安全管理工具
建議變更
PDF
Data Infrastructure Insights包括安全功能,可讓您的環境以增強的安全性運作。這些功能包括加密、密碼雜湊的改進,以及更改內部使用者密碼以及加密和解密密碼的金鑰對的能力。
為了保護敏感數據, NetApp建議您在安裝或升級後變更預設金鑰和_Acquisition_使用者密碼。
資料來源加密密碼儲存在Data Infrastructure Insights中,當使用者在資料收集器設定頁面輸入密碼時,它會使用公鑰對密碼進行加密。Data Infrastructure Insights沒有解密資料收集器密碼所需的私鑰;只有採集單元 (AU) 才具有解密資料收集器密碼所需的資料收集器私鑰。
升級和安裝注意事項
當您的 Insight 系統包含非預設安全性配置(即您已重新輸入密碼)時,您必須備份您的安全性設定。安裝新軟體,或在某些情況下升級軟體,會將您的系統還原為預設安全性配置。當您的系統恢復到預設配置時,您必須恢復非預設配置才能使系統正常運作。
管理採集單元的安全
SecurityAdmin 工具可讓您管理Data Infrastructure Insights的安全選項,並在擷取單元系統上執行。安全管理包括管理金鑰和密碼、儲存和還原您建立的安全性配置或將設定還原為預設值。
開始之前
-
您必須擁有 AU 系統的管理員權限才能安裝 Acquisition Unit 軟體(其中包括 SecurityAdmin 工具)。
-
如果您有非管理員使用者隨後需要存取 SecurityAdmin 工具,則必須將他們新增至 cisys 群組。 cisys 群組是在 AU 安裝期間建立的。
安裝 AU 後,可以在擷取單元系統的下列任一位置找到 SecurityAdmin 工具:
Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat Linux - /bin/oci-securityadmin.sh
使用 SecurityAdmin 工具
以互動模式(-i)啟動 SecurityAdmin 工具。
|
建議以互動模式使用 SecurityAdmin 工具,以避免在命令列上傳遞可以在日誌中擷取的機密。 |
將顯示以下選項:
-
備份
建立包含所有密碼和金鑰的保險庫備份 zip 文件,並將文件放置在使用者指定的位置或以下預設位置:
Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault Linux - /var/log/netapp/oci/backup/vault
建議妥善保管保險庫備份,因為它們包含敏感資訊。
-
恢復
還原已建立的保管庫的 zip 備份。一旦恢復,所有密碼和金鑰都將恢復為備份建立時存在的值。
復原可用於同步多台伺服器上的密碼和金鑰,例如使用下列步驟:1)變更 AU 上的加密金鑰。 2)創建保險庫的備份。 3) 將保管庫備份還原到每個 AU。
-
註冊/更新外部金鑰檢索腳本
使用外部腳本註冊或變更用於加密或解密裝置密碼的 AU 加密金鑰。
當您變更加密金鑰時,您應該備份新的安全配置,以便在升級或安裝後還原它。
請注意,此選項僅在 Linux 上可用。
當使用您自己的金鑰檢索腳本和 SecurityAdmin 工具時,請記住以下幾點:
-
目前支援的演算法是最小 2048 位元的 RSA。
-
該腳本必須以純文字形式傳回私鑰和公鑰。該腳本不得傳回加密的私鑰和公鑰。
-
該腳本應傳回原始的編碼內容(僅限 PEM 格式)。
-
外部腳本必須具有_執行_權限。
-
-
輪換加密金鑰
輪換您的加密金鑰(取消註冊當前金鑰並註冊新金鑰)。若要使用來自外部金鑰管理系統的金鑰,您必須指定公鑰 ID 和私鑰 ID。
-
重設為預設鍵
將取得使用者密碼和取得使用者加密金鑰重設為預設值,預設值是安裝期間提供的。
-
更改信任庫密碼
更改信任庫的密碼。
-
更改金鑰庫密碼
更改密鑰庫的密碼。
-
加密收集器密碼
加密資料收集器密碼。
-
出口
退出 SecurityAdmin 工具。
選擇您想要配置的選項並按照提示進行操作。
指定使用者來運行該工具
如果您處於受控的、注重安全的環境中,您可能沒有_cisys_群組,但仍可能希望特定使用者執行 SecurityAdmin 工具。
您可以透過手動安裝 AU 軟體並指定您想要存取的使用者/群組來實現這一點。
-
使用 API,將 CI 安裝程式下載到 AU 系統並解壓縮。
-
您將需要一次性授權令牌。查看 API Swagger 文件(Admin > API Access 並選擇 API Documentation 連結)並找到 GET /au/oneTimeToken API 部分。
-
取得令牌後,使用 GET /au/installers/{platform}/{version} API 下載安裝程式檔案。您需要提供平台(Linux 或 Windows)以及安裝程式版本。
-
-
將下載的安裝程式檔案複製到AU系統並解壓縮。
-
導覽至包含檔案的資料夾,並以 root 身分執行安裝程序,指定使用者和群組:
./cloudinsights-install.sh <User> <Group>
如果指定的使用者和/或群組不存在,則將建立它們。使用者將有權存取 SecurityAdmin 工具。
更新或刪除代理
可以使用 SecurityAdmin 工具設定或刪除採集單元的代理訊息,方法是運行帶有 -pr 參數的工具:
[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>
The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.
-ap,--add-proxy <arg> add a proxy server. Arguments: ip=ip
port=port user=user password=password
domain=domain
(Note: Always use double quote(") or single
quote(') around user and password to escape
any special characters, e.g., <, >, ~, `, ^,
!
For example: user="test" password="t'!<@1"
Note: domain is required if the proxy auth
scheme is NTLM.)
-h,--help
-rp,--remove-proxy remove proxy server
-upr,--update-proxy <arg> update a proxy. Arguments: ip=ip port=port
user=user password=password domain=domain
(Note: Always use double quote(") or single
quote(') around user and password to escape
any special characters, e.g., <, >, ~, `, ^,
!
For example: user="test" password="t'!<@1"
Note: domain is required if the proxy auth
scheme is NTLM.)
例如,要刪除代理,請執行以下命令:
[root@ci-eng-linau bin]# ./securityadmin -pr -rp 運行該指令後必須重新啟動採集單元。
要更新代理,命令是
./securityadmin -pr -upr <arg>
外部密鑰檢索
如果您提供 UNIX shell 腳本,則取得單元可以執行該腳本從您的金鑰管理系統中擷取 私鑰 和 公鑰。
為了檢索金鑰, Data Infrastructure Insights將執行腳本,並傳遞兩個參數:key id 和 key type。 Key id 可用來識別金鑰管理系統中的金鑰。 _密鑰類型_可以是「公共」或「私人」。當密鑰類型為“公共”時,腳本必須傳回公鑰。當金鑰類型為“private”時,必須傳回私鑰。
若要將密鑰傳回採集單元,腳本必須將密鑰列印到標準輸出。腳本必須僅將密鑰列印到標準輸出;不得將任何其他文字列印到標準輸出。一旦請求的鍵被列印到標準輸出,腳本必須以退出代碼 0 退出;任何其他返回代碼都被視為錯誤。
該腳本必須使用 SecurityAdmin 工具向採集單元註冊,該工具將與採集單元一起執行該腳本。該腳本必須具有 root 和「cisys」使用者的_read_和_execute_權限。如果註冊後shell腳本被修改,則必須將修改後的shell腳本重新向採集單位註冊。
輸入參數:密鑰ID |
密鑰標識符用於在客戶密鑰管理系統中識別密鑰。 |
輸入參數:密鑰類型 |
公共或私人。 |
輸出 |
必須將請求的密鑰列印到標準輸出。目前支援 2048 位元 RSA 金鑰。密鑰必須按照以下格式進行編碼和列印 - 私鑰格式 - PEM、DER 編碼的 PKCS8 PrivateKeyInfo RFC 5958 公鑰格式 - PEM、DER 編碼的 X.509 SubjectPublicKeyInfo RFC 5280 |
退出代碼 |
退出代碼為零表示成功。所有其他退出值均視為失敗。 |
腳本權限 |
腳本必須具有 root 和「cisys」使用者的讀取和執行權限。 |
紀錄 |
腳本執行被記錄。日誌可以在以下位置找到 - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log |
加密用於 API 的密碼
選項 8 允許您加密密碼,然後您可以透過 API 將其傳遞給資料收集器。
以互動模式啟動 SecurityAdmin 工具並選擇選項 8:加密密碼。
securityadmin.sh -i 系統會提示您輸入要加密的密碼。請注意,您鍵入的字元不會顯示在螢幕上。出現提示時重新輸入密碼。
或者,如果您要在腳本中使用該命令,請在命令列上使用帶有「-enc」參數的_securityadmin.sh_,傳遞未加密的密碼:
securityadmin -enc mypassword image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["CLI 範例"]
加密的密碼顯示在螢幕上。複製整個字串,包括任何前導或尾隨符號。
若要將加密的密碼傳送給資料收集器,您可以使用資料收集 API。可以在 管理 > API 存取 中找到此 API 的 swagger,然後按一下「API 文件」連結。選擇「資料收集」API 類型。在 data_collection.data_collector 標題下,為本範例選擇 /collector/datasources POST API。
如果將 preEncrypted 選項設為 True,則透過 API 指令傳遞的任何密碼都將被視為*已加密*;API 不會重新加密密碼。建置 API 時,只需將先前加密的密碼貼到適當的位置。
