuación, cambie el interruptor de estado del puerto 68 de Abierto a Cerrado.
Virtualización, contenedores y hardware compartido
Para todos los nodos de StorageGRID, evite ejecutar StorageGRID en el mismo hardware físico que el software que no es de confianza. No asuma que las protecciones del hipervisor evitarán que el malware acceda a los datos protegidos por StorageGRID si el StorageGRID y el malware existen en el mismo hardware físico. Por ejemplo, los ataques Meltdown y Spectre aprovechan vulnerabilidades críticas en los procesadores modernos y permiten a los programas robar datos en memoria en el mismo equipo.
Proteja los nodos durante la instalación
No permita que usuarios que no sean de confianza accedan a los nodos StorageGRID a través de la red cuando se van a instalar los nodos. Los nodos no son totalmente seguros hasta que se han unido a la cuadrícula.
Limitar el acceso físico al hardware
Debe limitar el acceso físico a los nodos del dispositivo de hardware StorageGRID , así como a los hosts de máquinas virtuales VMware y a los hosts Linux que ejecutan StorageGRID , únicamente a los administradores autorizados. Algunos ejemplos de controles de acceso físico incluyen cerraduras, guardias, barreras físicas y videovigilancia.
Los nodos de dispositivos de hardware están diseñados para ser instalados y operados únicamente por administradores autorizados. No permita que administradores no autorizados accedan a los nodos del dispositivo de hardware.
Directrices para los nodos de administrador
Los nodos de administración, que proporcionan servicios de gestión como configuración, supervisión y registro del sistema. Cuando inicia sesión en el administrador de grid o en el administrador de inquilinos, se conecta a un nodo de administración.
Siga estas directrices para proteger los nodos de administrador en el sistema StorageGRID:
-
Proteja todos los nodos de administrador de clientes que no son de confianza, como los que están en Internet abierto. Asegúrese de que ningún cliente que no sea de confianza puede acceder a un nodo de administración en la red de grid, la red de administración o la red de cliente.
-
Los grupos StorageGRID controlan el acceso a las funciones de administrador de grid y administrador de inquilinos. Otorgue a cada grupo de usuarios los permisos mínimos necesarios para su función y utilice el modo de acceso de sólo lectura para evitar que los usuarios cambien la configuración.
-
Cuando se utilizan extremos de equilibrador de carga de StorageGRID, use nodos de puerta de enlace en lugar de nodos de administrador para el tráfico de cliente que no es de confianza.
-
Si tiene inquilinos que no son de confianza, no permita que tengan acceso directo al administrador de inquilinos o a la API de gestión de inquilinos. En su lugar, para que los inquilinos que no son de confianza utilicen un portal de inquilinos o un sistema de gestión de inquilinos externo, que interactúa con la API de gestión de inquilinos.
-
Opcionalmente, utilice un proxy de administrador para tener más control sobre la comunicación de AutoSupport de los nodos de administración a Soporte de NetApp. Consulte los pasos para "creando un proxy de administración".
-
Opcionalmente, utilice los puertos restringidos 8443 y 9443 para separar las comunicaciones de Grid Manager y de arrendatario Manager. Bloquee el puerto compartido 443 y limite las solicitudes de inquilinos al puerto 9443 para obtener una protección adicional.
-
De manera opcional, utilice nodos de administrador separados para los administradores de grid y los usuarios inquilinos.
Para obtener más información, consulte las instrucciones de "Administración de StorageGRID".
Directrices para nodos de almacenamiento
Los nodos de almacenamiento gestionan y almacenan metadatos y datos de objetos. Siga estas directrices para proteger los nodos de almacenamiento en el sistema StorageGRID.
-
No permita que los clientes que no son de confianza se conecten directamente con los nodos de almacenamiento. Utilice un punto final de equilibrio de carga servido por un nodo de gateway o un equilibrador de carga de terceros.
-
No habilite los servicios de salida para inquilinos que no son de confianza. Por ejemplo, al crear la cuenta para un inquilino que no sea de confianza, no permita que el inquilino utilice su propia fuente de identidad y no permita el uso de servicios de plataforma. Consulte los pasos para "crear una cuenta de inquilino".
-
Utilice un equilibrador de carga de terceros para el tráfico de clientes que no sea de confianza. El equilibrio de carga de terceros ofrece más control y niveles adicionales de protección frente a ataques.
-
Opcionalmente, utilice un proxy de almacenamiento para tener un mayor control sobre la comunicación de los pools de Cloud Storage y los servicios de plataforma de los nodos de almacenamiento a los servicios externos. Consulte los pasos para "creación de un proxy de almacenamiento".
-
Opcionalmente, conéctese a servicios externos utilizando la red del cliente. Luego, seleccione Configuración > Seguridad > Control de firewall > Redes de cliente no confiables e indique que la red de cliente en el nodo de almacenamiento no es confiable. El nodo de almacenamiento ya no acepta tráfico entrante en la red del cliente, pero continúa permitiendo solicitudes salientes para los servicios de plataforma.
Directrices para los nodos de puerta de enlace
Los nodos de puerta de enlace proporcionan una interfaz opcional de equilibrio de carga que las aplicaciones cliente pueden utilizar para conectarse a StorageGRID. Siga estas directrices para proteger cualquier nodo de puerta de enlace en el sistema StorageGRID:
-
Configurar y utilizar puntos finales del equilibrador de carga. Consulte "Consideraciones que tener en cuenta al equilibrio de carga".
-
Utilice un equilibrador de carga de terceros entre el cliente y los nodos de puerta de enlace o de almacenamiento para buscar tráfico de cliente que no sea de confianza. El equilibrio de carga de terceros ofrece más control y niveles adicionales de protección frente a ataques. Si utiliza un equilibrador de carga de terceros, se puede configurar opcionalmente el tráfico de red para que pase por un extremo de equilibrador de carga interno o se envíe directamente a nodos de almacenamiento.
-
Si está utilizando puntos finales de balanceador de carga, opcionalmente puede hacer que los clientes se conecten a través de la red del cliente. Luego, seleccione Configuración > Seguridad > Control de firewall > Redes de cliente no confiables e indique que la red de cliente en el nodo de puerta de enlace no es confiable. El nodo de puerta de enlace solo acepta tráfico entrante en los puertos configurados explícitamente como puntos finales del equilibrador de carga.
Directrices para los nodos de dispositivos de hardware
Los dispositivos de hardware StorageGRID están especialmente diseñados para su uso en un sistema StorageGRID. Algunos dispositivos se pueden usar como nodos de almacenamiento. Otros dispositivos se pueden usar como nodos de administrador o nodos de puerta de enlace. Puede combinar nodos de dispositivos con nodos basados en software o poner en marcha grids totalmente diseñados para todos los dispositivos.
Siga estas directrices para proteger cualquier nodo de dispositivo de hardware en el sistema StorageGRID:
-
Si el dispositivo utiliza System Manager de SANtricity para la gestión de la controladora de almacenamiento, evite que los clientes que no son de confianza accedan a System Manager de SANtricity a través de la red.
-
Si el dispositivo tiene un controlador de administración de placa base (BMC), tenga en cuenta que el puerto de administración de BMC permite el acceso al hardware de bajo nivel. Conecte el puerto de administración de BMC únicamente a una red de administración interna segura y confiable.
Puede establecer una VLAN para aislar las conexiones de red de BMC y restringir el acceso a Internet de BMC a redes confiables. Para obtener información adicional sobre cómo aplicar la separación de VLAN, consulte la "Controladores de administración de placa base Harden" Hoja informativa sobre ciberseguridad de la "Agencia de Seguridad Nacional (NSA)" y "Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA)" .
Si no hay disponible una red de administración interna segura y confiable, deje el puerto de administración de BMC desconectado o bloqueado. El soporte técnico podría solicitar acceso temporal durante un caso de soporte.
-
Si el dispositivo admite la administración remota del hardware de la controladora a través de Ethernet mediante el estándar de interfaz de gestión de plataforma inteligente (IPMI), bloquee el tráfico que no sea de confianza en el puerto 623.
|
Puede habilitar o deshabilitar el acceso IPMI remoto para todos los dispositivos que contengan un BMC. La interfaz IPMI remota permite el acceso de hardware de bajo nivel a sus dispositivos StorageGRID por parte de cualquier persona con una cuenta y contraseña de BMC . Si no necesita acceso IPMI remoto al BMC, deshabilite esta opción utilizando uno de los siguientes métodos: + En Grid Manager, vaya a Configuración > Seguridad > Configuración de seguridad > Dispositivos y desmarque la casilla de verificación Habilitar acceso IPMI remoto. + En la API de administración de Grid, use el punto final privado: PUT /private/bmc .
|
+ También puedesdeshabilitar el acceso remoto a IPMI .
-
Para los modelos de dispositivos que contienen unidades SED, FDE o FIPS NL-SAS que se gestionan con el administrador del sistema de SANtricity, "Habilite y configure SANtricity Drive Security".
-
Para los modelos de dispositivos que contienen SSD NVMe SED o FIPS que administra mediante el instalador de dispositivos StorageGRID y el administrador de red, "Habilite y configure el cifrado de unidades StorageGRID" .
-
Para dispositivos sin unidades SED, FDE o FIPS, utilice un servidor de administración de claves (KMS) para "Habilitar y configurar el cifrado del nodo de software StorageGRID" .
"Obtenga información sobre la seguridad de la unidad en SANtricity System Manager"