Diretrizes de proteção para nós do StorageGRID
Sugerir alterações
PDFs
Os nós do StorageGRID podem ser implantados em máquinas virtuais VMware, dentro de um mecanismo de contêiner em hosts Linux ou como dispositivos de hardware dedicados. Cada tipo de plataforma e cada tipo de nó tem seu próprio conjunto de práticas recomendadas de proteção.
Controle o acesso remoto do IPMI ao BMC
Você pode habilitar ou desabilitar o acesso remoto IPMI para todos os dispositivos que contêm um BMC. A interface IPMI remota permite acesso de hardware de baixo nível aos seus dispositivos StorageGRID por qualquer pessoa com uma conta e senha BMC . Se você não precisar de acesso IPMI remoto ao BMC, desative esta opção.
-
Para controlar o acesso remoto do IPMI ao BMC no Grid Manager, vá para CONFIGURAÇÃO > Segurança > Configurações de segurança > Dispositivos:
-
Desmarque a caixa de seleção Habilitar acesso IPMI remoto para desabilitar o acesso IPMI ao BMC.
-
Marque a caixa de seleção Habilitar acesso IPMI remoto para habilitar o acesso IPMI ao BMC.
-
Configuração de firewall
Como parte do processo de proteção do sistema, você deve revisar as configurações do firewall externo e modificá-las para que o tráfego seja aceito apenas dos endereços IP e nas portas dos quais ele é estritamente necessário.
O StorageGRID inclui um firewall interno em cada nó que aumenta a segurança da sua grade, permitindo que você controle o acesso da rede ao nó. Você deve"gerenciar controles internos de firewall" para impedir o acesso à rede em todas as portas, exceto aquelas necessárias para sua implantação de grade específica. As alterações de configuração feitas na página de controle do Firewall são implantadas em cada nó.
Especificamente, você pode gerenciar estas áreas:
-
Endereços privilegiados: você pode permitir que endereços IP ou sub-redes selecionados acessem portas que estão fechadas pelas configurações na guia Gerenciar acesso externo.
-
Gerenciar acesso externo: Você pode fechar portas que estão abertas por padrão ou reabrir portas fechadas anteriormente.
-
Rede de cliente não confiável: você pode especificar se um nó confia no tráfego de entrada da rede de cliente, bem como as portas adicionais que você deseja abrir quando a rede de cliente não confiável estiver configurada.
Embora esse firewall interno forneça uma camada adicional de proteção contra algumas ameaças comuns, ele não elimina a necessidade de um firewall externo.
Para obter uma lista de todas as portas internas e externas usadas pelo StorageGRID, consulte"Referência de porta de rede" .
Desabilitar serviços não utilizados
Para todos os nós do StorageGRID , você deve desabilitar ou bloquear o acesso a serviços não utilizados. Por exemplo, se você não planeja usar DHCP, use o Grid Manager para fechar a porta 68. Selecione CONFIGURAÇÃO > Controle de firewall > Gerenciar acesso externo. Em seguida, altere a alternância de status da porta 68 de Aberta para Fechada.
Virtualização, contêineres e hardware compartilhado
Para todos os nós do StorageGRID , evite executar o StorageGRID no mesmo hardware físico que software não confiável. Não presuma que as proteções do hipervisor impedirão que malware acesse dados protegidos StorageGRID se o StorageGRID e o malware existirem no mesmo hardware físico. Por exemplo, os ataques Meltdown e Spectre exploram vulnerabilidades críticas em processadores modernos e permitem que programas roubem dados na memória do mesmo computador.
Proteja os nós durante a instalação
Não permita que usuários não confiáveis acessem nós do StorageGRID pela rede quando os nós estiverem sendo instalados. Os nós não estão totalmente seguros até que se juntem à grade.
Diretrizes para nós de administração
Os nós de administração fornecem serviços de gerenciamento, como configuração do sistema, monitoramento e registro. Ao fazer login no Grid Manager ou no Tenant Manager, você está se conectando a um nó de administração.
Siga estas diretrizes para proteger os nós de administração no seu sistema StorageGRID :
-
Proteja todos os nós de administração de clientes não confiáveis, como aqueles na Internet aberta. Certifique-se de que nenhum cliente não confiável possa acessar qualquer nó de administração na rede Grid, na rede de administração ou na rede de clientes.
-
Os grupos StorageGRID controlam o acesso aos recursos do Grid Manager e do Tenant Manager. Conceda a cada grupo de usuários as permissões mínimas necessárias para sua função e use o modo de acesso somente leitura para impedir que os usuários alterem a configuração.
-
Ao usar endpoints do balanceador de carga StorageGRID , use nós de gateway em vez de nós de administração para tráfego de cliente não confiável.
-
Se você tiver locatários não confiáveis, não permita que eles tenham acesso direto ao Gerenciador de Locatários ou à API de Gerenciamento de Locatários. Em vez disso, faça com que os locatários não confiáveis usem um portal de locatários ou um sistema externo de gerenciamento de locatários, que interage com a API de gerenciamento de locatários.
-
Opcionalmente, use um proxy de administrador para obter mais controle sobre a comunicação do AutoSupport dos nós de administração para o suporte da NetApp . Veja os passos para"criando um proxy de administrador" .
-
Opcionalmente, use as portas restritas 8443 e 9443 para separar as comunicações do Grid Manager e do Tenant Manager. Bloqueie a porta compartilhada 443 e limite as solicitações do locatário à porta 9443 para proteção adicional.
-
Opcionalmente, use nós de administração separados para administradores de grade e usuários locatários.
Para mais informações, consulte as instruções para"administrando StorageGRID" .
Diretrizes para nós de armazenamento
Os nós de armazenamento gerenciam e armazenam dados de objetos e metadados. Siga estas diretrizes para proteger os nós de armazenamento no seu sistema StorageGRID .
-
Não permita que clientes não confiáveis se conectem diretamente aos nós de armazenamento. Use um ponto de extremidade do balanceador de carga atendido por um nó de gateway ou um balanceador de carga de terceiros.
-
Não habilite serviços de saída para locatários não confiáveis. Por exemplo, ao criar uma conta para um locatário não confiável, não permita que o locatário use sua própria fonte de identidade e não permita o uso de serviços da plataforma. Veja os passos para"criando uma conta de inquilino" .
-
Use um balanceador de carga de terceiros para tráfego de clientes não confiáveis. O balanceamento de carga de terceiros oferece mais controle e camadas adicionais de proteção contra ataques.
-
Opcionalmente, use um proxy de armazenamento para obter mais controle sobre os pools de armazenamento em nuvem e a comunicação dos serviços de plataforma dos nós de armazenamento para serviços externos. Veja os passos para"criando um proxy de armazenamento" .
-
Opcionalmente, conecte-se a serviços externos usando a Rede do Cliente. Em seguida, selecione CONFIGURAÇÃO > Segurança > Controle de firewall > Redes de clientes não confiáveis e indique que a Rede de clientes no nó de armazenamento não é confiável. O nó de armazenamento não aceita mais nenhum tráfego de entrada na rede do cliente, mas continua permitindo solicitações de saída para serviços de plataforma.
Diretrizes para nós de gateway
Os nós de gateway fornecem uma interface de balanceamento de carga opcional que os aplicativos clientes podem usar para se conectar ao StorageGRID. Siga estas diretrizes para proteger quaisquer nós de gateway no seu sistema StorageGRID :
-
Configurar e usar endpoints do balanceador de carga. Ver "Considerações para balanceamento de carga" .
-
Use um balanceador de carga de terceiros entre o cliente e o nó de gateway ou nós de armazenamento para tráfego de cliente não confiável. O balanceamento de carga de terceiros oferece mais controle e camadas adicionais de proteção contra ataques. Se você usar um balanceador de carga de terceiros, o tráfego de rede ainda poderá ser configurado para passar por um ponto de extremidade do balanceador de carga interno ou ser enviado diretamente para os nós de armazenamento.
-
Se você estiver usando endpoints do balanceador de carga, opcionalmente, faça com que os clientes se conectem pela Rede do Cliente. Em seguida, selecione CONFIGURAÇÃO > Segurança > Controle de firewall > Redes de clientes não confiáveis e indique que a Rede de clientes no nó de gateway não é confiável. O nó de gateway aceita apenas tráfego de entrada nas portas explicitamente configuradas como pontos de extremidade do balanceador de carga.
Diretrizes para nós de dispositivos de hardware
Os dispositivos de hardware StorageGRID são especialmente projetados para uso em um sistema StorageGRID . Alguns aparelhos podem ser usados como nós de armazenamento. Outros dispositivos podem ser usados como nós de administração ou nós de gateway. Você pode combinar nós de dispositivos com nós baseados em software ou implantar grades totalmente projetadas para todos os dispositivos.
Siga estas diretrizes para proteger quaisquer nós de dispositivos de hardware no seu sistema StorageGRID :
-
Se o dispositivo usar o SANtricity System Manager para gerenciamento do controlador de armazenamento, impeça que clientes não confiáveis acessem o SANtricity System Manager pela rede.
-
Se o dispositivo tiver um controlador de gerenciamento de placa base (BMC), esteja ciente de que a porta de gerenciamento do BMC permite acesso de hardware de baixo nível. Conecte a porta de gerenciamento do BMC somente a uma rede de gerenciamento interna segura e confiável. Se nenhuma rede desse tipo estiver disponível, deixe a porta de gerenciamento do BMC desconectada ou bloqueada, a menos que uma conexão BMC seja solicitada pelo suporte técnico.
-
Se o dispositivo oferecer suporte ao gerenciamento remoto do hardware do controlador via Ethernet usando o padrão Intelligent Platform Management Interface (IPMI), bloqueie o tráfego não confiável na porta 623.
|
Você pode habilitar ou desabilitar o acesso remoto IPMI para todos os dispositivos que contêm um BMC. A interface IPMI remota permite acesso de hardware de baixo nível aos seus dispositivos StorageGRID por qualquer pessoa com uma conta e senha BMC . Se você não precisar de acesso IPMI remoto ao BMC, desative esta opção usando um dos seguintes métodos: + No Grid Manager, vá para CONFIGURAÇÃO > Segurança > Configurações de segurança > Dispositivos e desmarque a caixa de seleção Habilitar acesso IPMI remoto. + Na API de gerenciamento de grade, use o ponto de extremidade privado: PUT /private/bmc .
|
-
Para modelos de dispositivos que contêm unidades SED, FDE ou FIPS NL-SAS que você gerencia com o SANtricity System Manager, "habilitar e configurar o SANtricity Drive Security" .
-
Para modelos de dispositivos que contêm SSDs SED ou FIPS NVMe que você gerencia usando o StorageGRID Appliance Installer e o Grid Manager, "habilitar e configurar a criptografia de unidade StorageGRID" .
-
Para dispositivos sem unidades SED, FDE ou FIPS, habilite e configure a criptografia do nó de software StorageGRID "usando um Servidor de Gerenciamento de Chaves (KMS)" .