Funzionalità di sicurezza
SnapCenter utilizza rigide funzionalità di sicurezza e autenticazione per garantire la sicurezza dei dati.
SnapCenter include le seguenti funzioni di sicurezza:
-
Tutte le comunicazioni con SnapCenter utilizzano HTTP su SSL (HTTPS).
-
Tutte le credenziali in SnapCenter sono protette mediante la crittografia AES (Advanced Encryption Standard).
-
SnapCenter utilizza algoritmi di sicurezza conformi allo standard FIPS (Federal Information Processing Standard).
-
SnapCenter supporta l'utilizzo dei certificati CA autorizzati forniti dal cliente.
-
SnapCenter 4.1.1 o versioni successive supporta TLS (Transport Layer Security) 1,2 per la comunicazione con ONTAP. È inoltre possibile utilizzare TLS 1,2 per le comunicazioni tra client e server.
A partire da 5,0, SnapCenter supporta (TLS) 1,3 per le comunicazioni con ONTAP.
-
SnapCenter supporta un determinato set di suite di crittografia SSL per garantire la sicurezza delle comunicazioni di rete.
Per ulteriori informazioni, vedere "Come configurare la suite di crittografia SSL supportata".
-
SnapCenter viene installato all'interno del firewall aziendale per consentire l'accesso al server SnapCenter e la comunicazione tra il server SnapCenter e i plug-in.
-
L'API SnapCenter e l'accesso alle operazioni utilizzano token crittografati con crittografia AES, che scadono dopo 24 ore.
-
SnapCenter si integra con Windows Active Directory per l'accesso e il RBAC (role-based access control) che regolano le autorizzazioni di accesso.
-
IPSec è supportato con SnapCenter su ONTAP per computer host Windows e Linux. "Scopri di più".
-
I cmdlet PowerShell di SnapCenter sono protetti da sessione.
-
Dopo un periodo di inattività predefinito di 15 minuti, SnapCenter avvisa che l'utente verrà disconnesso tra 5 minuti. Dopo 20 minuti di inattività, SnapCenter si disconnette ed è necessario effettuare nuovamente l'accesso. È possibile modificare il periodo di disconnessione.
-
L'accesso viene temporaneamente disattivato dopo 5 o più tentativi di accesso non corretti.
-
Supporta l'autenticazione del certificato CA tra il server SnapCenter e ONTAP. "Scopri di più".
-
Integrity Verifier viene aggiunto al server SnapCenter e ai plug-in e convalida tutti i file binari forniti durante le nuove operazioni di installazione e aggiornamento.
Panoramica del certificato CA
Il programma di installazione del server SnapCenter abilita il supporto centralizzato dei certificati SSL durante l'installazione. Per migliorare la comunicazione protetta tra il server e il plug-in, SnapCenter supporta l'utilizzo dei certificati CA autorizzati forniti dal cliente.
È necessario implementare i certificati CA dopo aver installato il server SnapCenter e i relativi plug-in. Per ulteriori informazioni, vedere "Generare il file CSR del certificato CA".
È inoltre possibile implementare il certificato CA per il plug-in SnapCenter per VMware vSphere. Per ulteriori informazioni, vedere "Creare e importare certificati".
Comunicazione SSL bidirezionale
La comunicazione SSL bidirezionale protegge la comunicazione reciproca tra il server SnapCenter e i plug-in.
Panoramica dell'autenticazione basata su certificato
L'autenticazione basata su certificato verifica l'autenticità dei rispettivi utenti che tentano di accedere all'host del plug-in SnapCenter. L'utente deve esportare il certificato del server SnapCenter senza chiave privata e importarlo nell'archivio attendibile dell'host del plug-in. L'autenticazione basata su certificato funziona solo se è attivata la funzione SSL bidirezionale.
Autenticazione a più fattori (MFA)
MFA utilizza un provider di identità (IdP) di terze parti tramite SAML (Security Assertion Markup Language) per gestire le sessioni degli utenti. Questa funzionalità migliora la sicurezza dell'autenticazione grazie alla possibilità di utilizzare diversi fattori come TOTP, biometria, notifiche push e così via, oltre al nome utente e alla password esistenti. Inoltre, consente al cliente di utilizzare i propri provider di identità utente per ottenere un accesso utente unificato (SSO) nel proprio portfolio.
MFA è applicabile solo per l'accesso all'interfaccia utente del server SnapCenter. Gli accessi vengono autenticati tramite IdP Active Directory Federation Services (ad FS). È possibile configurare diversi fattori di autenticazione in ad FS. SnapCenter è il provider di servizi ed è necessario configurare SnapCenter come parte di base in ad FS. Per attivare l'MFA in SnapCenter, sono necessari i metadati di ad FS.
Per informazioni sull'attivazione dell'MFA, vedere "Abilitare l'autenticazione a più fattori".