集群合规性类别
建议更改
PDF
下表介绍了 Unified Manager 评估的集群安全合规性参数, NetApp 建议以及该参数是否影响对集群是否合规性的整体判断。
集群上存在不合规的 SVM 将影响集群的合规性值。因此,在某些情况下,您可能需要先修复 SVM 的安全问题,然后才能将集群安全性视为合规。
请注意,并非所有安装都显示以下列出的所有参数。例如,如果您没有对等集群,或者您在集群上禁用了 AutoSupport ,则您将不会在 UI 页面中看到集群对等或 AutoSupport HTTPS 传输项。
| 参数 | 说明 | 建议 | 影响集群合规性 |
|---|---|---|---|
全局 FIPS |
指示是否已启用全局 FIPS (联邦信息处理标准) 140-2 合规模式。启用 FIPS 后, TLSv1 和 SSLv3 将被禁用,并且仅允许使用 TLSv1.1 和 TLSv1.2 。 |
已启用 |
是 |
Telnet |
指示是启用还是禁用了对系统的 Telnet 访问。NetApp 建议使用安全 Shell ( SSH )进行安全远程访问。 |
已禁用 |
是 |
不安全SSH设置 |
指示 SSH 是否使用不安全的密码,例如以 * CBC 开头的密码。 |
否 |
是 |
登录横幅 |
指示是否为访问系统的用户启用了登录横幅。 |
已启用 |
是 |
集群对等 |
指示对等集群之间的通信是加密的还是未加密的。必须在源集群和目标集群上配置加密,才能将此参数视为合规。 |
已加密 |
是 |
网络时间协议 |
指示集群是否已配置一个或多个 NTP 服务器。为了获得冗余和最佳服务, NetApp 建议至少将三个 NTP 服务器与集群相关联。 |
已配置 |
是 |
OCSP |
从9.14.1开始、Active IQ Unified Manager可在Storage Virtual Machine (SVM、以前称为Vserver)级别提供联机证书状态协议(Online Certificate Status Protocol、OCSP)状态信息。这意味着、OCSP验证将应用于与SVM建立的所有SSL/TLS连接、并确保这些连接中使用的证书的完整性和有效性。 |
已启用 |
否 |
远程审核日志记录 |
指示日志转发( Syslog )是加密还是未加密。 |
已加密 |
是 |
AutoSupport HTTPS 传输 |
指示是否使用 HTTPS 作为向 NetApp 支持部门发送 AutoSupport 消息的默认传输协议。 |
已启用 |
是 |
默认管理员用户 |
指示是启用还是禁用默认管理员用户(内置)。NetApp 建议锁定(禁用)任何不需要的内置帐户。 |
已禁用 |
是 |
SAML用户 |
指示是否已配置SAML。通过 SAML ,您可以将多因素身份验证( Multi-Factor Authentication , MFA )配置为单点登录的登录方法。 |
否 |
否 |
Active Directory 用户 |
指示是否已配置 Active Directory 。Active Directory 和 LDAP 是访问集群的用户的首选身份验证机制。 |
否 |
否 |
LDAP用户 |
指示是否已配置LDAP。对于通过本地用户管理集群的用户来说, Active Directory 和 LDAP 是首选身份验证机制。 |
否 |
否 |
证书用户 |
指示是否已将证书用户配置为登录到集群。 |
否 |
否 |
本地用户 |
指示是否已将本地用户配置为登录到集群。 |
否 |
否 |
远程 Shell |
指示是否已启用 RSH 。出于安全原因,应禁用 RSH 。首选使用安全 Shell ( SSH )进行安全远程访问。 |
已禁用 |
是 |
MD5 正在使用中 |
指示 ONTAP 用户帐户是否使用不太安全的 MD5 哈希函数。最好将 MD5 哈希用户帐户迁移到更安全的加密哈希函数,例如 SHA-512 。 |
否 |
是 |
证书颁发者类型 |
指示使用的数字证书类型。 |
CA 签名 |
否 |