Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Strumento SecurityAdmin

Collaboratori netapp-alavoie
PDF

Data Infrastructure Insights include funzionalità di sicurezza che consentono al tuo ambiente di funzionare con maggiore sicurezza. Le funzionalità includono miglioramenti alla crittografia, all'hashing delle password e alla possibilità di modificare le password utente interne, nonché coppie di chiavi che crittografano e decrittografano le password.

Per proteggere i dati sensibili, NetApp consiglia di modificare le chiavi predefinite e la password utente Acquisition dopo un'installazione o un aggiornamento.

Le password crittografate dell'origine dati vengono archiviate in Data Infrastructure Insights, che utilizza una chiave pubblica per crittografare le password quando un utente le immette in una pagina di configurazione del raccoglitore dati. Data Infrastructure Insights non dispone delle chiavi private necessarie per decrittografare le password del data collector; solo le Acquisition Unit (AU) dispongono della chiave privata del data collector necessaria per decrittografare le password del data collector.

Considerazioni sull'aggiornamento e l'installazione

Se il sistema Insight contiene configurazioni di sicurezza non predefinite (ad esempio se sono state modificate le password), è necessario eseguire il backup delle configurazioni di sicurezza. L'installazione di un nuovo software o, in alcuni casi, l'aggiornamento del software, ripristina la configurazione di sicurezza predefinita del sistema. Quando il sistema torna alla configurazione predefinita, è necessario ripristinare la configurazione non predefinita affinché il sistema funzioni correttamente.

Gestione della sicurezza sull'unità di acquisizione

Lo strumento SecurityAdmin consente di gestire le opzioni di sicurezza per Data Infrastructure Insights e viene eseguito sul sistema dell'unità di acquisizione. La gestione della sicurezza include la gestione di chiavi e password, il salvataggio e il ripristino delle configurazioni di sicurezza create o il ripristino delle configurazioni alle impostazioni predefinite.

Prima di iniziare

  • Per installare il software Acquisition Unit (che include lo strumento SecurityAdmin), è necessario disporre dei privilegi di amministratore sul sistema AU.

  • Se in seguito sono presenti utenti non amministratori che dovranno accedere allo strumento SecurityAdmin, è necessario aggiungerli al gruppo cisys. Il gruppo cisys viene creato durante l'installazione di AU.

Dopo l'installazione di AU, lo strumento SecurityAdmin si trova sul sistema dell'unità di acquisizione in una di queste posizioni:

Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

Utilizzo dello strumento SecurityAdmin

Avviare lo strumento SecurityAdmin in modalità interattiva (-i).

Nota Si consiglia di utilizzare lo strumento SecurityAdmin in modalità interattiva, per evitare di passare segreti sulla riga di comando, che potrebbero essere catturati nei log.

Vengono visualizzate le seguenti opzioni:

Opzioni per SecurityAdmin Tool (Linux)

  1. Backup

    Crea un file zip di backup del vault contenente tutte le password e le chiavi e posiziona il file in una posizione specificata dall'utente o nelle seguenti posizioni predefinite:

    Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    Si consiglia di mantenere sicuri i backup del vault, poiché contengono informazioni sensibili.

  2. Ripristinare

    Ripristina il backup zip del vault creato. Una volta ripristinate, tutte le password e le chiavi vengono riportate ai valori esistenti al momento della creazione del backup.

    È possibile utilizzare Restore per sincronizzare password e chiavi su più server, ad esempio seguendo questi passaggi: 1) Modificare le chiavi di crittografia sull'AU. 2) Creare un backup del vault. 3) Ripristinare il backup del vault su ciascuna delle AU.

  3. Registra/Aggiorna lo script di recupero delle chiavi esterne

    Utilizzare uno script esterno per registrare o modificare le chiavi di crittografia AU utilizzate per crittografare o decrittografare le password dei dispositivi.

    Quando si modificano le chiavi di crittografia, è opportuno eseguire il backup della nuova configurazione di sicurezza in modo da poterla ripristinare dopo un aggiornamento o un'installazione.

    Nota che questa opzione è disponibile solo su Linux.

    Quando si utilizza uno script di recupero delle chiavi personalizzato con lo strumento SecurityAdmin, tenere presente quanto segue:

    • L'algoritmo attualmente supportato è RSA con un minimo di 2048 bit.

    • Lo script deve restituire le chiavi privata e pubblica in testo normale. Lo script non deve restituire chiavi private e pubbliche crittografate.

    • Lo script dovrebbe restituire contenuti grezzi e codificati (solo formato PEM).

    • Lo script esterno deve avere i permessi execute.

  4. Ruota le chiavi di crittografia

    Ruota le chiavi di crittografia (annulla la registrazione delle chiavi correnti e registra nuove chiavi). Per utilizzare una chiave da un sistema di gestione delle chiavi esterno, è necessario specificare l'ID della chiave pubblica e l'ID della chiave privata.

  5. Ripristina i tasti predefiniti

    Reimposta la password dell'utente di acquisizione e le chiavi di crittografia dell'utente di acquisizione ai valori predefiniti. I valori predefiniti sono quelli forniti durante l'installazione.

  6. Cambia password Truststore

    Cambia la password del truststore.

  7. Cambia password archivio chiavi

    Cambia la password del keystore.

  8. Crittografa la password del collezionista

    Crittografa la password del raccoglitore dati.

  9. Uscita

    Uscire dallo strumento SecurityAdmin.

Scegli l'opzione che vuoi configurare e segui le istruzioni.

Specificare un utente per eseguire lo strumento

Se ti trovi in un ambiente controllato e attento alla sicurezza, potresti non disporre del gruppo cisys ma potresti comunque voler consentire a utenti specifici di eseguire lo strumento SecurityAdmin.

È possibile ottenere questo risultato installando manualmente il software AU e specificando l'utente/gruppo per il quale si desidera l'accesso.

  • Utilizzando l'API, scaricare il CI Installer sul sistema AU e decomprimerlo.

    • Sarà necessario un token di autorizzazione monouso. Consulta la documentazione API Swagger (Admin > Accesso API e seleziona il link Documentazione API) e trova la sezione API GET /au/oneTimeToken.

    • Una volta ottenuto il token, utilizza l'API GET /au/installers/{platform}/{version} per scaricare il file di installazione. Sarà necessario fornire la piattaforma (Linux o Windows) e la versione del programma di installazione.

  • Copiare il file di installazione scaricato sul sistema AU e decomprimerlo.

  • Passare alla cartella contenente i file ed eseguire il programma di installazione come root, specificando l'utente e il gruppo:

    ./cloudinsights-install.sh <User> <Group>

Se l'utente e/o il gruppo specificato non esistono, verranno creati. L'utente avrà accesso allo strumento SecurityAdmin.

Aggiornamento o rimozione del proxy

Lo strumento SecurityAdmin può essere utilizzato per impostare o rimuovere le informazioni proxy per l'unità di acquisizione eseguendo lo strumento con il parametro -pr:

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

Ad esempio, per rimuovere il proxy, eseguire questo comando:

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
Dopo aver eseguito il comando, è necessario riavviare l'unità di acquisizione.

Per aggiornare un proxy, il comando è

./securityadmin -pr -upr <arg>

Recupero della chiave esterna

Se si fornisce uno script shell UNIX, questo può essere eseguito dall'unità di acquisizione per recuperare la chiave privata e la chiave pubblica dal sistema di gestione delle chiavi.

Per recuperare la chiave, Data Infrastructure Insights eseguirà lo script, passando due parametri: key id e key type. Key id può essere utilizzato per identificare la chiave nel sistema di gestione delle chiavi. Il tipo di chiave è "pubblico" o "privato". Quando il tipo di chiave è "pubblico", lo script deve restituire la chiave pubblica. Quando il tipo di chiave è "privato", è necessario restituire la chiave privata.

Per inviare la chiave all'unità di acquisizione, lo script deve stamparla sull'output standard. Lo script deve stampare solo la chiave sull'output standard; nessun altro testo deve essere stampato sull'output standard. Una volta che la chiave richiesta viene stampata sull'output standard, lo script deve uscire con un codice di uscita pari a 0; qualsiasi altro codice di ritorno è considerato un errore.

Lo script deve essere registrato con l'unità di acquisizione tramite lo strumento SecurityAdmin, che eseguirà lo script insieme all'unità di acquisizione. Lo script deve avere i permessi di lettura ed esecuzione per l'utente root e "cisys". Se lo script shell viene modificato dopo la registrazione, lo script shell modificato deve essere nuovamente registrato nell'unità di acquisizione.

parametro di input: ID chiave

Identificatore chiave utilizzato per identificare la chiave nel sistema di gestione delle chiavi del cliente.

parametro di input: tipo di chiave

pubblico o privato.

produzione

La chiave richiesta deve essere stampata sull'output standard. Attualmente è supportata la chiave RSA a 2048 bit. Le chiavi devono essere codificate e stampate nel seguente formato: formato chiave privata: PEM, codificato DER PKCS8 PrivateKeyInfo RFC 5958 formato chiave pubblica: PEM, codificato DER X.509 SubjectPublicKeyInfo RFC 5280

codice di uscita

Codice di uscita zero in caso di successo. Tutti gli altri valori di uscita sono considerati fallimentari.

permessi di script

Lo script deve avere i permessi di lettura ed esecuzione per l'utente root e "cisys".

registri

Le esecuzioni degli script vengono registrate. I log possono essere trovati in - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log

Crittografia di una password per l'uso nell'API

L'opzione 8 consente di crittografare una password, che può poi essere passata a un raccoglitore di dati tramite API.

Avviare lo strumento SecurityAdmin in modalità interattiva e selezionare l'opzione 8: Crittografa password.

 securityadmin.sh -i
Ti verrà chiesto di inserire la password che desideri crittografare.  Tieni presente che i caratteri digitati non vengono visualizzati sullo schermo.  Reinserire la password quando richiesto.

In alternativa, se si desidera utilizzare il comando in uno script, su una riga di comando utilizzare securityadmin.sh con il parametro "-enc", passando la password non crittografata:

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["Esempio CLI"]

La password crittografata viene visualizzata sullo schermo. Copia l'intera stringa, compresi eventuali simboli iniziali o finali.

Modalità interattiva Crittografa password, larghezza=640

Per inviare la password crittografata a un raccoglitore di dati, è possibile utilizzare l'API di raccolta dati. È possibile trovare lo swagger per questa API in Amministrazione > Accesso API e fare clic sul collegamento "Documentazione API". Selezionare il tipo di API "Raccolta dati". Sotto l'intestazione data_collection.data_collector, seleziona l'API POST /collector/datasources per questo esempio.

API per la raccolta dati

Se si imposta l'opzione preEncrypted su True, qualsiasi password passata tramite il comando API verrà trattata come già crittografata; l'API non crittograferà nuovamente la/le password. Quando crei la tua API, incolla semplicemente la password precedentemente crittografata nella posizione appropriata.

Esempio API, larghezza=600