简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

集群合规性类别

下表介绍了 Unified Manager 评估的集群安全合规性参数, NetApp 建议以及该参数是否影响对集群是否合规性的整体判断。

集群上存在不合规的 SVM 将影响集群的合规性值。因此,在某些情况下,您可能需要先修复 SVM 的安全问题,然后才能将集群安全性视为合规。

请注意,并非所有安装都显示以下列出的所有参数。例如,如果您没有对等集群,或者您在集群上禁用了 AutoSupport ,则您将不会在 UI 页面中看到集群对等或 AutoSupport HTTPS 传输项。

参数 Description 建议 影响集群合规性

全局 FIPS

指示是否已启用全局 FIPS (联邦信息处理标准) 140-2 合规模式。启用 FIPS 后, TLSv1 和 SSLv3 将被禁用,并且仅允许使用 TLSv1.1 和 TLSv1.2 。

enabled

是的。

Telnet

指示是启用还是禁用了对系统的 Telnet 访问。NetApp 建议使用安全 Shell ( SSH )进行安全远程访问。

已禁用

是的。

SSH 设置不安全

指示 SSH 是否使用不安全的密码,例如以 * CBC 开头的密码。

是的。

登录横幅

指示是否为访问系统的用户启用了登录横幅。

enabled

是的。

集群对等

指示对等集群之间的通信是加密的还是未加密的。必须在源集群和目标集群上配置加密,才能将此参数视为合规。

Encrypted

是的。

网络时间协议

指示集群是否已配置一个或多个 NTP 服务器。为了获得冗余和最佳服务, NetApp 建议至少将三个 NTP 服务器与集群相关联。

Configured

是的。

OCSP

指示 ONTAP 中是否存在未配置 OCSP (联机证书状态协议)的应用程序,因此通信不会加密。此时将列出不合规的应用程序。

enabled

远程审核日志记录

指示日志转发( Syslog )是加密还是未加密。

Encrypted

是的。

AutoSupport HTTPS 传输

指示是否使用 HTTPS 作为向 NetApp 支持部门发送 AutoSupport 消息的默认传输协议。

enabled

是的。

默认管理员用户

指示是启用还是禁用默认管理员用户(内置)。NetApp 建议锁定(禁用)任何不需要的内置帐户。

已禁用

是的。

SAML 用户

指示是否已配置 SAML 。通过 SAML ,您可以将多因素身份验证( Multi-Factor Authentication , MFA )配置为单点登录的登录方法。

Active Directory 用户

指示是否已配置 Active Directory 。Active Directory 和 LDAP 是访问集群的用户的首选身份验证机制。

LDAP 用户

指示是否已配置 LDAP 。对于通过本地用户管理集群的用户来说, Active Directory 和 LDAP 是首选身份验证机制。

证书用户

指示是否已将证书用户配置为登录到集群。

本地用户

指示是否已将本地用户配置为登录到集群。

远程 Shell

指示是否已启用 RSH 。出于安全原因,应禁用 RSH 。首选使用安全 Shell ( SSH )进行安全远程访问。

已禁用

是的。

MD5 正在使用中

指示 ONTAP 用户帐户是否使用不太安全的 MD5 哈希函数。最好将 MD5 哈希用户帐户迁移到更安全的加密哈希函数,例如 SHA-512 。

是的。

证书颁发者类型

指示使用的数字证书类型。

CA 签名