Skip to main content
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Gestion des règles TLS et SSH

Contributeurs netapp-pcarriga netapp-lhalbert
PDF

La règle TLS et SSH détermine les protocoles et les chiffrements utilisés pour établir des connexions TLS sécurisées avec les applications client et des connexions SSH sécurisées avec les services StorageGRID internes.

La règle de sécurité contrôle la façon dont TLS et SSH chiffrent les données en mouvement. En général, utilisez la règle de compatibilité moderne (par défaut), sauf si votre système doit être conforme aux critères communs ou si vous devez utiliser d'autres chiffrements.

Remarque Certains services StorageGRID n'ont pas été mis à jour pour utiliser le chiffrement inclus dans ces règles.
Avant de commencer

Sélectionnez une stratégie de sécurité

Étapes

  1. Sélectionnez Configuration > Sécurité > Paramètres de sécurité.

    L'onglet TLS et SSH policies affiche les stratégies disponibles. La règle actuellement active est indiquée par une coche verte sur la vignette de la police.

    Règles TLS et SSH

  2. Consultez les onglets pour en savoir plus sur les politiques disponibles.

    Compatibilité moderne (par défaut)

    Utilisez la politique par défaut si vous avez besoin d’un cryptage fort et que vous n’avez pas d’exigences particulières. Cette politique est compatible avec la plupart des clients TLS et SSH.

    Compatibilité avec les systèmes existants

    Utilisez la politique de compatibilité héritée si vous avez besoin d’options de compatibilité supplémentaires pour les clients plus anciens. Les options supplémentaires de cette politique peuvent la rendre moins sécurisée que la politique de compatibilité moderne.

    Critères communs

    Utilisez la politique Critères communs si vous avez besoin d’une certification Critères communs.

    Norme FIPS stricte

    Utilisez la politique stricte FIPS si vous avez besoin d'une certification Common Criteria et devez utiliser le module NetApp Cryptographic Security Module (NCSM) 3.0.8 ou le module NetApp StorageGRID Kernel Crypto API 6.1.129-1-ntap1-amd64 pour les connexions client externes aux points de terminaison de l'équilibreur de charge, au gestionnaire de locataires et au gestionnaire de grille. L’utilisation de cette politique peut réduire les performances.

    Le module NCSM 3.0.8 et NetApp StorageGRID Kernel Crypto API 6.1.129-1-ntap1-amd64 sont utilisés dans les opérations suivantes :

    • NCSM

      • Connexions TLS entre les services suivants : ADC, AMS, CMN, DDS, LDR, SSM, NMS, mgmt-api, nginx, nginx-gw et cache-svc

      • Connexions TLS entre les clients et le service nginx-gw (points de terminaison de l'équilibreur de charge)

      • Connexions TLS entre les clients et le service LDR

      • Chiffrement du contenu des objets pour SSE-S3, SSE-C et le paramètre de chiffrement des objets stockés

      • Connexions SSH

      Pour plus d'informations, reportez-vous au programme de validation des algorithmes cryptographiques du NIST."Certificat n° 4838" .

    • Module d'API de chiffrement du noyau NetApp StorageGRID

      Le module API de chiffrement du noyau NetApp StorageGRID est présent uniquement sur les plates-formes d'appliances VM et StorageGRID .

      • Collection d'entropie

      • Chiffrement des nœuds

      Pour plus d'informations, reportez-vous au programme de validation des algorithmes cryptographiques du NIST."Certificats #A6242 à #A6257" et"Certificat d'entropie n° E223" .

    Remarque : Après avoir sélectionné cette politique,"effectuer un redémarrage progressif" pour que tous les nœuds activent le NCSM. Utilisez Maintenance > Redémarrage progressif pour lancer et surveiller les redémarrages.

    Personnalisées

    Créez une stratégie personnalisée si vous devez appliquer vos propres chiffrements.

    En option, si votre StorageGRID a des exigences de cryptographie FIPS 140, activez la fonctionnalité de mode FIPS pour utiliser le module NCSM 3.0.8 et NetApp StorageGRID Kernel Crypto API 6.1.129-1-ntap1-amd64 :

    1. Régler le fipsMode paramètre à true .

    2. Lorsque vous y êtes invité,"effectuer un redémarrage progressif" pour que tous les nœuds activent les modules de cryptographie. Utilisez Maintenance > Redémarrage progressif pour lancer et surveiller les redémarrages.

    3. Sélectionnez Support > Diagnostics pour afficher les versions actives du module FIPS.

  3. Pour afficher des détails sur les chiffrements, les protocoles et les algorithmes de chaque stratégie, sélectionnez Afficher les détails.

  4. Pour modifier la stratégie actuelle, sélectionnez utiliser la stratégie.

    Une coche verte apparaît en regard de police actuelle sur la mosaïque de police.

Créez une stratégie de sécurité personnalisée

Vous pouvez créer une stratégie personnalisée si vous devez appliquer vos propres chiffrements.

Étapes

  1. Dans la mosaïque de la stratégie la plus similaire à la stratégie personnalisée que vous souhaitez créer, sélectionnez Afficher les détails.

  2. Sélectionnez Copier dans le presse-papiers, puis sélectionnez Annuler.

    copie d'une stratégie existante pour créer une stratégie personnalisée

  3. Dans la mosaïque Personnaliser la stratégie, sélectionnez configurer et utiliser.

  4. Collez le fichier JSON que vous avez copié et apportez les modifications nécessaires.

  5. Sélectionnez utiliser la stratégie.

    Une coche verte apparaît en regard de politique actuelle sur la mosaïque de stratégie personnalisée.

  6. Si vous le souhaitez, sélectionnez Modifier la configuration pour apporter d'autres modifications à la nouvelle stratégie personnalisée.

Rétablir temporairement la stratégie de sécurité par défaut

Si vous avez configuré une stratégie de sécurité personnalisée, il se peut que vous ne puissiez pas vous connecter à Grid Manager si la stratégie TLS configurée est incompatible avec "certificat de serveur configuré".

Vous pouvez rétablir temporairement la stratégie de sécurité par défaut.

Étapes

  1. Connectez-vous à un nœud d'administration :

    1. Entrez la commande suivante : ssh admin@Admin_Node_IP

    2. Saisissez le mot de passe indiqué dans le Passwords.txt fichier.

    3. Entrez la commande suivante pour basculer en root : su -

    4. Saisissez le mot de passe indiqué dans le Passwords.txt fichier.

      Lorsque vous êtes connecté en tant que root, l'invite passe de $ à #.

  2. Exécutez la commande suivante :

    restore-default-cipher-configurations

  3. À partir d'un navigateur Web, accédez à Grid Manager sur le même nœud d'administration.

  4. Suivez les étapes de la section Sélectionnez une stratégie de sécurité pour reconfigurer la stratégie.