安全功能
SnapCenter 采用严格的安全性和身份验证功能,可确保数据安全。
SnapCenter 包括以下安全功能:
-
与 SnapCenter 的所有通信都使用基于 SSL 的 HTTP ( HTTPS )。
-
SnapCenter 中的所有凭据均使用高级加密标准( Advanced Encryption Standard , AES )加密进行保护。
-
SnapCenter 使用符合联邦信息处理标准( FIPS )的安全算法。
-
SnapCenter 支持使用客户提供的授权 CA 证书。
-
SnapCenter 4.1.1或更高版本支持使用传输层安全(Transport Layer Security、TLS) 1.2与ONTAP进行通信。您还可以使用TLS 1.2在客户端和服务器之间进行通信。
从5.0开始、SnapCenter支持(TLS) 1.3与ONTAP进行通信。
-
SnapCenter 支持一组特定的SSL密码集套件、可在网络通信中提供安全性。
有关详细信息,请参见 "如何配置受支持的SSL Cipher Suite"。
-
SnapCenter 安装在公司的防火墙内,用于访问 SnapCenter 服务器并在 SnapCenter 服务器和插件之间进行通信。
-
SnapCenter API 和操作访问使用使用 AES 加密加密的令牌,这些令牌将在 24 小时后过期。
-
SnapCenter 与 Windows Active Directory 集成,用于控制访问权限的登录和基于角色的访问控制( Role-Based Access Control , RBAC )。
-
ONTAP for Windows和Linux主机上的SnapCenter支持IPSec。 "了解更多信息。"(英文)
-
SnapCenter PowerShell cmdlet 可保护会话安全。
-
默认情况下,如果 15 分钟处于非活动状态, SnapCenter 会向您发出警告,指出您将在 5 分钟后注销。处于非活动状态 20 分钟后, SnapCenter 将注销,您必须重新登录。您可以修改注销期限。
-
登录尝试不正确 5 次或 5 次以上后,将暂时禁用登录。
-
支持在SnapCenter服务器和ONTAP之间进行CA证书身份验证。 "了解更多信息。"(英文)
-
完整性验证程序已添加到SnapCenter 服务器和插件中、它会在全新安装和升级操作期间验证所有已发送的二进制文件。
CA 证书概述
SnapCenter 服务器安装程序可在安装期间启用集中式 SSL 证书支持。为了增强服务器和插件之间的安全通信, SnapCenter 支持使用客户提供的授权 CA 证书。
您应在安装 SnapCenter 服务器和相应插件后部署 CA 证书。有关详细信息,请参见 "生成 CA 证书 CSR 文件"。
您还可以为适用于 VMware vSphere 的 SnapCenter 插件部署 CA 证书。有关详细信息,请参见 "创建和导入证书"。
双向SSL通信
双向SSL通信可确保SnapCenter服务器与插件之间的相互通信安全。
基于证书的身份验证概述
基于证书的身份验证可验证尝试访问SnapCenter插件主机的各个用户的真实性。用户应导出不带专用密钥的SnapCenter服务器证书、并将其导入到插件主机受信任存储中。仅当启用了双向SSL功能时、基于证书的身份验证才起作用。
多因素身份验证( MFA )
MFA通过安全断言标记语言(SAML)使用第三方身份提供程序(IdP)来管理用户会话。此功能可选择使用TOTP、生物识别、推送通知等多种因素以及现有用户名和密码、从而增强身份验证的安全性。此外、它还支持客户使用自己的用户身份提供程序在其产品组合中获得统一的用户登录(SSO)。
MFA仅适用于SnapCenter 服务器UI登录。登录通过IdP Active Directory联合身份验证服务(AD FS)进行身份验证。您可以在AD FS上配置各种身份验证因素。SnapCenter 是服务提供商、您应将SnapCenter 配置为AD FS中的依赖方。要在SnapCenter 中启用MFA、您需要AD FS元数据。
有关启用MFA的信息,请参见 "启用多因素身份验证"。