Skip to main content
Data Infrastructure Insights
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

보안 관리 도구

기여자 netapp-alavoie
PDF

Data Infrastructure Insights 향상된 보안으로 환경을 운영할 수 있는 보안 기능이 포함되어 있습니다. 이러한 기능에는 암호화, 비밀번호 해싱, 내부 사용자 비밀번호 변경 기능, 비밀번호를 암호화하고 복호화하는 키 쌍의 개선 사항이 포함됩니다.

민감한 데이터를 보호하기 위해 NetApp 설치 또는 업그레이드 후 기본 키와 Acquisition 사용자 비밀번호를 변경하는 것을 권장합니다.

데이터 소스 암호화된 비밀번호는 Data Infrastructure Insights 에 저장되며, 사용자가 데이터 수집기 ​​구성 페이지에 비밀번호를 입력하면 공개 키를 사용하여 비밀번호를 암호화합니다. Data Infrastructure Insights 데이터 수집기 ​​비밀번호를 해독하는 데 필요한 개인 키가 없습니다. 데이터 수집기 ​​비밀번호를 해독하는 데 필요한 데이터 수집기 ​​개인 키는 인수 단위(AU)에만 있습니다.

업그레이드 및 설치 고려 사항

Insight 시스템에 기본이 아닌 보안 구성이 포함된 경우(즉, 비밀번호를 다시 입력한 경우) 보안 구성을 백업해야 합니다. 새로운 소프트웨어를 설치하거나, 어떤 경우에는 소프트웨어를 업그레이드하면 시스템이 기본 보안 구성으로 돌아갑니다. 시스템이 기본 구성으로 되돌아가면 시스템이 올바르게 작동하려면 기본이 아닌 구성을 복원해야 합니다.

인수 단위의 보안 관리

SecurityAdmin 도구를 사용하면 Data Infrastructure Insights 의 보안 옵션을 관리할 수 있으며, 인수 단위 시스템에서 실행됩니다. 보안 관리에는 키와 비밀번호 관리, 사용자가 만든 보안 구성의 저장 및 복원, 구성을 기본 설정으로 복원하는 작업이 포함됩니다.

시작하기 전에

  • Acquisition Unit 소프트웨어(SecurityAdmin 도구 포함)를 설치하려면 AU 시스템에 대한 관리자 권한이 있어야 합니다.

  • 나중에 SecurityAdmin 도구에 액세스해야 하는 관리자가 아닌 사용자가 있는 경우 해당 사용자를 cisys 그룹에 추가해야 합니다. cisys 그룹은 AU 설치 중에 생성됩니다.

AU 설치 후, SecurityAdmin 도구는 다음 위치 중 하나에 있는 인수 유닛 시스템에서 찾을 수 있습니다.

Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

SecurityAdmin 도구 사용

SecurityAdmin 도구를 대화형 모드(-i)로 시작합니다.

참고 명령줄에서 비밀을 전달하여 로그에 기록될 수 있는 상황을 방지하기 위해 SecurityAdmin 도구를 대화형 모드로 사용하는 것이 좋습니다.

다음 옵션이 표시됩니다.

SecurityAdmin 도구 옵션(Linux)

  1. 지원

    모든 비밀번호와 키를 포함하는 볼트의 백업 zip 파일을 만들고 해당 파일을 사용자가 지정한 위치나 다음 기본 위치에 저장합니다.

    Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    볼트 백업에는 민감한 정보가 포함되어 있으므로 안전하게 보관하는 것이 좋습니다.

  2. 복원하다

    생성된 볼트의 zip 백업을 복원합니다. 복원되면 모든 비밀번호와 키는 백업 생성 시점의 값으로 되돌아갑니다.

    복원을 사용하면 여러 서버의 비밀번호와 키를 동기화할 수 있습니다. 예를 들어 다음 단계를 따르세요. 1) AU에서 암호화 키를 변경합니다. 2) 볼트의 백업을 만듭니다. 3) 각 AU에 볼트 백업을 복원합니다.

  3. 외부 키 검색 스크립트 등록/업데이트

    외부 스크립트를 사용하여 장치 비밀번호를 암호화하거나 암호 해독하는 데 사용되는 AU 암호화 키를 등록하거나 변경합니다.

    암호화 키를 변경하는 경우 업그레이드나 설치 후 복원할 수 있도록 새로운 보안 구성을 백업해야 합니다.

    이 옵션은 Linux에서만 사용할 수 있습니다.

    SecurityAdmin 도구와 함께 자체 키 검색 스크립트를 사용할 때 다음 사항에 유의하세요.

    • 현재 지원되는 알고리즘은 최소 2048비트의 RSA입니다.

    • 스크립트는 개인 키와 공개 키를 일반 텍스트로 반환해야 합니다. 스크립트는 암호화된 개인 키와 공개 키를 반환해서는 안 됩니다.

    • 스크립트는 원시 인코딩된 콘텐츠(PEM 형식만 해당)를 반환해야 합니다.

    • 외부 스크립트에는 실행 권한이 있어야 합니다.

  4. 암호화 키 회전

    암호화 키를 순환합니다(현재 키의 등록을 취소하고 새 키를 등록합니다). 외부 키 관리 시스템의 키를 사용하려면 공개 키 ID와 개인 키 ID를 지정해야 합니다.

  5. 기본 키로 재설정

    수집 사용자 비밀번호와 수집 사용자 암호화 키를 기본값으로 재설정합니다. 기본값은 설치 중에 제공된 값입니다.

  6. 신탁 저장소 비밀번호 변경

    신뢰 저장소의 비밀번호를 변경합니다.

  7. 키스토어 비밀번호 변경

    키스토어의 비밀번호를 변경합니다.

  8. 수집기 비밀번호 암호화

    데이터 수집기 비밀번호를 암호화합니다.

  9. 출구

    SecurityAdmin 도구를 종료합니다.

구성하려는 옵션을 선택하고 화면의 지시를 따르세요.

도구를 실행할 사용자 지정

통제되고 보안을 중시하는 환경에 있는 경우 cisys 그룹이 없더라도 특정 사용자가 SecurityAdmin 도구를 실행하도록 할 수 있습니다.

AU 소프트웨어를 수동으로 설치하고 액세스하려는 사용자/그룹을 지정하면 됩니다.

  • API를 사용하여 CI 설치 프로그램을 AU 시스템에 다운로드하고 압축을 풉니다.

    • 일회용 승인 토큰이 필요합니다. API Swagger 설명서(관리자 > API 액세스_에서 _API 설명서 링크 선택)를 보고 GET /au/oneTimeToken API 섹션을 찾으세요.

    • 토큰을 받으면 GET /au/installers/{platform}/{version} API를 사용하여 설치 프로그램 파일을 다운로드합니다. 플랫폼(Linux 또는 Windows)과 설치 프로그램 버전을 제공해야 합니다.

  • 다운로드한 설치 프로그램 파일을 AU 시스템에 복사하고 압축을 풉니다.

  • 파일이 있는 폴더로 이동한 후 사용자와 그룹을 지정하여 루트로 설치 프로그램을 실행합니다.

    ./cloudinsights-install.sh <User> <Group>

지정된 사용자 및/또는 그룹이 존재하지 않으면 생성됩니다. 사용자는 SecurityAdmin 도구에 액세스할 수 있습니다.

프록시 업데이트 또는 제거

SecurityAdmin 도구는 -pr 매개변수와 함께 실행하여 획득 단위에 대한 프록시 정보를 설정하거나 제거하는 데 사용할 수 있습니다.

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

예를 들어, 프록시를 제거하려면 다음 명령을 실행합니다.

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
명령을 실행한 후에는 수집 장치를 다시 시작해야 합니다.

프록시를 업데이트하려면 다음 명령을 사용합니다.

./securityadmin -pr -upr <arg>

외부 키 검색

UNIX 셸 스크립트를 제공하면 수집 장치에서 이를 실행하여 키 관리 시스템에서 *개인 키*와 *공개 키*를 검색할 수 있습니다.

키를 검색하기 위해 Data Infrastructure Insights 스크립트를 실행하고 _키 ID_와 _키 유형_이라는 두 개의 매개변수를 전달합니다. _키 ID_는 키 관리 시스템에서 키를 식별하는 데 사용할 수 있습니다. _키 유형_은 "공개" 또는 "비공개"입니다. 키 유형이 "공개"인 경우 스크립트는 공개 키를 반환해야 합니다. 키 유형이 "개인"인 경우 개인 키를 반환해야 합니다.

키를 수집 장치로 다시 보내려면 스크립트가 키를 표준 출력에 인쇄해야 합니다. 스크립트는 키만 표준 출력에 인쇄해야 합니다. 다른 텍스트는 표준 출력에 인쇄하면 안 됩니다. 요청된 키가 표준 출력에 인쇄되면 스크립트는 종료 코드 0으로 종료되어야 합니다. 다른 반환 코드는 오류로 간주됩니다.

스크립트는 SecurityAdmin 도구를 사용하여 수집 단위에 등록되어야 하며, 이 도구는 수집 단위와 함께 스크립트를 실행합니다. 스크립트에는 루트 및 "cisys" 사용자에 대한 읽기실행 권한이 있어야 합니다. 등록 후 쉘 스크립트가 수정된 경우, 수정된 쉘 스크립트를 수집 단위에 다시 등록해야 합니다.

입력 매개변수: 키 ID

고객의 키 관리 시스템에서 키를 식별하는 데 사용되는 키 식별자입니다.

입력 매개변수: 키 유형

공공 또는 민간.

산출

요청된 키는 표준 출력에 인쇄되어야 합니다. 현재 2048비트 RSA 키가 지원됩니다. 키는 다음 형식으로 인코딩 및 인쇄되어야 합니다. 개인 키 형식 - PEM, DER 인코딩 PKCS8 PrivateKeyInfo RFC 5958 공개 키 형식 - PEM, DER 인코딩 X.509 SubjectPublicKeyInfo RFC 5280

종료 코드

성공 시 종료 코드는 0입니다. 다른 모든 종료 값은 실패로 간주됩니다.

스크립트 권한

스크립트에는 루트 및 "cisys" 사용자에 대한 읽기 및 실행 권한이 있어야 합니다.

통나무

스크립트 실행이 기록됩니다. 로그는 다음에서 찾을 수 있습니다. - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log

API에서 사용할 비밀번호 암호화

옵션 8을 사용하면 비밀번호를 암호화한 후 API를 통해 데이터 수집기에 전달할 수 있습니다.

대화형 모드에서 SecurityAdmin 도구를 시작하고 옵션 8: _비밀번호 암호화_를 선택합니다.

 securityadmin.sh -i
암호화하려는 비밀번호를 입력하라는 메시지가 표시됩니다.  입력한 문자는 화면에 표시되지 않습니다.  메시지가 나타나면 비밀번호를 다시 입력하세요.

또는 스크립트에서 명령을 사용할 경우 명령줄에서 "-enc" 매개변수와 함께 _securityadmin.sh_를 사용하고 암호화되지 않은 비밀번호를 전달합니다.

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["CLI 예제"]

암호화된 비밀번호가 화면에 표시됩니다. 앞뒤 기호를 포함한 전체 문자열을 복사합니다.

대화형 모드 비밀번호 암호화, 너비=640

암호화된 비밀번호를 데이터 수집기에 보내려면 데이터 수집 API를 사용할 수 있습니다. 이 API에 대한 자세한 내용은 *관리 > API 액세스*에서 확인할 수 있으며, "API 문서" 링크를 클릭하세요. "데이터 수집" API 유형을 선택하세요. data_collection.data_collector 제목 아래에서 이 예제에 대한 /collector/datasources POST API를 선택합니다.

데이터 수집을 위한 API

preEncrypted 옵션을 _True_로 설정하면 API 명령을 통해 전달되는 모든 비밀번호는 이미 암호화된 것으로 처리됩니다. API는 비밀번호를 다시 암호화하지 않습니다. API를 빌드할 때 이전에 암호화된 비밀번호를 적절한 위치에 붙여넣기만 하면 됩니다.

API 예제, 너비=600