集群合规性类别
建议更改
PDF
该表描述了 Unified Manager 评估的集群安全合规性参数、 NetApp建议以及该参数是否影响集群合规性的整体判定。
集群上存在不合规的 SVM 将影响集群的合规性值。因此在某些情况下,您可能需要先修复 SVM 的安全问题,然后集群安全性才被视为合规。
请注意,下面列出的每个参数并非都会出现在所有安装中。例如,如果您没有对等集群,或者您在集群上禁用了AutoSupport ,那么您将不会在 UI 页面中看到 Cluster Peering 或AutoSupport HTTPS Transport 项。
| 参数 | 描述 | 建议 | 影响集群合规性 |
|---|---|---|---|
全局 FIPS |
指示是否启用或禁用全球 FIPS(联邦信息处理标准)140-2 合规模式。启用 FIPS 时,TLSv1 和 SSLv3 被禁用,并且只允许使用 TLSv1.1 和 TLSv1.2。 |
已启用 |
是 |
Telnet |
指示是否启用或禁用 Telnet 系统访问。NetApp建议使用安全外壳 (SSH) 进行安全远程访问。 |
已禁用 |
是 |
不安全 SSH 设置 |
指示 SSH 是否使用不安全的密码,例如以 *cbc 开头的密码。 |
否 |
是 |
登录横幅 |
指示是否对访问系统的用户启用或禁用登录横幅。 |
已启用 |
是 |
创建集群对等关系 |
指示对等集群之间的通信是否加密或未加密。必须在源集群和目标集群上配置加密,此参数才被视为合规。 |
已加密 |
是 |
网络时间协议 |
指示集群是否已配置一个或多个 NTP 服务器。为了实现冗余和最佳服务, NetApp建议您将至少三个 NTP 服务器与集群关联。 |
已配置 |
是 |
OCSP |
从 9.14.1 开始, Active IQ Unified Manager在存储虚拟机(SVM,以前称为 Vserver)级别提供在线证书状态协议 (OCSP) 状态信息。这意味着 OCSP 验证适用于与 SVM 建立的所有 SSL/TLS 连接,并确保这些连接中使用的证书的完整性和有效性。 |
已启用 |
否 |
远程审计日志 |
指示日志转发(Syslog)是否加密。 |
已加密 |
是 |
AutoSupport HTTPS 传输 |
指示是否使用 HTTPS 作为向NetApp支持发送AutoSupport消息的默认传输协议。 |
已启用 |
是 |
默认管理员用户 |
指示默认管理员用户(内置)是否启用或禁用。 NetApp建议锁定(禁用)任何不需要的内置帐户。 |
已禁用 |
是 |
SAML 用户 |
指示是否配置了 SAML。 SAML 使您能够将多重身份验证 (MFA) 配置为单点登录的登录方法。 |
否 |
否 |
Active Directory 用户 |
指示是否配置了 Active Directory。 Active Directory 和 LDAP 是用户访问集群的首选身份验证机制。 |
否 |
否 |
LDAP 用户 |
指示是否配置了 LDAP。对于管理集群的用户而非本地用户来说,Active Directory 和 LDAP 是首选的身份验证机制。 |
否 |
否 |
证书用户 |
指示是否配置了证书用户来登录集群。 |
否 |
否 |
本地用户 |
指示是否配置本地用户登录集群。 |
否 |
否 |
远程 Shell |
指示 RSH 是否启用。出于安全原因,应禁用 RSH。首选使用安全外壳 (SSH) 进行安全远程访问。 |
已禁用 |
是 |
MD5 使用中 |
指示ONTAP用户帐户是否使用安全性较低的 MD5 哈希函数。建议将 MD5 Hashed 用户帐户迁移到更安全的加密哈希函数(如 SHA-512)。 |
否 |
是 |
证书颁发者类型 |
指示使用的数字证书的类型。 |
CA签名 |
否 |