集群合規性類別
建議變更
PDF
此表描述了 Unified Manager 評估的叢集安全性合規性參數、 NetApp建議以及該參數是否影響叢集合規性的整體判定。
叢集上存在不合規的 SVM 將影響叢集的合規性值。因此在某些情況下,您可能需要先修復 SVM 的安全性問題,然後叢集安全性才被視為合規。
請注意,以下列出的每個參數並非都會出現在所有安裝中。例如,如果您沒有對等集群,或者您在集群上停用了AutoSupport ,那麼您將不會在 UI 頁面中看到 Cluster Peering 或AutoSupport HTTPS Transport 項目。
| 範圍 | 描述 | 推薦 | 影響集群合規性 |
|---|---|---|---|
全球 FIPS |
指示是否啟用或停用全球 FIPS(聯邦資訊處理標準)140-2 合規模式。啟用 FIPS 時,TLSv1 和 SSLv3 被停用,並且只允許使用 TLSv1.1 和 TLSv1.2。 |
已啟用 |
是的 |
遠端登入 |
指示是否啟用或停用 Telnet 系統存取。NetApp建議使用安全外殼 (SSH) 進行安全遠端存取。 |
已停用 |
是的 |
不安全的 SSH 設定 |
指示 SSH 是否使用不安全的密碼,例如以 *cbc 開頭的密碼。 |
不 |
是的 |
登入橫幅 |
指示是否對存取系統的使用者啟用或停用登入橫幅。 |
已啟用 |
是的 |
集群對等連接 |
指示對等集群之間的通訊是否加密或未加密。必須在來源叢集和目標叢集上配置加密,此參數才被視為合規。 |
加密 |
是的 |
網路時間協定 |
指示叢集是否已配置一個或多個 NTP 伺服器。為了實現冗餘和最佳服務, NetApp建議您將至少三個 NTP 伺服器與叢集關聯。 |
已配置 |
是的 |
OCSP |
從 9.14.1 開始, Active IQ Unified Manager在儲存虛擬機器(SVM,以前稱為 Vserver)層級提供線上憑證狀態協定 (OCSP) 狀態資訊。這意味著 OCSP 驗證適用於與 SVM 建立的所有 SSL/TLS 連接,並確保這些連接中使用的憑證的完整性和有效性。 |
已啟用 |
不 |
遠端審計日誌 |
指示日誌轉送(Syslog)是否加密。 |
加密 |
是的 |
AutoSupport HTTPS 傳輸 |
指示是否使用 HTTPS 作為向NetApp支援發送AutoSupport訊息的預設傳輸協定。 |
已啟用 |
是的 |
預設管理員用戶 |
指示預設管理員使用者(內建)是否啟用或停用。 NetApp建議鎖定(停用)任何不必要的內建帳戶。 |
已停用 |
是的 |
SAML 用戶 |
指示是否配置了 SAML。 SAML 可讓您將多重驗證 (MFA) 設定為單一登入的登入方法。 |
不 |
不 |
Active Directory 用戶 |
指示是否配置了 Active Directory。 Active Directory 和 LDAP 是使用者存取叢集的首選驗證機制。 |
不 |
不 |
LDAP 用戶 |
指示是否配置了 LDAP。對於管理叢集的使用者而非本機使用者來說,Active Directory 和 LDAP 是首選的驗證機制。 |
不 |
不 |
憑證用戶 |
指示是否配置了憑證使用者來登入叢集。 |
不 |
不 |
本地用戶 |
指示是否配置本機使用者登入叢集。 |
不 |
不 |
遠端 Shell |
指示 RSH 是否啟用。出於安全原因,應停用 RSH。首選使用安全外殼 (SSH) 進行安全遠端存取。 |
已停用 |
是的 |
MD5 使用中 |
指示ONTAP使用者帳戶是否使用安全性較低的 MD5 雜湊函數。建議將 MD5 Hashed 使用者帳戶遷移到更安全的加密雜湊函數(如 SHA-512)。 |
不 |
是的 |
證書頒發者類型 |
指示使用的數位憑證的類型。 |
CA簽名 |
不 |