Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Outil d'administration de sécurité

Contributeurs netapp-alavoie
PDF

Data Infrastructure Insights inclut des fonctionnalités de sécurité qui permettent à votre environnement de fonctionner avec une sécurité renforcée. Les fonctionnalités incluent des améliorations du cryptage, du hachage de mot de passe et la possibilité de modifier les mots de passe des utilisateurs internes ainsi que les paires de clés qui cryptent et décryptent les mots de passe.

Pour protéger les données sensibles, NetApp vous recommande de modifier les clés par défaut et le mot de passe utilisateur Acquisition après une installation ou une mise à niveau.

Les mots de passe chiffrés de la source de données sont stockés dans Data Infrastructure Insights, qui utilise une clé publique pour crypter les mots de passe lorsqu'un utilisateur les saisit dans une page de configuration du collecteur de données. Data Infrastructure Insights ne dispose pas des clés privées requises pour déchiffrer les mots de passe des collecteurs de données ; seules les unités d'acquisition (AU) disposent de la clé privée du collecteur de données requise pour déchiffrer les mots de passe des collecteurs de données.

Considérations relatives à la mise à niveau et à l'installation

Lorsque votre système Insight contient des configurations de sécurité non par défaut (c'est-à-dire que vous avez réinitialisé les mots de passe), vous devez sauvegarder vos configurations de sécurité. L'installation d'un nouveau logiciel, ou dans certains cas la mise à niveau d'un logiciel, rétablit votre système à une configuration de sécurité par défaut. Lorsque votre système revient à la configuration par défaut, vous devez restaurer la configuration non par défaut pour que le système fonctionne correctement.

Gestion de la sécurité sur l'unité d'acquisition

L'outil SecurityAdmin vous permet de gérer les options de sécurité pour Data Infrastructure Insights et est exécuté sur le système de l'unité d'acquisition. La gestion de la sécurité comprend la gestion des clés et des mots de passe, l’enregistrement et la restauration des configurations de sécurité que vous créez ou la restauration des configurations aux paramètres par défaut.

Avant de commencer

  • Vous devez disposer de privilèges d'administrateur sur le système AU pour installer le logiciel Acquisition Unit (qui inclut l'outil SecurityAdmin).

  • Si vous avez des utilisateurs non administrateurs qui devront ultérieurement accéder à l'outil SecurityAdmin, ils doivent être ajoutés au groupe cisys. Le groupe cisys est créé lors de l'installation d'AU.

Après l'installation d'AU, l'outil SecurityAdmin se trouve sur le système de l'unité d'acquisition à l'un de ces emplacements :

Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

Utilisation de l'outil SecurityAdmin

Démarrez l'outil SecurityAdmin en mode interactif (-i).

Remarque Il est recommandé d'utiliser l'outil SecurityAdmin en mode interactif, pour éviter de transmettre des secrets sur la ligne de commande, qui peuvent être capturés dans les journaux.

Les options suivantes s'affichent :

Options pour l'outil SecurityAdmin (Linux)

  1. Sauvegarde

    Crée un fichier zip de sauvegarde du coffre-fort contenant tous les mots de passe et clés et place le fichier dans un emplacement spécifié par l'utilisateur, ou dans les emplacements par défaut suivants :

    Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    Il est recommandé de conserver les sauvegardes du coffre-fort en toute sécurité, car elles contiennent des informations sensibles.

  2. Restaurer

    Restaure la sauvegarde zip du coffre-fort qui a été créé. Une fois restaurés, tous les mots de passe et clés sont rétablis aux valeurs existantes au moment de la création de la sauvegarde.

    La restauration peut être utilisée pour synchroniser les mots de passe et les clés sur plusieurs serveurs, par exemple en suivant ces étapes : 1) Modifier les clés de chiffrement sur l'AU. 2) Créez une sauvegarde du coffre-fort. 3) Restaurez la sauvegarde du coffre-fort sur chacune des AU.

  3. Enregistrer / Mettre à jour le script de récupération de clé externe

    Utilisez un script externe pour enregistrer ou modifier les clés de chiffrement AU utilisées pour chiffrer ou déchiffrer les mots de passe des appareils.

    Lorsque vous modifiez les clés de chiffrement, vous devez sauvegarder votre nouvelle configuration de sécurité afin de pouvoir la restaurer après une mise à niveau ou une installation.

    Notez que cette option n'est disponible que sous Linux.

    Lorsque vous utilisez votre propre script de récupération de clé avec l’outil SecurityAdmin, gardez à l’esprit les points suivants :

    • L'algorithme actuellement pris en charge est RSA avec un minimum de 2048 bits.

    • Le script doit renvoyer les clés privées et publiques en texte brut. Le script ne doit pas renvoyer de clés privées et publiques chiffrées.

    • Le script doit renvoyer un contenu brut et codé (format PEM uniquement).

    • Le script externe doit avoir des autorisations execute.

  4. Rotation des clés de chiffrement

    Faites pivoter vos clés de chiffrement (annulez l'enregistrement des clés actuelles et enregistrez de nouvelles clés). Pour utiliser une clé provenant d'un système de gestion de clés externe, vous devez spécifier l'ID de clé publique et l'ID de clé privée.

  5. Réinitialiser les touches par défaut

    Réinitialise le mot de passe de l'utilisateur d'acquisition et les clés de chiffrement de l'utilisateur d'acquisition aux valeurs par défaut. Les valeurs par défaut sont celles fournies lors de l'installation.

  6. Modifier le mot de passe du Truststore

    Modifiez le mot de passe du truststore.

  7. Modifier le mot de passe du magasin de clés

    Modifiez le mot de passe du keystore.

  8. Crypter le mot de passe du collecteur

    Crypter le mot de passe du collecteur de données.

  9. Sortie

    Quittez l’outil SecurityAdmin.

Choisissez l’option que vous souhaitez configurer et suivez les instructions.

Spécifier un utilisateur pour exécuter l'outil

Si vous êtes dans un environnement contrôlé et soucieux de la sécurité, vous n'avez peut-être pas le groupe cisys, mais vous souhaiterez peut-être néanmoins que des utilisateurs spécifiques exécutent l'outil SecurityAdmin.

Vous pouvez y parvenir en installant manuellement le logiciel AU et en spécifiant l’utilisateur/groupe pour lequel vous souhaitez l’accès.

  • À l’aide de l’API, téléchargez le programme d’installation CI sur le système AU et décompressez-le.

    • Vous aurez besoin d’un jeton d’autorisation unique. Consultez la documentation API Swagger (Admin > Accès API et sélectionnez le lien Documentation API) et recherchez la section API GET /au/oneTimeToken.

    • Une fois que vous avez le jeton, utilisez l'API GET /au/installers/{platform}/{version} pour télécharger le fichier d'installation. Vous devrez fournir la plate-forme (Linux ou Windows) ainsi que la version du programme d'installation.

  • Copiez le fichier d'installation téléchargé sur le système AU et décompressez-le.

  • Accédez au dossier contenant les fichiers et exécutez le programme d'installation en tant que root, en spécifiant l'utilisateur et le groupe :

    ./cloudinsights-install.sh <User> <Group>

Si l'utilisateur et/ou le groupe spécifié n'existent pas, ils seront créés. L'utilisateur aura accès à l'outil SecurityAdmin.

Mise à jour ou suppression du proxy

L'outil SecurityAdmin peut être utilisé pour définir ou supprimer les informations de proxy pour l'unité d'acquisition en exécutant l'outil avec le paramètre -pr :

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

Par exemple, pour supprimer le proxy, exécutez cette commande :

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
Vous devez redémarrer l'unité d'acquisition après avoir exécuté la commande.

Pour mettre à jour un proxy, la commande est

./securityadmin -pr -upr <arg>

Récupération de clés externes

Si vous fournissez un script shell UNIX, il peut être exécuté par l'unité d'acquisition pour récupérer la clé privée et la clé publique de votre système de gestion de clés.

Pour récupérer la clé, Data Infrastructure Insights exécutera le script en transmettant deux paramètres : key id et key type. Key id peut être utilisé pour identifier la clé dans votre système de gestion de clés. Le type de clé est soit « public » soit « privé ». Lorsque le type de clé est « public », le script doit renvoyer la clé publique. Lorsque le type de clé est « privé », la clé privée doit être renvoyée.

Pour renvoyer la clé à l'unité d'acquisition, le script doit imprimer la clé sur la sortie standard. Le script doit imprimer uniquement la clé sur la sortie standard ; aucun autre texte ne doit être imprimé sur la sortie standard. Une fois la clé demandée imprimée sur la sortie standard, le script doit quitter avec un code de sortie de 0 ; tout autre code de retour est considéré comme une erreur.

Le script doit être enregistré auprès de l'unité d'acquisition à l'aide de l'outil SecurityAdmin, qui exécutera le script avec l'unité d'acquisition. Le script doit avoir les autorisations read et execute pour l'utilisateur root et "cisys". Si le script shell est modifié après l'enregistrement, le script shell modifié doit être réenregistré auprès de l'unité d'acquisition.

paramètre d'entrée : identifiant de clé

Identificateur de clé utilisé pour identifier la clé dans le système de gestion des clés des clients.

paramètre d'entrée : type de clé

public ou privé.

sortir

La clé demandée doit être imprimée sur la sortie standard. La clé RSA 2048 bits est actuellement prise en charge. Les clés doivent être codées et imprimées au format suivant : format de clé privée - PEM, codé DER PKCS8 PrivateKeyInfo RFC 5958 format de clé publique - PEM, codé DER X.509 SubjectPublicKeyInfo RFC 5280

code de sortie

Code de sortie zéro en cas de réussite. Toutes les autres valeurs de sortie sont considérées comme un échec.

autorisations de script

Le script doit avoir l'autorisation de lecture et d'exécution pour l'utilisateur root et « cisys ».

journaux

Les exécutions de scripts sont enregistrées. Les journaux peuvent être trouvés dans - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log

Crypter un mot de passe à utiliser dans l'API

L'option 8 vous permet de crypter un mot de passe, que vous pouvez ensuite transmettre à un collecteur de données via l'API.

Démarrez l'outil SecurityAdmin en mode interactif et sélectionnez l'option 8 : Crypter le mot de passe.

 securityadmin.sh -i
Vous êtes invité à saisir le mot de passe que vous souhaitez crypter.  Notez que les caractères que vous tapez ne sont pas affichés à l'écran.  Saisissez à nouveau le mot de passe lorsque vous y êtes invité.

Alternativement, si vous utilisez la commande dans un script, sur une ligne de commande, utilisez securityadmin.sh avec le paramètre « -enc », en passant votre mot de passe non chiffré :

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["Exemple de CLI"]

Le mot de passe crypté s'affiche à l'écran. Copiez la chaîne entière, y compris tous les symboles de début et de fin.

Mode interactif Crypter le mot de passe, largeur = 640

Pour envoyer le mot de passe chiffré à un collecteur de données, vous pouvez utiliser l'API de collecte de données. Le swagger de cette API peut être trouvé dans Admin > Accès API et cliquez sur le lien « Documentation API ». Sélectionnez le type d'API « Collecte de données ». Sous l'en-tête data_collection.data_collector, choisissez l'API POST /collector/datasources pour cet exemple.

API pour la collecte de données

Si vous définissez l'option preEncrypted sur True, tout mot de passe que vous transmettez via la commande API sera traité comme déjà chiffré ; l'API ne rechiffrera pas le(s) mot(s) de passe. Lors de la création de votre API, collez simplement le mot de passe précédemment crypté à l'emplacement approprié.

Exemple d'API, largeur = 600