Méthodes d'administration du système
Ce sont des paramètres importants pour renforcer l'administration du système ONTAP.
Accès en ligne de commande
L'établissement d'un accès sécurisé aux systèmes est un élément essentiel du maintien de la sécurité de la solution. Les options d'accès en ligne de commande les plus courantes sont SSH, Telnet et RSH. Parmi ces technologies, SSH est la meilleure pratique standard du secteur et la plus sécurisée pour l'accès à distance en ligne de commande. NetApp recommande vivement d'utiliser SSH pour l'accès en ligne de commande à la solution ONTAP.
Configurations SSH
La security ssh show
commande affiche les configurations des algorithmes d'échange de clés SSH, du chiffrement et des algorithmes MAC pour le cluster et les SVM. La méthode d'échange de clés utilise ces algorithmes et ces chiffrements pour spécifier comment les clés de session à usage unique sont générées pour le cryptage et l'authentification et comment l'authentification du serveur a lieu.
cluster1::> security ssh show Vserver Ciphers Key Exchange Algorithms MAC Algorithms -------- ---------------- -------------------------- -------------- nsadhanacluster-2 aes256-ctr, diffie-helman-group- hmac-sha2-256 aes192-ctr, exchange-sha256, hmac-sha2-512 aes128-ctr ecdh-sha2-nistp384 vs0 aes128-gcm curve25519-sha256 hmac-sha1 vs1 aes256-ctr, diffie-hellman-group- hmac-sha1-96 aes192-ctr, exchange-sha256 hmac-sha2-256 aes128-ctr, ecdh-sha2-nistp384 hmac-sha2-256- 3des-cbc, ecdh-sha2-nistp512 etm aes128-gcm hmac-sha2-512 3 entries were displayed.
Bannières de connexion
Les bannières de connexion permettent aux entreprises de présenter aux opérateurs, administrateurs, voire même aux utilisateurs malveillants, les conditions d'utilisation. Elles indiquent qui est autorisé à accéder au système. Cette approche est utile pour établir les attentes en matière d'accès et d'utilisation du système. La security login banner modify
commande modifie la bannière de connexion. La bannière de connexion s'affiche juste avant l'étape d'authentification lors du processus de connexion SSH et du périphérique de la console. Le texte de la bannière doit être entre guillemets (" "), comme dans l'exemple suivant.
cluster1::> security login banner modify -vserver cluster1 -message "Authorized users ONLY!"
Paramètres de bannière de connexion
Paramètre | Description |
---|---|
|
Utiliser ce paramètre pour spécifier le SVM avec la bannière modifiée. Utiliser le nom du SVM admin du cluster pour modifier le message au niveau du cluster. La message au niveau du cluster est utilisée par défaut pour les SVM de données qui ne disposent pas de message défini. |
|
Ce paramètre facultatif peut être utilisé pour spécifier un message de bannière de connexion. Si le cluster a un ensemble de messages de bannière de connexion, la bannière de connexion au cluster est également utilisée par tous les SVM de données. La définition de la bannière de connexion d'un SVM de données remplace l'affichage de la bannière de connexion du cluster. Pour réinitialiser une bannière de connexion SVM de données afin d'utiliser la bannière de connexion au cluster, utilisez ce paramètre avec la valeur « - ». Si vous utilisez ce paramètre, la bannière de connexion ne peut pas contenir de nouvelles lignes (également appelées extrémités de lignes [EOL] ou sauts de ligne). Pour saisir un message de bannière de connexion avec des lignes de rappel, ne spécifiez aucun paramètre. Vous êtes invité à saisir le message de manière interactive. Les messages entrés de manière interactive peuvent contenir des nouvelles lignes. Les caractères non ASCII doivent utiliser Unicode UTF-8. |
|
`(ftp |
http)://(hostname |
IPv4` |
Message du jour
La security login motd modify
commande met à jour le message du jour (MOTD).
Il existe deux catégories de MOTD : le MOTD au niveau du cluster et le MOTD au niveau du SVM de données. Un utilisateur se connectant au cluster d'un SVM de données peut voir deux messages : le MOTD au niveau du cluster suivi du MOTD au niveau du SVM pour ce SVM.
L'administrateur du cluster peut activer ou désactiver le MOTD au niveau du cluster sur chaque SVM individuellement si nécessaire. Si l'administrateur du cluster désactive le MOTD au niveau du cluster pour un SVM, un utilisateur se connectant au SVM ne voit pas le message au niveau du cluster. Seul un administrateur de cluster peut activer ou désactiver le message au niveau du cluster.
Paramètre MOTD | Description |
---|---|
Un vServer |
Utiliser ce paramètre pour spécifier le SVM pour lequel le MOTD est modifié. Utiliser le nom du SVM admin du cluster pour modifier le message au niveau du cluster. |
messagerie |
Ce paramètre facultatif peut être utilisé pour spécifier un message. Si vous utilisez ce paramètre, le MOTD ne peut pas contenir de nouvelles lignes. Si vous ne spécifiez aucun paramètre autre que le
|
Pour plus d'informations sur la configuration du message du jour dans ONTAP, reportez-vous au "Documentation ONTAP sur message du jour".
Expiration de la session CLI
Le délai d'expiration par défaut de la session CLI est de 30 minutes. Le délai d'expiration est important pour éviter les sessions obsolètes et le piggydorsal de session.
Utilisez system timeout show
la commande pour afficher le délai d'expiration actuel de la session de l'interface de ligne de commande. Pour définir la valeur du délai d'expiration, utilisez la system timeout modify -timeout <minutes>
commande.
Accès Internet avec NetApp ONTAP System Manager
Si un administrateur ONTAP préfère utiliser une interface graphique au lieu de l'interface de ligne de commandes pour accéder au cluster et le gérer, utilisez NetApp ONTAP System Manager. Il est inclus avec ONTAP en tant que service Web, activé par défaut et accessible à l'aide d'un navigateur. Pointez le navigateur sur le nom d'hôte si vous utilisez DNS ou l'adresse IPv4 ou IPv6 via https://cluster-management-LIF
.
Si le cluster utilise un certificat numérique auto-signé, il est possible que le navigateur affiche un avertissement indiquant que le certificat n'est pas approuvé. Vous pouvez soit reconnaître le risque de continuer l'accès, soit installer un certificat numérique signé par l'autorité de certification (CA) sur le cluster pour l'authentification du serveur.
Depuis ONTAP 9.3, l'authentification SAML (Security assertion Markup Language) est une option disponible dans ONTAP System Manager.
Authentification SAML pour ONTAP System Manager
SAML 2.0 est une norme du secteur largement adoptée qui permet à tout fournisseur d'identités tiers conforme à la norme SAML d'effectuer un MFA à l'aide de mécanismes propres à l'IDP choisi par l'entreprise et en tant que source d'authentification unique (SSO).
Trois rôles sont définis dans la spécification SAML : le principal, l'IDP et le fournisseur de services. Dans l'implémentation de ONTAP, un principal est l'administrateur du cluster qui accède à ONTAP via ONTAP System Manager ou NetApp Active IQ Unified Manager. Le PDI est un logiciel tiers IDP. Depuis ONTAP 9.3, Microsoft Active Directory Federated Services (ADFS) et l'IDP open source Shibboleth sont des PDI pris en charge. À partir de ONTAP 9.12.1, Cisco DUO est un IDP pris en charge. Le fournisseur de services est la fonctionnalité SAML intégrée à ONTAP qui est utilisée par ONTAP System Manager ou l'application Web Active IQ Unified Manager.
Contrairement au processus de configuration à deux facteurs SSH, une fois l'authentification SAML activée, l'accès à ONTAP System Manager ou au processeur de service ONTAP requiert l'authentification de tous les administrateurs existants via ce protocole. Aucune modification n'est requise pour les comptes utilisateur du cluster. Lorsque l'authentification SAML est activée, une nouvelle méthode d'authentification de saml
est ajoutée aux utilisateurs existants disposant des rôles d'administrateur pour http
et ontapi
les applications.
Une fois l'authentification SAML activée, les nouveaux comptes supplémentaires nécessitant l'accès SAML IDP doivent être définis dans ONTAP avec le rôle d'administrateur et la méthode d'authentification saml pour et les http
ontapi
applications. Si l'authentification SAML est désactivée à un moment ou à un autre, ces nouveaux comptes requièrent que la password
méthode d'authentification soit définie avec le rôle d'administrateur pour http
et ontapi
les applications et qu'elle ajoute l' console
application pour l'authentification ONTAP locale à ONTAP System Manager.
Une fois l'IDP SAML activé, il effectue l'authentification pour l'accès au Gestionnaire système ONTAP à l'aide des méthodes disponibles pour ce dernier, telles que le protocole LDAP (Lightweight Directory Access Protocol), Active Directory (AD), Kerberos, le mot de passe, etc. Les méthodes disponibles sont uniques au PDI. Il est important que les comptes configurés dans ONTAP aient des ID utilisateur qui correspondent aux méthodes d'authentification IDP.
Les PDI validés par NetApp sont Microsoft ADFS, Cisco DUO et Shibboleth IDP open source.
À partir de ONTAP 9.14.1, Cisco DUO peut être utilisé comme second facteur d'authentification pour SSH.
Pour plus d'informations sur MFA pour ONTAP System Manager, Active IQ Unified Manager et SSH, voir "Tr-4647 : authentification multifacteur dans ONTAP 9".
Informations ONTAP System Manager
À partir de ONTAP 9.11.1, ONTAP System Manager fournit des informations exploitables pour aider les administrateurs du cluster à rationaliser leurs tâches quotidiennes. Les informations de sécurité sont basées sur les recommandations de ce rapport technique.
Analyse de la sécurité | Détermination |
---|---|
Telnet est activé |
NetApp recommande un accès sécurisé à distance (SSH). |
Le shell distant (RSH) est activé |
NetApp recommande SSH pour un accès distant sécurisé. |
AutoSupport utilise un protocole non sécurisé |
AutoSupport n'est pas configuré pour être envoyé via lien:HTTPS. |
La bannière de connexion n'est pas configurée au niveau du cluster |
Avertissement si la bannière de connexion n'est pas configurée pour le cluster. |
SSH utilise des chiffrements non sécurisés |
Avertissement si SSH utilise des chiffrements non sécurisés. |
Trop peu de serveurs NTP sont configurés |
Avertissement si le nombre de serveurs NTP configurés est inférieur à trois. |
Utilisateur admin par défaut non verrouillé |
Lorsque vous n'utilisez aucun compte d'administration par défaut (admin ou diag) pour vous connecter à System Manager et que ces comptes ne sont pas verrouillés, il est recommandé de les verrouiller. |
Défense contre les ransomwares : les volumes n'ont pas de règles Snapshot |
Aucune règle Snapshot adéquate n'est associée à un ou plusieurs volumes. |
Défense contre les ransomware : désactivez la suppression automatique de Snapshot |
La suppression automatique des snapshots est définie pour un ou plusieurs volumes. |
Les attaques par ransomware ne font pas l'objet d'une surveillance des volumes |
La protection anti-ransomware autonome est prise en charge sur plusieurs volumes, mais pas encore configurée. |
Les SVM ne sont pas configurés pour la protection autonome contre les ransomware |
La protection anti-ransomware autonome est prise en charge sur plusieurs SVM, mais pas encore configurée. |
FPolicy natif n'est pas configuré |
FPolicy n'est pas défini pour les SVM NAS. |
Activez le mode actif de protection anti-ransomware autonome |
Plusieurs volumes ont terminé leur mode d'apprentissage et vous pouvez activer le mode actif |
La conformité à la norme FIPS 140-2 globale est désactivée |
La conformité à la norme FIPS 140-2 globale n'est pas activée. |
Le cluster n'est pas configuré pour les notifications |
Les e-mails, les webhooks ou les traphosts SNMP ne sont pas configurés pour recevoir des notifications. |
Pour plus d'informations sur ONTAP System Manager Insights, consultez le "Informations exploitables avec ONTAP System Manager".