Story Transcript
EMC Unity™ Family EMC Unity™ All Flash, ™ EMC Unity Hybrid, EMC UnityVSA™ Versión 4.0
Guía de configuración de seguridad P/N 302-002-564 REV 01
Copyright © 2016 EMC Corporation. Todos los derechos reservados. Publicado en México. Publicado May., 2016 EMC considera que la información de esta publicación es precisa en el momento de su publicación. La información está sujeta a cambios sin previo aviso. La información de esta publicación se proporciona "tal cual". EMC Corporation no se hace responsable ni ofrece garantía de ningún tipo con respecto a la información de esta publicación y, específicamente, renuncia a toda garantía implícita de comerciabilidad o capacidad para un propósito determinado. EMC2, EMC y el logotipo de EMC son marcas registradas o marcas comerciales de EMC Corporation en los Estados Unidos o en otros países. Todas las otras marcas comerciales que aparecen aquí son propiedad de sus respectivos dueños. Para consultar la documentación normativa más actualizada para su línea de productos, visite el sitio de soporte en línea de EMC (https://support.emc.com). Dirección local de EMC EMC Argentina (Cono Sur) Tel. +54-11-4021-3622 www.argentina.emc.com EMC México Tel. +52-55-5080-3700 www.mexico.emc.com EMC Venezuela (Norte de Latinoamérica)Tel. +58-212-206-6911www.venezuela.emc.com
2
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CONTENIDO
Prefacio
5
Capítulo 1
Introducción
7
Descripción general.........................................................................................8 Información sobre funcionalidad y funciones relacionadas............................. 8
Capítulo 2
Control de acceso
9
Ajustes de alertas......................................................................................... 10 Cuentas predeterminadas de fábrica de administración y de servicio del sistema de almacenamiento......................................................................... 11 Administración de cuentas del sistema de almacenamiento..........................11 Unisphere..................................................................................................... 12 Interfaz de la línea de comandos de Unisphere............................................. 14 Interfaz de servicio vía protocolo SSH del sistema de almacenamiento......... 15 IPMItool y puerto de servicio Ethernet del SP del sistema de almacenamiento ..................................................................................................................... 17 SMI-S Provider.............................................................................................. 17 Compatibilidad con vSphere Storage API for Storage Awareness................... 17 Single sign-on con Unisphere Central............................................................ 20 Flujos de proceso de single sign-on..................................................21 Inicio de sesión en un sistema de almacenamiento local................. 22 Single sign-on y compatibilidad con NAT..........................................22 Seguridad en los objetos de los sistemas de archivos................................... 22 Acceso a sistemas de archivos en un ambiente multiprotocolo..................... 23 Mapeo de usuarios.......................................................................... 23 Políticas de acceso para NFS, SMB y FTP.......................................... 24 Credenciales para la seguridad en el nivel de archivos.....................25 NFS seguro....................................................................................................27 Control de acceso dinámico.......................................................................... 28
Capítulo 3
Registro
31
Registro.........................................................................................................32 Opciones de registro remoto......................................................................... 33
Capítulo 4
Seguridad de la comunicación
35
Uso de los puertos........................................................................................ 36 Puertos de red del sistema de almacenamiento:.............................. 36 Puertos con los que se puede comunicar el sistema de almacenamiento.............................................................................. 41 Certificado del sistema de almacenamiento.................................................. 44 Interfaces, servicios y funciones del sistema de almacenamiento compatibles con el protocolo de Internet versión 6............................................................45 Acceso a la interfaz de administración del sistema de almacenamiento mediante IPv6............................................................................................... 46 Configuración de la interfaz de administración mediante DHCP..................... 47 Ejecución de Connection Utility........................................................ 48 EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
3
CONTENIDO
Cifrado (SMB) de protocolos..........................................................................49 Soporte de administración para FIPS 140-2...................................................49
Capítulo 5
Configuración de la seguridad de datos
51
Acerca del cifrado de datos en reposo (solo para implementaciones físicas) ..................................................................................................................... 52 Estado del cifrado............................................................................ 53 Respaldo del archivo de almacenamiento de claves.........................53 Registro de auditoría del cifrado de datos en reposo........................ 54 Operaciones con hot spares.............................................................54 Adición de unidades de disco a sistemas de almacenamiento con cifrado habilitado.............................................................................55 Extracción de unidades de disco de sistemas de almacenamiento con el cifrado habilitado......................................................................... 55 Reemplazo de chasis y SP de sistemas de almacenamiento con el cifrado habilitado.............................................................................56 Configuración de la seguridad de datos.........................................................56
Capítulo 6
Mantenimiento de seguridad
59
Mantenimiento seguro.................................................................................. 60 Actualización de licencias................................................................ 60 Actualización de software................................................................ 60 Soporte remoto seguro de EMC para los sistemas de almacenamiento..........61
Capítulo 7
Ajustes de alertas de seguridad
63
Ajustes de alertas......................................................................................... 64 Configuración de los ajustes de alertas......................................................... 65 Configuración de los ajustes de las alertas para la notificación por correo electrónico ........................................................................... 65 Configuración de los ajustes de las alertas para SNMP traps............ 65
Capítulo 8
Otras configuraciones de seguridad
67
Controles físicos de seguridad (solo para implementaciones físicas)............ 68 Protección antivirus.......................................................................................68
Apéndice A
Conjuntos de aplicaciones de cifrado TLS
69
Conjuntos de aplicaciones de cifrado TLS compatibles..................................70
4
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Recursos adicionales
Como parte de un esfuerzo por mejorar sus líneas de productos, EMC lanza revisiones periódicas de su hardware y software. Por lo tanto, es posible que no todas las versiones de hardware y software admitan algunas funciones que se describen en este documento. Las notas de la versión del producto proporcionan la información más actualizada acerca de las características del producto. En caso de que un producto no funcione correctamente o no funcione según se describe en este documento, póngase en contacto con un profesional de soporte técnico de EMC. Dónde obtener ayuda La información sobre soporte, productos y licencias puede obtenerse de la siguiente manera: Información de productos Para ver las notas de la versión o la documentación sobre el producto y las características, consulte la documentación técnica de Unity en http://www.emc.com/esmx/documentation/unity-family.htm. También puede acceder a esta página desde la página de la familia de productos de Unity: www.emc.com/es-mx/storage/unity.htm. En la sección Ventajas del almacenamiento EMC Unity, haga clic en Recursos de los productos Unity. Solución de problemas Para obtener información sobre los productos de EMC, las actualizaciones de software, las licencias y el servicio, visite el servicio de soporte en línea de EMC (requiere registro) en la dirección https://support.emc.com. Después de iniciar sesión, busque la página Soporte por producto correspondiente. Soporte técnico Para enviar solicitudes de servicio y soporte técnico, visite el servicio de soporte en línea de EMC en https://support.emc.com. Después de iniciar sesión, busque Crear una solicitud de servicio. Para abrir una solicitud de servicio, debe contar con un acuerdo de servicio válido. Póngase en contacto con su representante de ventas de EMC para obtener más información sobre cómo obtener un acuerdo de servicio válido o para aclarar cualquier tipo de dudas en relación con su cuenta. Convenciones para avisos especiales utilizadas en este documento EMC usa las siguientes convenciones para notificaciones especiales: PELIGRO
Indica una situación peligrosa que, si no se evita, provoca la muerte o lesiones graves. ADVERTENCIA
Indica una situación peligrosa que, si no se evita, podría provocar la muerte o lesiones graves. PRECAUCIÓN
Indica una situación peligrosa que, si no se evita, podría provocar lesiones menores o moderadas. AVISO
Aborda prácticas no relacionadas con lesiones personales.
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
5
Recursos adicionales
Nota
Presenta información que es importante, pero que no está relacionada con peligros.
6
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 1 Introducción
En este capítulo, se describen brevemente las diversas funciones de seguridad implementadas en el sistema de almacenamiento. Se abordarán los siguientes temas: l l
Descripción general.................................................................................................8 Información sobre funcionalidad y funciones relacionadas..................................... 8
Introducción
7
Introducción
Descripción general El sistema de almacenamiento utiliza una gran variedad de características de seguridad para controlar el acceso de red y del usuario, monitorear el acceso al sistema y su uso, y brindar soporte para la transmisión de datos de almacenamiento. En este documento se describen las características de seguridad disponibles. Está orientado a los administradores responsables de la configuración y el funcionamiento del sistema de almacenamiento. La guía analiza los ajustes de seguridad incluidos en las categorías que se muestran en Categorías de ajustes de seguridad en la página 8: Tabla 1 Categorías de ajustes de seguridad
Categoría de seguridad
Descripción
Control de acceso
Limitación de acceso por parte del usuario final u otras entidades para proteger el hardware, el software u otras características específicas del producto.
Logs
Administración del registro de eventos.
Seguridad de la comunicación
Seguridad de la comunicación de red del producto.
Seguridad de los datos
Provisión de protección de los datos del producto.
Capacidad de servicio
Mantenimiento del control de las operaciones de servicio del producto por parte del fabricante o sus partners de servicio.
Sistema de alertas
Administración de las alertas y las notificaciones generadas para eventos relacionados con la seguridad.
Otras configuraciones de seguridad
Ajustes de seguridad que no se incluyen en ninguna de las secciones anteriores, como la seguridad física.
Información sobre funcionalidad y funciones relacionadas En la documentación siguiente se incluye información específica de Unity relacionada con la funcionalidad y las funciones descritas en este documento: l
Guía del usuario de la CLI de Unisphere
l
Ayuda en línea de Unisphere
l
Guía del programador de SMI-S Provider
l
Notas técnicas de los comandos de servicio
l
Requisitos y configuración de los servicios de soporte remoto seguro
En el sitio web del servicio de soporte en línea de EMC (http://Support.EMC.com), está disponible el conjunto completo de publicaciones de EMC para clientes. Después de iniciar sesión en el sitio web, haga clic en la página Soporte por producto para buscar información específica de la función en cuestión.
8
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 2 Control de acceso
En este capítulo, se describen diversas funciones de control de acceso implementadas en el sistema de almacenamiento. Se abordarán los siguientes temas: l l
l l l l l l l l l l l l
Ajustes de alertas..................................................................................................10 Cuentas predeterminadas de fábrica de administración y de servicio del sistema de almacenamiento................................................................................................... 11 Administración de cuentas del sistema de almacenamiento..................................11 Unisphere............................................................................................................. 12 Interfaz de la línea de comandos de Unisphere..................................................... 14 Interfaz de servicio vía protocolo SSH del sistema de almacenamiento................. 15 IPMItool y puerto de servicio Ethernet del SP del sistema de almacenamiento.......17 SMI-S Provider...................................................................................................... 17 Compatibilidad con vSphere Storage API for Storage Awareness........................... 17 Single sign-on con Unisphere Central.................................................................... 20 Seguridad en los objetos de los sistemas de archivos........................................... 22 Acceso a sistemas de archivos en un ambiente multiprotocolo............................. 23 NFS seguro............................................................................................................27 Control de acceso dinámico.................................................................................. 28
Control de acceso
9
Control de acceso
Ajustes de alertas Las alertas del sistema de almacenamiento informan a los administradores acerca de eventos que ocurren en el sistema de almacenamiento sobre los que se pueden tomar medidas. Los eventos del sistema de almacenamiento se informan como se muestra en la Tabla 2 en la página 10. Tabla 2 Ajustes de alertas
Tipo de alerta
Descripción
Notificación visual
Muestra mensajes emergentes informativos cuando los usuarios inician sesión en la interfaz y en tiempo real para indicar cuando ocurren condiciones de alerta. Los mensajes emergentes proporcionan información básica sobre la condición de alerta. Para obtener información adicional, vaya a Ajustes de configuración > Alertas > Especificar alertas de correo electrónico y configuración de SMTP. Nota
Las notificaciones de alertas visuales del sistema de almacenamiento no son configurables. Además, el sistema de almacenamiento no tiene ninguna opción de autenticación en servidores de correo SMTP. Si el servidor de correo requiere la autenticación de todos los clientes para retransmitir un correo electrónico, el sistema de almacenamiento no puede enviar alertas por correo electrónico a través de él. Notificación por correo electrónico.
Le permite especificar una o más direcciones de correo electrónico a las cuales se pueden enviar mensajes de alerta. Puede realizar las siguientes configuraciones: l
Direcciones de correo electrónico a las cuales se envían alertas del sistema de almacenamiento.
l
Nivel de severidad (crítico, error, advertencia, aviso o información) requerido para la notificación de correo electrónico.
Nota
Para que funcione la notificación por correo electrónico de alertas del sistema de almacenamiento, debe configurar un servidor SMTP de destino para el sistema de almacenamiento. SNMP traps
Transfieren información de alerta a hosts designados (destinos trap) que actúan como repositorios de la información de alerta que genera el sistema de red de almacenamiento. Puede configurar los SNMP traps a través de Unisphere. La configuración incluye: l
Dirección IP de un destino de SNMP trap de red.
l
Configuración de seguridad opcional para la transmisión de datos de trap n
Protocolo de autenticación: algoritmo de hashing que se utiliza para los SNMP traps (SHA o MD5).
n
Protocolo de privacidad: algoritmo de encriptación que se utiliza para los SNMP traps (DES, AES, AES192 o AES256).
La ayuda en línea de Unisphere proporciona más información. Soporte remoto seguro de EMC (ESRS)
ESRS proporciona una conexión basada en IP que permite que el servicio de soporte de EMC reciba archivos de error y mensajes de alerta de su sistema de almacenamiento, además de realizar tareas remotas de solución de problemas de un modo rápido y eficiente. Nota
Está disponible con la versión 4.0 o superior del ambiente operativo. Para que ESRS funcione, debe habilitarlo en el sistema de almacenamiento.
10
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
Cuentas predeterminadas de fábrica de administración y de servicio del sistema de almacenamiento El sistema de almacenamiento viene con configuraciones de cuenta de usuario predeterminadas de fábrica para usar cuando se obtiene acceso y se configura el sistema de almacenamiento por primera vez. Consulte Configuración predeterminada de fábrica de las cuentas de usuario en la página 11. Tabla 3 Configuración predeterminada de fábrica de las cuentas de usuario
Tipo de cuenta
Nombre de usuario
Contraseña
Privilegios
Administración (Unisphere)
admin
Password123# Privilegios de administrador para restablecer contraseñas predeterminadas, configurar los ajustes del sistema, crear cuentas de usuario y asignar almacenamiento.
Servicio
Servicio
Servicio
Realizar operaciones de servicio.
Nota
Durante el proceso de configuración inicial, debe cambiar la contraseña predeterminada de las cuentas de servicio y administración.
Administración de cuentas del sistema de almacenamiento La Tabla 4 en la página 11 muestra los métodos con los que puede administrar las cuentas del sistema de almacenamiento. Tabla 4 Métodos de administración de cuentas
Funciones de cuenta
Descripción
Administración
Después de que se completa el proceso de configuración inicial del sistema de almacenamiento, puede administrar las cuentas de administración del sistema de almacenamiento desde Unisphere o desde la interfaz de la línea de comandos de Unisphere. Puede crear, modificar, eliminar o restablecer la configuración de contraseñas para las cuentas locales del sistema de almacenamiento, y asignar o cambiar funciones a cuentas que determinan los privilegios en función de los usuarios que las usen.
Servicio
No puede crear ni eliminar cuentas de servicio del sistema de almacenamiento. La contraseña de la cuenta de servicio puede restablecerse desde Unisphere. En Sistema, seleccione la función Servicio > Tareas de servicio > Cambiar contraseña de servicio.
Cuentas predeterminadas de fábrica de administración y de servicio del sistema de almacenamiento
11
Control de acceso
Nota
Para cambiar las contraseñas predeterminadas de fábrica de las cuentas del sistema de almacenamiento, debe presionar el botón de restablecimiento de contraseña que está en el chasis del sistema de almacenamiento. La ayuda en línea de Unisphere proporciona más información.
Unisphere La autenticación para obtener acceso a Unisphere se realiza según las credenciales de la cuenta de usuario (local o LDAP). Las cuentas de usuario se crean y posteriormente se administran mediante la página Administrar de Unisphere. Las autorizaciones que se aplican a Unisphere dependen de la función asociada con la cuenta de usuario. Antes de que un usuario pueda descargar el contenido de la interfaz del usuario de Unisphere a una estación de trabajo de administración, debe proporcionar credenciales para autenticarse y establecer una sesión en el sistema de almacenamiento. Cuando el usuario especifica la dirección de red del sistema de almacenamiento como la URL en un navegador web, se le muestra una página de inicio de sesión desde la cual puede optar por autenticarse como un usuario local o mediante un servidor de directorios LDAP. Las credenciales que el usuario proporciona se autentican y, después de la autenticación correcta, se crea una sesión de administración de la interfaz del usuario en el sistema de almacenamiento. Posteriormente, la interfaz del usuario de Unisphere se descarga y se crea una instancia de ella en la estación de trabajo de administración del usuario. El usuario podrá monitorear y administrar el sistema de almacenamiento dentro de las funcionalidades de la función que se le asignó. LDAP El protocolo LDAP es un protocolo de aplicación para consultar servicios de directorio que se ejecutan en redes TCP/IP. LDAP facilita la administración centralizada de la autenticación y de la información de identidades y grupos que se utiliza para la autorización en el sistema de almacenamiento. La integración del sistema en un ambiente LDAP existente proporciona una manera de controlar el acceso de usuarios y de grupos de usuarios al sistema a través de la CLI de Unisphere o Unisphere. Después de configurar los ajustes de LDAP para el sistema, podrá administrar usuarios y grupos de usuarios, en el contexto de una estructura establecida de directorios LDAP. Por ejemplo, puede asignar funciones de acceso (administrador, administrador de almacenamiento, operador o administrador de máquinas virtuales) al usuario o los grupos de LDAP. La función aplicada determina el nivel de autorización que tiene el usuario o el grupo en la administración del sistema de almacenamiento. El sistema utiliza los ajustes de LDAP solo para facilitar el control de acceso a la CLI de Unisphere y Unisphere, no para obtener acceso a los recursos de almacenamiento. Reglas de las sesiones Las sesiones de Unisphere tienen las siguientes características: l
El plazo de vencimiento es de una hora.
l
El tiempo de espera de sesión no es configurable.
l
Los ID de sesión se generan durante la autenticación y se utilizan durante el lapso de cada sesión.
Uso de las contraseñas Los nombres de usuario y las contraseñas de las cuentas de Unisphere deben cumplir los requisitos que figuran en la Tabla 5 en la página 13.
12
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
Tabla 5 Requerimientos de cuentas de Unisphere
Restricción
Requisitos de la contraseña
Cantidad mínima de caracteres
8
Cantidad mínima de caracteres en mayúsculas
1
Cantidad mínima de caracteres en minúsculas
1
Cantidad mínima de caracteres numéricos
1
Cantidad mínima de caracteres especiales
1
l
Los caracteres especiales soportados incluyen: n
!,@#$%^*_~?
Cantidad máxima de caracteres
40
Nota
Para cambiar las contraseñas de las cuentas en Unisphere, elija Ajustes de configuración y, en Usuarios y grupos, elija Administración de usuario > Más acciones > Restablecer contraseña. Cuando cambia una contraseña, no puede volver a utilizar las últimas tres. Hay disponible más información en la ayuda en línea de Unisphere. Autorización En la Tabla 6 en la página 13, se muestran las funciones que pueden asignarse a los usuarios locales del sistema de almacenamiento, así como los privilegios asociados a ellas. Además, puede asignar estas funciones a usuarios y grupos LDAP. Tabla 6 Funciones y privilegios de usuarios locales
Tarea
Operador
Administrador Administrador de almacenamien to
Cambiar la contraseña de inicio de sesión local propia
x
x
Agregar, eliminar o modificar hosts
x x
Crear almacenamiento
x
x
Eliminar almacenamiento
x
x
Agregar objetos de almacenamiento, como LUN, recursos compartidos y grupos de almacenamiento a un recurso de almacenamiento
x
x
x
x
x
x
Ver estado y configuración de almacenamiento
x
Ver cuentas de usuario de Unisphere Agregar, eliminar o modificar cuentas de usuario de Unisphere Ver el estado actual del software o la licencia Actualizar software o licencia
Administrador de VM
x x
x
x x
Unisphere
13
Control de acceso
Tabla 6 Funciones y privilegios de usuarios locales (continuación)
Tarea
Operador
Administrador Administrador de almacenamien to
Establecer la configuración inicial
x
Modificar la configuración del servidor NAS
x
Modificar la configuración del sistema
x
Modificar la configuración de red
x
Cambiar el idioma de la interfaz de administración
x
x
x
Ver información de alertas y del log
x
x
x
Ver el estado del cifrado
x
x
x
x
x
Realizar el almacenamiento de claves de cifrado, el registro de auditoría y el respaldo de la suma de verificación Establecer conexiones VASA entre vCenter y el sistema de almacenamiento
x
Administrador de VM
x
En el caso de la función de administrador de máquinas virtuales, después de establecer la conexión entre vCenter y el sistema de almacenamiento, el usuario de vCenter ve el subconjunto de estado y configuración del almacenamiento que es pertinente a ese vCenter y sus servidores de ESXi. El usuario de vCenter solo puede ver la información que permiten los mecanismos de control de acceso de vCenter. Nota
Para cambiar las funciones de las cuentas en Unisphere, elija Ajustes de configuración y, en Usuarios y grupos, elija Administración de usuario > Más acciones > Cambiar función. Hay disponible más información en la ayuda en línea de Unisphere. NAT NAT no es compatible con el inicio de sesión local por medio de Unisphere en el sistema de almacenamiento.
Interfaz de la línea de comandos de Unisphere La CLI de Unisphere proporciona una interfaz de la línea de comandos para la misma funcionalidad disponible mediante Unisphere. La ejecución de la CLI de Unisphere requiere software especial de línea de comandos de sistema de almacenamiento. Puede descargar este software de la página del producto correspondiente al sistema de almacenamiento del servicio de soporte en línea de EMC (https://support.emc.com). Reglas de las sesiones La interfaz de la línea de comandos de Unisphere no soporta sesiones. Debe usar una sintaxis de línea de comandos para especificar el nombre de usuario y la contraseña de las cuentas con cada comando ejecutado.
14
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
Puede usar el comando -saveuser de la CLI de Unisphere para guardar las credenciales de acceso (nombre de usuario y contraseña) de una cuenta específica en un archivo en la caja de seguridad protegida que reside localmente en el host en el cual está instalada la CLI de Unisphere. Los datos almacenados están disponibles solo en el host donde se guardaron y solo para el usuario que los guardó. Después de guardar las credenciales de acceso, la interfaz de la línea de comandos las aplica automáticamente al puerto y al destino especificados del sistema de almacenamiento cada vez que usted ejecute un comando. Uso de las contraseñas La autenticación de la interfaz de la línea de comandos de Unisphere se realiza de acuerdo con las cuentas de administración creadas y administradas por medio de Unisphere. Los mismos permisos que se aplican a Unisphere se aplican a comandos específicos según la función asociada con la cuenta de inicio de sesión actual. Ajustes guardados Puede guardar la configuración siguiente en el host en que se ejecuta la CLI de Unisphere: l
Credenciales de acceso de usuario, incluidos su nombre de usuario y contraseña, para cada sistema al que accede.
l
Certificados SSL importados del sistema.
l
Información sobre el sistema predeterminado para obtener acceso mediante la interfaz de la línea de comandos de Unisphere, incluidos el nombre del sistema o la dirección IP y el número de puerto del sistema.
La interfaz de la línea de comandos de Unisphere guarda los ajustes en una caja de seguridad protegida que reside de forma local en el host en el que está instalada la interfaz de la línea de comandos de Unisphere. Los datos almacenados están disponibles solo en el host donde se guardaron y solo para el usuario que los guardó. La caja de seguridad reside en las siguientes ubicaciones: l
En Windows Server 2003 (XP): C:\Documents and Settings\$ \Local Settings\ApplicationData\.emc\uemcli\cert
l
En Windows 7, Windows 8 y Windows 10: C:\Users\${user_name}\AppData \Local\.emc\uemcli\cert
l
En UNIX o Linux: /.emc/uemcli/cert
Busque los archivos config.xml y config.key. Si desinstala la CLI de Unisphere, estos directorios y archivos no se eliminan, lo cual le ofrece la opción de conservarlos. Si estos archivos ya no se requieren, considere su eliminación.
Interfaz de servicio vía protocolo SSH del sistema de almacenamiento Al habilitar la interfaz de servicio con el protocolo SSH del sistema de almacenamiento, hay disponible una interfaz de la línea de comandos para ejecutar funcionalidades relacionadas y coincidentes con las que están disponibles en la página Servicio de Unisphere (en Sistema, elija Servicio > Tareas de servicio > Activar SSH). La cuenta de servicio les permite a los usuarios realizar las siguientes funciones: l
Ejecutar comandos de servicio del sistema de almacenamiento especializados para monitorear y solucionar problemas con las operaciones y la configuración del sistema de almacenamiento.
Interfaz de servicio vía protocolo SSH del sistema de almacenamiento
15
Control de acceso
l
Operar comandos de Linux estándar como miembro de una cuenta de usuario de Linux sin privilegios. Esta cuenta no tiene acceso a datos de usuarios o clientes, archivos de configuración o archivos de sistema registrados.
Sessions Las sesiones de la interfaz de servicio vía protocolo SSH del sistema de almacenamiento se mantienen conforme a la configuración establecida por el cliente SSH. Las características de las sesiones son determinadas por los parámetros de configuración del cliente SSH. Uso de las contraseñas La cuenta de servicio es una cuenta que el personal de servicio puede usar para ejecutar comandos de Linux básicos. La contraseña predeterminada para la interfaz de servicio del sistema de almacenamiento es service (servicio). Al realizar la configuración inicial del sistema de almacenamiento, debe cambiar la contraseña de servicio predeterminada. Las restricciones de contraseña son las mismas que se aplican a las cuentas de administración de Unisphere (consulte Uso de las contraseñas en la página 12). Para obtener información sobre el comando de servicio del sistema de almacenamiento svc_service_password, que sirve para administrar la configuración de la contraseña de la cuenta de servicio del sistema de almacenamiento, consulte el documento de notas técnicas de los comandos de servicio. Autorización Como se muestra en la Tabla 7 en la página 16, la autorización de la cuenta de servicio se define de dos maneras. Tabla 7 Definiciones de autorización de la cuenta de servicio
Tipo de autorización Descripción Permisos del sistema de archivos de Linux
Los permisos de sistema de archivos definen la mayoría de las tareas que la cuenta de servicio puede o no realizar en el sistema de almacenamiento. Por ejemplo, la mayoría de las herramientas y las utilidades de Linux que modifican la operación del sistema de alguna manera requieren privilegios de cuenta de superusuario. Dado que la cuenta de servicio no tiene tales derechos de acceso, no puede usar herramientas ni utilerías de Linux para las cuales no tiene permisos de ejecución ni puede editar archivos de configuración que requieren acceso de raíz para leer, modificar o ambos.
Listas de control de acceso (ACL)
El mecanismo de ACL del sistema de almacenamiento utiliza una lista de reglas muy específicas para otorgar o denegar explícitamente el acceso a recursos del sistema por medio de la cuenta de servicio. Estas reglas especifican los permisos de la cuenta de servicio a otras áreas del sistema de almacenamiento que no están definidas por los permisos del sistema de archivos de Linux estándar.
Comandos de servicio del sistema de almacenamiento El ambiente operativo (OE) del sistema de almacenamiento tiene instalado un conjunto de comandos de diagnóstico de problemas, configuración del sistema y recuperación del sistema. Estos comandos proporcionan información detallada y un nivel más bajo de control del sistema del disponible por medio de Unisphere. En el documento de notas técnicas de los comandos de servicio, se describe tanto los comandos como sus casos de uso comunes.
16
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
IPMItool y puerto de servicio Ethernet del SP del sistema de almacenamiento El sistema de almacenamiento franquea el acceso a la consola por medio de un puerto de servicio Ethernet presente en cada SP. Este acceso requiere el uso de IPMItool. IPMItool es una herramienta de red similar al protocolo SSH o a telnet, que se conecta a cada SP a través de una conexión Ethernet mediante el protocolo IPMI. IPMItool es una utilidad de Windows que negocia un canal de comunicación seguro para obtener acceso a la consola del SP de un sistema de almacenamiento. Esta utilería requiere credenciales de inicio de sesión y una dirección IP para activar la consola. Para obtener más información sobre IPMItool, consulte IPMItool User Guide Technical Notes. La interfaz del puerto de servicio Ethernet del SP proporciona las mismas funciones y características que la interfaz de servicio vía protocolo SSH y también está sujeta a las mismas restricciones. La diferencia es que los usuarios obtienen acceso a la interfaz a través de una conexión a un puerto Ethernet en lugar de hacerlo mediante un cliente del protocolo SSH. Para obtener la lista de los comandos de servicio, consulte las notas técnicas de los comandos de servicio.
SMI-S Provider SMI-S Provider no presenta cambios con respecto a la seguridad. El cliente de SMI-S se conecta al sistema de almacenamiento por el puerto HTTPS 5989. Las credenciales de inicio de sesión son idénticas a las de los usuarios de la interfaz del usuario o la interfaz de la línea de comandos de Unisphere. Todas las reglas de seguridad que se aplican a los usuarios de la interfaz del usuario o la CLI también se aplican a las conexiones SMI-S. Los usuarios de la interfaz del usuario y la CLI de Unisphere pueden autenticarse con la interfaz de SMI-S. No se definen usuarios por separado para la interfaz de SMI-S. Una vez realizada la autenticación, el cliente de SMI-S tiene el mismo privilegio que el definido para los usuarios de la interfaz del usuario y la CLI de Unisphere. En la Guía del programador de SMI-S Provider para el sistema de almacenamiento, se proporciona información sobre cómo configurar este servicio.
Compatibilidad con vSphere Storage API for Storage Awareness vSphere Storage API for Storage Awareness (VASA) es una API independiente del proveedor definida por VMware para el reconocimiento del almacenamiento. El proveedor de VASA (VP) es un componente de software de almacenamiento que actúa como servicio de reconocimiento de almacenamiento en vSphere. Los hosts de ESXi y vCenter Server se conectan al VP y obtienen información sobre el estado, las funcionalidades y la topología del almacenamiento disponible. Después, vCenter Server proporciona esa información a los clientes de vSphere. VASA se utiliza con clientes de VMware más que con clientes de Unisphere. El VP se ejecuta en el Procesador de almacenamiento (SP) activo del sistema de almacenamiento. El usuario de vSphere debe configurar esta instancia de VP como el proveedor de información de VASA para cada sistema de almacenamiento. En caso de que un SP quede inactivo, el proceso relacionado se reiniciará en el SP par junto con el VP de VASA. El failover de la dirección IP se realiza automáticamente. Internamente, el protocolo verá una falla cuando obtenga eventos de cambio de configuración desde el VP
IPMItool y puerto de servicio Ethernet del SP del sistema de almacenamiento
17
Control de acceso
que recién está activo, pero esto generará una resincronización automática de los objetos de VASA sin intervención del usuario. El sistema de almacenamiento proporciona interfaces tanto VASA 2.0 como VASA 1.0 para vSphere 6 y vSphere 5.x, respectivamente. VASA 1.0 se utiliza con fines exclusivos de monitoreo y con clientes de VMware más que con clientes de Unisphere. VASA 1.0 es solo una interfaz de creación de informes que permite solicitar información básica sobre el sistema y los dispositivos de almacenamiento que expone en el ambiente virtual para facilitar las tareas cotidianas de aprovisionamiento, monitoreo y solución de problemas por medio de vSphere: l
Visibilidad del almacenamiento: detecta internamente los cambios en las propiedades y envía la información actualizada a vCenter
l
Alarmas de estado y capacidad: monitorea internamente los cambios de estado y los umbrales relacionados con la capacidad que se cruzan, lo cual activa las alarmas correspondientes en vCenter: n
estado del arreglo, SP, puertos de I/O, LUN y sistemas de archivos
n
indicaciones de cambios en el nivel de clase para un cambio de estado de cualquiera de estos objetos
n
alarmas de capacidad de espacio para LUN y sistemas de archivos
l
Funcionalidades del almacenamiento de VASA: monitorea internamente los cambios en las funcionalidades del almacenamiento e informa las funcionalidades actualizadas a vCenter
l
Integración de Storage DRS: vSphere cuenta con la información obtenida internamente del VP y la suministra a su lógica de negocio para diversos flujos de trabajo de Storage DRS
VASA 2.0 presenta como novedad la compatibilidad con los volúmenes virtuales. VASA 2.0 presenta interfaces nuevas para consultar abstracciones de almacenamiento como los volúmenes virtuales, los contenedores de almacenamiento y los perfiles compatibles. Esta información facilita a la administración del almacenamiento basada en políticas (SPBM) las decisiones con respecto al cumplimiento de normas y la ubicación de los discos virtuales. VASA 2.0 también presenta interfaces para provisionar y administrar el ciclo de vida de los volúmenes virtuales utilizados para respaldar los discos virtuales. Estas interfaces las invocan directamente los hosts de ESXi. Para obtener más información relacionada con VASA, vSphere y los volúmenes virtuales, consulte la documentación de VMware y la ayuda en línea de Unisphere. Autenticación relacionada con VASA Con el objeto de iniciar una conexión desde vCenter al VP de Unisphere, debe usar el cliente vSphere para ingresar tres datos clave: l
l
la URL del VP (use el siguiente formato): n
En VASA 2.0, https://:8443/vasa/version.xml
n
En VASA 1.0, https://:8444/vasa/version.xml o https://:8444/vasa/services/vasaService
el nombre de usuario de un usuario de Unisphere (la función debe ser Administrador de VM o administrador): Nota
La función de administrador de máquinas virtuales se utiliza en exclusiva como medio para registrar los certificados. n
18
en el caso de los usuarios locales, use esta sintaxis: local/
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
n l
para los usuarios de LDAP, use la sintaxis: /
la contraseña asociada con este usuario
Las credenciales de Unisphere utilizadas aquí solo se emplean durante este paso inicial de la conexión. Si las credenciales de Unisphere son válidas para el sistema de almacenamiento de destino, el certificado de vCenter Server se registra automáticamente con el sistema de almacenamiento. Este es el certificado que se usa para autenticar todas las solicitudes subsiguientes desde vCenter. No se requieren pasos manuales para instalar o cargar este certificado en el VP. Si el certificado venció, vCenter debe registrar uno nuevo para permitir una nueva sesión. Si el usuario revocó el certificado, la sesión pierde su validez y la conexión se interrumpe. Sesión de vCenter, conexión segura y credenciales La sesión de vCenter empieza cuando un administrador de vSphere usa vSphere Client para proporcionar a vCenter Server la URL del VP y las credenciales de inicio de sesión. vCenter Server usa la URL, las credenciales y el certificado SSL del VP para establecer la conexión segura con el VP. La sesión de vCenter finaliza cuando se produce uno de los eventos siguientes: l
Un administrador usa vSphere Client para quitar el VP de la configuración de vCenter y vCenter Server finaliza la conexión.
l
Falla vCenter Server o un servicio de vCenter Server, lo cual finaliza la conexión. Cuando se inicia de nuevo vCenter o el servicio, se intenta restablecer la conexión SSL. Si no se logra, se inicia una conexión SSL nueva.
l
Falla el proveedor de VASA, lo cual finaliza la conexión. Cuando se inicia el proveedor de VASA, puede responder a la comunicación proveniente de vCenter Server para restablecer la conexión SSL y la sesión de VASA.
Una sesión de vCenter se basa en la comunicación HTTPS segura entre vCenter Server y un VP. La arquitectura de VASA usa certificados SSL e identificadores de sesión de VASA para permitir conexiones seguras. Con VASA 1.0, vCenter Server agregaba el certificado del VP a su lista de confianza como parte de la instalación del VP o durante la creación de la conexión de la sesión de VASA. El VP agregaba el certificado de vCenter Server a su lista de confianza cuando el servicio de monitoreo de almacenamiento (SMS) llamaba a la función registerVASACertificate. Con VASA 2.0, vCenter Server actúa como autoridad de certificación de VMware (VMCA). El VP transmite un certificado autofirmado a petición, después de autorizar la solicitud. Agrega el certificado de vCenter Server a su lista de confianza y, a continuación, emite una solicitud de firma de certificado y reemplaza su certificado autofirmado por el certificado firmado de VMCA. El servidor (el VP) autenticará las conexiones futuras mediante el certificado de cliente (SMS) validado con el certificado de firma raíz antes registrado. El VP genera identificadores únicos para los objetos de entidad de almacenamiento, los cuales utiliza vCenter Server para solicitar los datos de una entidad concreta. El VP utiliza certificados SSL y el identificador de sesión de VASA para validar las sesiones de VASA. Después de establecer la sesión, el VP debe validar el certificado SSL y el identificador de sesión de VASA asociado a cada llamada a la función de vCenter Server. El VP usa el certificado de vCenter Server almacenado en su lista de confianza para validar el certificado asociado a las llamadas a la función desde el SMS de vCenter. Las sesiones de VASA son persistentes en distintas conexiones SSL. Si se interrumpe la conexión SSL, vCenter Server ejecutará el enlace de SSL con el VP para restablecer la conexión SSL en el contexto de la misma sesión de VASA. Si vence el certificado SSL, el administrador de vSphere debe generar un certificado nuevo. vCenter Server establecerá una conexión SSL nueva y registrará el certificado nuevo con el VP.
Compatibilidad con vSphere Storage API for Storage Awareness
19
Control de acceso
Nota
El registro de los VP 2.0 se anula de manera diferente que el de los VP 1.0. SMS no llama a la función unregisterVASACertificate con los VP 2.0; por lo tanto, incluso después de anular el registro, el VP puede seguir utilizando el certificado firmado de VMCA obtenido de SMS y teniendo acceso al certificado raíz de VMCA.
Single sign-on con Unisphere Central La funcionalidad de single sign-on agregada a Unisphere Central proporciona servicios de autenticación a varios sistemas de almacenamiento que están configurados para usar esta función. Esta función ofrece un método sencillo para que un usuario inicie sesión en cada sistema sin necesidad de volver a autenticarse. Unisphere Central es el servidor de autenticación centralizado que facilita single sign-on. Esta funcionalidad permite que un usuario: l
Inicie sesión en Unisphere Central y seleccione e inicie Unisphere en un sistema de almacenamiento sin volver a ingresar las credenciales de inicio de sesión.
l
Inicie sesión en un sistema de almacenamiento y seleccione otros sistemas de almacenamiento en los cuales desee iniciar sesión sin volver a ingresar las credenciales de inicio de sesión.
Unisphere Central ejecutará periódicamente una consulta para solicitar información de estado de los sistemas de almacenamiento que está administrando. La identidad asociada con las solicitudes ejecutadas en este contexto es el certificado SSL/X.509 de Unisphere Central. La autoridad de certificación de Unisphere Central firma este certificado, en el cual confía cada instancia de sistema de almacenamiento que Unisphere Central está configurado para administrar. Además, esta función brinda la funcionalidad de cierre de sesión único, es decir, cuando se cierra la sesión de Unisphere Central, se cierran de una vez todas las sesiones de los sistemas de almacenamiento asociados. Requisitos El uso de esta funcionalidad de single sign-on requiere lo siguiente: l
Se debe usar Unisphere Central versión 4.0 o superior.
l
La autenticación del servidor de Unisphere Central y de los sistemas del almacenamiento se debe configurar de modo que se realice en el mismo directorio de AD/LDAP.
l
El usuario LDAP se debe mapear directamente a una función de Unisphere o debe ser miembro de un grupo de AD/LDAP mapeado a una función de Unisphere en el sistema de almacenamiento y Unisphere Central.
l
Todos los sistemas de almacenamiento deben tener habilitada la funcionalidad de single sign-on.
l
El usuario debe iniciar sesión como un usuario LDAP.
Nota
Si no se cumplen estos requisitos, el usuario debe iniciar sesión en cada sistema como un usuario local y debe proporcionar las credenciales de autenticación para obtener acceso a ese sistema. Debe tener privilegios de administrador para activar single sign-on. Los usuarios con privilegios de administrador de almacenamiento, de operador o de administrador de 20
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
máquinas virtuales no pueden activar single sign-on. Use el siguiente comando uemcli para activar single sign-on: Uemcli -d -u -p /sys/ur set ssoEnabled yes
Cada sistema de almacenamiento configurado con esta función activada puede ser un cliente del servidor de autenticación centralizado y participar en el ambiente de single sign-on. Para obtener más información sobre este comando, consulte la Guía del usuario de la CLI de Unisphere. Consideraciones y restricciones Se admiten los siguientes navegadores web: l
Google Chrome versión 33 o superior
l
Microsoft Internet Explorer versión 10 o superior
l
Mozilla Firefox versión 28 o superior
l
Apple Safari versión 6 o superior
El tiempo de espera agotado de la sesión de un usuario entre el cliente web y el servidor de autenticación centralizado es de 45 minutos. El tiempo de espera agotado de la sesión de una aplicación entre el cliente web y el sistema de almacenamiento es de una hora.
Flujos de proceso de single sign-on Las siguientes secuencias representan los flujos de proceso de autenticación relacionados con single sign-on en lo que respecta a Unisphere Central. Acceda al sistema de almacenamiento por medio de Unisphere Central 1. El usuario inicia un navegador web en una estación de trabajo de administración y especifica la dirección de red de Unisphere Central como la URL. 2. El servidor web redirige el navegador a una URL de inicio de sesión local de Unisphere Central y se muestra al usuario una pantalla de inicio de sesión. 3. El usuario escribe y envía las credenciales de inicio de sesión de LDAP. El nombre de usuario tiene el formato /username. 4. Se establece un token de sesión y el sistema redirige el navegador nuevamente a la URL original que se especificó. 5. El navegador descarga el contenido de Unisphere y se crea una instancia de Unisphere Central. 6. A continuación, el usuario navega por medio de Unisphere por el sistema de almacenamiento específico que desee monitorear. 7. El usuario hace clic en la dirección de red del sistema de almacenamiento. 8. Se crea una nueva ventana del navegador con la URL del sistema de almacenamiento. 9. El navegador se redirige al servidor de autenticación de Unisphere Central donde ya se autenticó el usuario. 10. El navegador se redirige nuevamente a la página de descarga de Unisphere, se establece una sesión con el sistema de almacenamiento y se usa el nuevo vale de servicio. 11. Unisphere se descarga y se le crea una instancia. 12. El usuario comienza a administrar/monitorear el sistema de almacenamiento. Flujos de proceso de single sign-on
21
Control de acceso
Acceso a sistemas de almacenamiento asociados con Unisphere Central 1. El usuario inicia un navegador web en una estación de trabajo de administración y especifica la dirección de red de un sistema de almacenamiento como la URL. 2. El navegador se redirige al servicio de inicio de sesión local de Unisphere Central y se muestra al usuario una pantalla de inicio de sesión. 3. El usuario escribe y envía las credenciales de inicio de sesión de LDAP. El nombre de usuario tiene el formato /username. 4. Se establece un token de sesión como una cookie y el sistema redirige el navegador nuevamente a la URL original que se especificó. 5. El navegador descarga el contenido de Unisphere y se crea una instancia de Unisphere. 6. A continuación, el usuario abre otra ventana o pestaña del navegador web y especifica la dirección de red de otro sistema de almacenamiento como la URL. 7. El navegador se redirige al servidor de autenticación de Unisphere Central donde el usuario ya se autenticó. Se obtiene un nuevo vale de servicio. 8. El navegador se redirige nuevamente a la página de descarga de Unisphere, se establece una sesión con el segundo sistema de almacenamiento y se usa el nuevo vale de servicio. 9. Se descarga Unisphere para el segundo sistema de almacenamiento y se le crea una instancia. 10. El usuario comienza a administrar/monitorear el segundo sistema de almacenamiento.
Inicio de sesión en un sistema de almacenamiento local Cuando se usa una cuenta local o cuando la conectividad con el servidor de autenticación de Unisphere Central no está disponible, puede iniciar sesión en un sistema de almacenamiento local mediante el servidor de autenticación que reside en el sistema en lugar del inicio de sesión por medio de Unisphere Central. Existen dos formas de iniciar sesión localmente en el sistema de almacenamiento: l
Cuando el navegador se redirige al servidor de autenticación de Unisphere Central, está disponible una opción que permite al usuario redirigirse al sistema e iniciar sesión localmente.
l
Si Unisphere Central está inaccesible, se puede usar la siguiente sintaxis URL para navegar o acceder al sistema e iniciar sesión localmente: https:// ?casHome=LOCAL
donde IP es la dirección IP del sistema de almacenamiento.
Single sign-on y compatibilidad con NAT Single sign-on no es compatible con una configuración NAT. Además, NAT no es compatible con el inicio de sesión local por medio de Unisphere en el sistema de almacenamiento.
Seguridad en los objetos de los sistemas de archivos En un ambiente multiprotocolo, el sistema de almacenamiento utiliza sus políticas de seguridad para determinar cómo conciliar las diferencias entre las semánticas de control de acceso a NFS y SMB. 22
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
Modelo de seguridad de Unix A los derechos de acceso de UNIX se les denomina bits de modo de un objeto del sistema de archivos. Se les representa con una cadena de bits en la cual cada bit equivale a un modo de acceso o privilegio otorgado al usuario que posee el archivo, al grupo asociado con el objeto del sistema de archivos y a todos los demás usuarios. Los bits de modo de UNIX se representan como tres conjuntos de triplos rwx (lectura, escritura y ejecución) concatenados para cada categoría de usuarios (usuario, grupo u otro). Modelo de seguridad de Windows El modelo de seguridad de Windows se basa principalmente en derechos por objeto, lo cual implica el uso de un descriptor de seguridad (SD) y de su lista de control de acceso (ACL). El acceso a un objeto del sistema de archivos se basa en si los permisos se configuraron en Permitir o Rechazar mediante el uso de un descriptor de seguridad. El SD describe el propietario del objeto y los SID de grupo para el objeto, junto con sus ACL. Una ACL es parte del descriptor de seguridad de cada objeto. Cada ACL contiene entradas de control de acceso (ACE). A su vez, cada ACE contiene un único SID que identifica a un usuario, un grupo o una computadora, y una lista de derechos que se rechazan o se permiten para ese SID.
Acceso a sistemas de archivos en un ambiente multiprotocolo El acceso a archivos se proporciona a través de servidores NAS. Un servidor NAS contiene un conjunto de sistemas de archivos donde están almacenados los datos. El servidor NAS proporciona acceso a estos datos con los protocolos de archivos NFS, SMB y FTP exportando los sistemas de archivos a través de recursos compartidos de SMB y de NFS (lo que también se conoce como exportaciones de NFS). El modo del servidor NAS para el uso compartido multiprotocolo permite el uso compartido de los mismos datos entre SMB y NFS. Dado que el modo de uso compartido multiprotocolo proporciona acceso simultáneo por SMB y NFS al sistema de archivos, el mapeo de usuarios de Windows a usuarios de UNIX y la definición de las reglas de seguridad que deben utilizarse (bits de modo, ACL e información del usuario) deben tenerse en cuenta para configurar correctamente el uso compartido multiprotocolo. Nota
Para obtener información acerca de la configuración y la administración de servidores NAS con respecto al uso compartido multiprotocolo, el mapeo de usuarios, las políticas de acceso y la información del usuario, consulte la ayuda en línea de Unisphere y la Guía del usuario de la CLI de Unisphere.
Mapeo de usuarios En un contexto multiprotocolo, un usuario de Windows se debe asociar a un usuario de UNIX y viceversa, de modo que se pueda hacer cumplir la seguridad del sistema de archivos, incluso si no es nativa para el protocolo. Los siguientes componentes son parte del mapeo de usuarios: l
Servicios de directorio de UNIX
l
Solucionadores de Windows
l
Secmap
l
NTXMAP
Acceso a sistemas de archivos en un ambiente multiprotocolo
23
Control de acceso
Servicios de directorio de UNIX Los servicios de directorio de UNIX (UDS) se usan para determinar lo siguiente para el mapeo de usuarios: l
Dado un identificador de usuario (UID), devuelven el nombre de cuenta de UNIX correspondiente.
l
Dado un nombre de cuenta de UNIX, devuelven el UID y el ID de grupo (GID) primario correspondientes.
Los servicios compatibles son: l
LDAP
l
NIS
Hay al menos un UDS activo por vez para cada servidor NAS. Debe estar activado un UDS cuando está activado el uso compartido multiprotocolo. La propiedad unix-directoryservice del servidor NAS determina el UDS que se usa. Solucionadores de Windows Los solucionadores de Windows se usan para determinar lo siguiente para el mapeo de usuarios: l
Dado un identificador de seguridad (SID), devuelven el nombre de cuenta de Windows correspondiente
l
Dado un nombre de cuenta de Windows, devuelven el SID correspondiente
Los solucionadores de Windows son: l
El controlador de dominio (DC) del dominio
l
Base de datos del grupo local (LGDB) del servidor SMB
Secmap La función de Secmap es almacenar todos los mapeos de SID a UID/GID primario y de UID a SID con el fin de garantizar la coherencia en todos los sistemas de archivos del servidor NAS. NTXMAP NTXMAP se usa para asociar una cuenta de Windows a una cuenta de UNIX cuando el nombre es diferente. Por ejemplo, si hay un usuario con una cuenta denominada Gerald en Windows, pero la cuenta en UNIX se llama Gerry, se usa NTXMAP para establecer la correlación entre ambas cuentas.
Políticas de acceso para NFS, SMB y FTP En un ambiente multiprotocolo, el sistema de almacenamiento usa políticas de acceso del sistema de archivos para administrar el control de acceso de los usuarios a sus sistemas de archivos. Existen dos tipos de seguridad, UNIX y Windows. En el caso de la autenticación de seguridad de UNIX, la credencial se crea a partir de los servicios de directorio de UNIX (UDS). Los derechos de usuario se determinan según los bits de modo. Los identificadores de usuario y de grupo (UID y GID, respectivamente) se usan para la identificación. No hay privilegios asociados con la seguridad de UNIX. En el caso de la autenticación de seguridad de Windows, la credencial se crea a partir del controlador de dominio de Windows y la base de datos del grupo local (LGDB) del servidor de SMB. Los derechos de usuario se determinan según las ACL de SMB. El identificador de seguridad (SID) se usa para la identificación. La LGDB del servidor de SMB otorga los privilegios asociados a la seguridad de Windows, como Tomar posesión, Copia de seguridad y Restaurar. Hay tres políticas de acceso que definen la seguridad que usan los distintos protocolos: 24
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
l
UNIX: se usa la seguridad de UNIX tanto con NFS como con SMB.
l
Windows: se usa la seguridad de Windows tanto con NFS como con SMB.
l
Nativa: se usa la seguridad nativa del protocolo, esto es, UNIX para NFS o Windows para SMB.
La política de acceso de UNIX protege el acceso en el nivel de archivos mediante la seguridad de UNIX, la cual usa una credencial de UNIX para todos los protocolos y aplica solo los bits de modo a todos ellos. Después de procesar las solicitudes de protocolo en los archivos para el acceso a SMB, se utiliza la credencial de UNIX creada a partir de los UDS activados para comprobar los bits de modo. El acceso se concede o se rechaza de acuerdo con los bits de modo. No se hace caso de las ACL de Windows, ni siquiera para el acceso de usuario a través de SMB. La política de acceso de Windows protege el acceso en el nivel de archivos mediante la seguridad de Windows. Esta política usa la credencial de Windows con todos los protocolos y solo aplica la ACL de SMB a todos ellos. Después de procesar las solicitudes de protocolo en los archivos para el acceso a NFS, se utiliza la credencial de Windows creada a partir del controlador de dominio y la LGDB para comprobar la ACL de SMB. Entonces, el acceso se concede o se rechaza de acuerdo con la ACL de SMB. No se hace caso de los bits de modo de UNIX, incluso para el acceso de usuarios a través de NFS. La política de acceso nativa protege el acceso en los archivos mediante la seguridad nativa que utiliza la credencial de UNIX con el protocolo NFS o la credencial de Windows con el protocolo SMB y solo aplica los bits de modo para NFS o la ACL de SMB para SMB. Tras el procesamiento de solicitudes NFS en el nivel de archivos, se usa la credencial de UNIX asociada con la solicitud para comprobar los bits de modo. El acceso se concede o se rechaza. Después de procesar las solicitudes de protocolo SMB en los archivos, se utiliza la credencial de Windows asociada a la solicitud para comprobar la ACL de SMB. El acceso se concede o se rechaza. No hay sincronización entre los bits de modo y la lista de acceso discrecional (DACL) de SMB. Son independientes. En el caso de FTP, la autenticación con Windows o Unix depende del formato del nombre de usuario que se usa. Si se usa la autenticación de Windows, el control de acceso de FTP es similar al de SMB; de lo contrario, la autenticación es similar a la de NFS. Los clientes FTP y SFTP se autentican cuando se conectan al servidor del procesador de almacenamiento (SP). Puede ser autenticación de SMB (cuando el formato del nombre de usuario es dominio\usuario o usuario@dominio) o autenticación de UNIX (cuando el nombre de usuario tiene otro formato). El controlador de Windows del dominio definido en el VDM asegura la autenticación de SMB. El DM garantiza la autenticación de Unix de acuerdo con la contraseña cifrada almacenada en un servidor LDAP remoto, un servidor NIS remoto o el archivo de contraseña local del VDM.
Credenciales para la seguridad en el nivel de archivos Para aplicar la seguridad en los archivos, el sistema de almacenamiento debe crear una credencial que se asocie a la solicitud SMB o NFS que se maneja. Hay dos tipos de credenciales, Windows y UNIX. En la mayoría de los casos, el servidor NAS crea las credenciales de Windows y de UNIX. Las únicas excepciones son las siguientes: l
Creación de una credencial de Windows para una conexión SMB que utiliza Kerberos.
l
Creación de una credencial de UNIX para una solicitud NFS si se desactiva la credencial extendida.
Una caché de credenciales persistente se usa para lo siguiente: l
Credenciales de Windows creadas para el acceso a través de NFS.
l
Credencial de UNIX para acceso a través de NFS si está activada la opción de credencial extendida.
Hay una instancia de caché para cada servidor NAS. Credenciales para la seguridad en el nivel de archivos
25
Control de acceso
Concesión de acceso a usuarios no mapeados El ambiente multiprotocolo requiere lo siguiente: l
Un usuario de Windows debe estar mapeado a un usuario de UNIX.
l
Un usuario de UNIX debe estar mapeado a un usuario de Windows de modo que se cree la credencial de Windows cuando el usuario acceda a un sistema de archivos que tenga una política de acceso de Windows.
En el OE versión 3.1 del sistema de almacenamiento, hay dos nuevas propiedades asociadas al servidor NAS: l
El usuario de UNIX predeterminado.
l
El usuario de Windows predeterminado.
Cuando un usuario de Windows no está mapeado, el identificador de usuario (UID) y el ID de grupo (GID) primario del usuario de UNIX predeterminado se usan en la credencial de Windows. De manera similar, cuando un usuario de UNIX no está mapeado, se usa la credencial de Windows del usuario de Windows predeterminado. Nota
Si el usuario de UNIX predeterminado no está configurado en los servicios de directorio de UNIX (UDS), se niega el acceso a SMB. Si no se encuentra el usuario de Windows predeterminado en el controlador de dominio de Windows ni en la base de datos del grupo local, se niega el acceso a NFS en el sistema de archivos que tiene una política de acceso de Windows. Credencial de UNIX para solicitudes NFS La credencial de UNIX está siempre incorporada en cada solicitud; sin embargo, está limitada a 16 grupos adicionales. La propiedad extended-unix-cred del servidor NAS ofrece la capacidad de crear una credencial con más de 16 grupos. Si se configura esta propiedad, se consulta al UDS activo con el UID para obtener el GID primario y todos los GID de grupo a los cuales pertenece. Si el UID no se encuentra en el UDS, se usa la credencial de UNIX incorporada en la solicitud. Credencial de UNIX para solicitudes SMB A fin de establecer la conexión, primero debe crearse una credencial de Windows para un usuario de SMB en el momento en que se configura la sesión. El UID del usuario se incluye en la credencial de Windows. Cuando se accede a un sistema de archivos con una política de acceso de UNIX, el UID del usuario se utiliza para consultar los UDS de modo que se cree la credencial de UNIX, lo que se asemeja a la creación de una credencial extendida para NFS. Credencial de Windows para solicitudes SMB La credencial de Windows para SMB solo tiene que crearse una vez en el momento en que se solicita la configuración de la sesión cuando se conecta el usuario. Cuando se usa la autenticación Kerberos, la credencial del usuario se incluye en el vale de Kerberos de la solicitud de configuración de la sesión, a diferencia de cuando se usa NTLM. Otra información se consulta al DC de Windows o a la LGDB. Para Kerberos, la lista de SID de grupos adicionales se obtiene del vale de Kerberos y las listas de SID de grupos locales adicionales y de privilegios se obtienen de la LGDB. Para NTLM, la lista de SID de grupos adicionales se obtiene del DC de Windows y las listas de SID de grupos locales adicionales y de privilegios se obtienen de la LGDB. Además, el UID correspondiente también se recupera del componente de mapeo de usuarios. Dado que el SID del grupo primario no se usa para comprobar el acceso, en su lugar se usa el GID primario de UNIX.
26
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
Credencial de Windows para solicitudes NFS La credencial de Windows solo se crea/recupera cuando un usuario obtiene acceso a un sistema de archivos que tiene una política de acceso de Windows. El UID se obtiene de la solicitud NFS. Hay una caché global de credenciales de Windows que ayuda a evitar la creación de la credencial en cada solicitud NFS con un tiempo de retención asociado. Si la credencial de Windows se encuentra en esta caché, no se requiere ninguna otra acción. Si no se encuentra, se realiza un intento por mapear el UID a un SID mediante el componente de mapeo de usuarios. Si se encuentra un mapeo, la credencial se recupera desde el DC de Windows o desde la LGDB. Si no se encuentra, se usa en su lugar la credencial de Windows del usuario de Windows predeterminado o se niega el acceso.
NFS seguro NFS seguro consiste en usar Kerberos para autenticar los usuarios con NFSv3 y NFSv4. Kerberos proporciona integridad (firma) y privacidad (cifrado). No es preciso habilitar la integridad ni la privacidad, sino que son opciones de exportación de NFS. Sin Kerberos, el servidor depende por completo del cliente para autenticar los usuarios: el servidor confía en el cliente. No ocurre lo mismo con Kerberos, en cuyo caso el servidor confía en el centro de distribución de claves (KDC). El KDC se ocupa de manejar la autenticación y administrar tanto las cuentas (principales) como la contraseña. Es más, no se envía por vía electrónica ninguna contraseña en ningún formulario. Sin Kerberos, la credencial del usuario se envía sin cifrar por vía electrónica y, por lo tanto, puede suplantarse con facilidad. Con Kerberos, la identidad (principal) del usuario se incluye en el vale cifrado de Kerberos, el cual pueden leer solo el servidor de destino y el KDC. Son los únicos que conocen la clave de cifrado. En combinación con el NFS seguro, son compatibles los cifrados AES128 y AES256 en Kerberos. Junto con el NFS seguro, eso también repercute en SMB y LDAP. Estos cifrados ya son compatibles en forma predeterminada con Windows y Linux. Estos nuevos cifrados son mucho más seguros, pero su uso queda a discreción del cliente. A partir de ese principal de usuario, el servidor crea la credencial de dicho usuario realizando una consulta en el UDS activo. Como NIS no está protegido, no se recomienda utilizarlo con el NFS seguro. Se recomienda usar Kerberos con LDAP o LDAPS. El NFS seguro puede configurarse por medio de Unisphere o de la CLI de UEM. Relaciones con los protocolos de archivos Con Kerberos, se necesita lo siguiente: l
DNS: debe usar el nombre de DNS en lugar de direcciones IP
l
NTP: todos los participantes deben estar sincronizados a tiempo
l
UDS: sirve para crear las credenciales
l
Nombre de host: Kerberos funciona con nombres, no con direcciones IP
El NFS seguro utiliza un SPN o dos en función del valor del nombre de host. Si es el nombre de host tiene el formato de nombre de dominio calificado host.dominio: l
SPN corto: nfs/host@DOMINIO
l
SPN largo: nfs/host.nombredominiocalificado@DOMINIO
Si el nombre de host no tiene el formato de nombre de dominio calificado, solo se usará el SPN corto. De manera similar a lo que ocurre con SMB, si es posible unir un servidor de SMB a un dominio, también lo es unir un servidor de NFS a un dominio (el equivalente en Kerberos). Para hacerlo, existen dos opciones: NFS seguro
27
Control de acceso
l
Utilizar el dominio de Windows configurado (si lo hay)
l
Configuración completa de un dominio de Kerberos basado en el KDC de UNIX
Si el administrador decide utilizar el dominio de Windows configurado, no hay que hacer nada más. Todos los SPN que utiliza el servicio de NFS se agregan al KDC o se quitan de él de forma automática al unir o desvincular el servidor de SMB. Tenga en cuenta que el servidor de SMB no puede destruirse si el NFS seguro está configurado para usar la configuración de SMB. Si el administrador decide utilizar un dominio de Kerberos basado en UNIX, se requiere más configuración: l
Nombre de dominio: nombre del dominio de Kerberos, cuyas letras están, por lo general, en mayúscula.
l
Configuración completa de un dominio de Kerberos basado en el KDC de UNIX.
Para asegurarse de que el cliente monta la exportación de NFS con una seguridad concreta, se proporciona el parámetro de seguridad sec, el cual indica la seguridad mínima permitida. Hay cuatro clases de seguridad: l
AUTH_SYS: seguridad estándar existente que no utiliza Kerberos; el servidor confía en la credencial proporcionada por el cliente
l
KRB5: autenticación mediante Kerberos versión 5
l
KRB5i: autenticación con Kerberos y con integridad (firma)
l
KRB5p: autenticación con Kerberos y con integridad y privacidad (cifrado)
Si el cliente de NFS intenta montar la exportación con una seguridad inferior a la seguridad mínima configurada, se denegará el acceso. Por ejemplo, si el acceso mínimo es KRB5i, se rechazará cualquier montaje con AUTH_SYS o KRB5. Creación de credenciales Cuando el usuario se conecta al sistema, presenta solo su principal, usuario@DOMINIO, que se extrae del vale de Kerberos. A diferencia de la seguridad AUTH_SYS, la credencial no se incluye en la solicitud de NFS. La parte del usuario (antes del símbolo @) se extrae del principal y se utiliza para consultar el UID correspondiente en el UDS. A partir de ese UID, el sistema crea la credencial usando el UDS activo, de modo similar a cuando está habilitada la credencial extendida de NFS (con la excepción de que, sin Kerberos, la solicitud proporciona directamente el UID). Si el principal no está mapeado en el UDS, se utiliza en su lugar la credencial del usuario de UNIX predeterminada configurada. Si no está configurado el usuario de UNIX predeterminado, se utilizará la credencial nobody. Replicación Cuando el objetivo de la replicación es un servidor de NAS, cabe la posibilidad de acceder a los datos a través de NFS para el respaldo o la recuperación de desastres. El NFS seguro no puede utilizarse en estos casos, ya que no es compatible con Kerberos el uso de direcciones IP directas. Tampoco puede usarse el nombre de dominio calificado porque puede resolverse en las interfaces de producción del origen o en las interfaces locales del destino.
Control de acceso dinámico El control de acceso dinámico permite a los administradores aplicar a los recursos permisos y restricciones de control de acceso según reglas bien definidas que pueden incluir la confidencialidad de los recursos, el trabajo o la función del usuario y la configuración del dispositivo utilizado para acceder a esos recursos. El control de acceso basado en reclamaciones de control de acceso dinámico es una función de Windows Server 2012 que permite definir el control de acceso en el 28
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Control de acceso
controlador de dominio mediante un conjunto de directivas (políticas) de acceso central. Cada una de estas políticas (con un identificador propio) tiene asociadas varias reglas de acceso central. Las políticas pueden asignarse a los objetos de políticas de grupos. Este es el mecanismo utilizado para distribuir las políticas a cada servidor de archivos. La política aplicable a cada recurso (esto es, un directorio o un archivo) se determina por su identificador. Al crear el servidor NAS con recursos compartidos de Windows (SMB), se eligen la política y las reglas correctas cuando se une al dominio. Cada regla de acceso central posee los atributos siguientes: l
Expresión del destino de los recursos
l
Lista de control de acceso (ACL) de permisos actuales
l
ACL de permisos propuestos (opcional)
La expresión del destino de los recursos (expresión de aplicabilidad) se evalúa para determinar si la regla es aplicable o no a un recurso determinado (por ejemplo, @Resource.Department != @User.Department). Si la expresión se evalúa como verdadera, se utiliza la ACL de permisos actuales durante la comprobación del acceso; si no, se omite la regla. La ACL de permisos propuestos permite al administrador ver el efecto de los cambios propuestos en los permisos actuales. Cuando se activa la evaluación de permisos propuestos, se registran (en el registro del servidor) las diferencias entre los permisos actuales y los propuestos durante la comprobación del acceso. Si hace falta, puede utilizarse un cliente de Windows (Windows Server 2012 o Windows 8.x) para asociar a los recursos (esto es, directorios o archivos) una directiva de acceso central, aunque es opcional. Cuando se hace esto, el servidor NAS aplica la política especificada a los recursos pertinentes. También puede utilizarse un cliente de Windows para ejecutar la clasificación manual de los recursos (por ejemplo, configuración de país o departamento). El control de acceso basado en reclamaciones de control de acceso dinámico está activado en el sistema de almacenamiento de manera predeterminada; sin embargo, el comando de servicio svc_dac permite hacer lo siguiente: l
Habilitar o deshabilitar la función de control de acceso dinámico: cuando se deshabilita, se omite la política asociada al recurso (es decir, solo determina el acceso la ACL discrecional).
l
Habilitar o deshabilitar la evaluación de permisos propuestos. Cada regla de control de acceso puede tener permisos propuestos, los cuales se distribuyen a los servidores de archivos. Por lo general, no se evalúan solo estos permisos. El comando svc_dac puede utilizarse para habilitar la evaluación de estos permisos. Después de habilitarlo, las diferencias entre los permisos reales y los propuestos se envían al registro del servidor. La evaluación de permisos propuestos permite probar con seguridad los cambios en las reglas propuestos.
l
Consultar las políticas o las reglas de control de acceso asociadas al nombre de componente del servidor NAS (por nombre completo o por identificador).
l
Agregar o quitar reglas de recuperación personalizadas (para reemplazar la regla de recuperación predeterminada).
l
Controlar el grado de detalle del registro producido por el control de acceso dinámico con fines de diagnóstico.
Para obtener información detallada acerca del comando svc_dac, consulte Notas técnicas de los comandos de servicio de la familia EMC Unity.
Control de acceso dinámico
29
Control de acceso
30
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 3 Registro
En este capítulo se describen diversas funciones de registro implementadas en el sistema de almacenamiento. Se abordarán los siguientes temas: l l
Registro.................................................................................................................32 Opciones de registro remoto................................................................................. 33
Registro
31
Registro
Registro El sistema de almacenamiento mantiene los siguientes tipos de registro para rastrear los eventos que ocurren en el sistema. Consulte la Tabla 8 en la página 32. Tabla 8 Logs
Tipo de log Descripción Log del sistema
Información que se muestra en Unisphere para notificar a los usuarios sobre los eventos del sistema de almacenamiento que pueden ser operados por el usuario. El idioma de estos registros corresponderá con la configuración de idioma predeterminado especificada para el sistema. Observe que los “eventos que pueden ser operados por el usuario” incluyen eventos de auditoría. Sin embargo, no todos los eventos registrados aparecen en la GUI. El sistema registrará las entradas del log de auditoría que no cumplan con cierto umbral de gravedad, pero no aparecerán en la GUI.
Alerta del sistema
Información que usa el personal de servicio para diagnosticar y monitorear el comportamiento o el estado del sistema de almacenamiento. Estos registros se registran en inglés solamente.
Visualización y administración de logs Las siguientes características de registro se encuentran disponibles para sistemas de almacenamiento. Consulte la Tabla 9 en la página 32. Tabla 9 Funciones de registro
Característica
Descripción
Sustitución de logs
Cuando el sistema de registros del sistema de almacenamiento acumula dos millones de entradas de registro, depura las 500,000 entradas más antiguas (según la hora en que se crearon los registros) para volver a 1,500,000 entradas de registro. Para archivar las entradas de log, usted puede activar el registro remoto de modo que estas se carguen en un nodo de red remoto donde se pueden archivar o respaldar. En la sección Registro en la página 32, se aporta más información.
Niveles de registro
No se pueden configurar los niveles de registro para el sistema de almacenamiento. Los niveles de registro solo pueden configurarse para los archivos de registro exportados, según se describe en la sección Registro en la página 32.
Integración de alertas
Puede ver la información de las alertas del sistema de almacenamiento de las siguientes maneras: l
Ver alertas solamente: n
l
Ver eventos de registro: n
32
En Unisphere, vaya a Eventos > Alertas.
En la CLI de Unisphere, escriba el comando uemcli / event/alert/hist show.
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Registro
Tabla 9 Funciones de registro (continuación)
Característica
Descripción
Administración externa de Para archivar las entradas de log, usted puede activar el registro logs remoto de modo que estas se carguen en un nodo de red remoto donde se pueden archivar o respaldar. Allí, puede usar herramientas como syslog para filtrar y analizar resultados de logs. En la sección Registro en la página 32, se aporta más información. Sincronización horaria
La hora de los registros se ingresa con el formato GMT y se mantiene conforme a la hora del sistema de almacenamiento (que está sincronizada con la hora de red local mediante el servidor NTP).
Opciones de registro remoto El sistema de almacenamiento permite registrar mensajes de usuario o auditoría en hosts remotos. En forma predeterminada, el sistema de almacenamiento transfiere la información de los registros en el puerto 514 mediante UDP. Los siguientes parámetros de registro remoto se pueden configurar por medio de Unisphere. Inicie sesión en Unisphere y haga clic en Ajustes de configuración > Administración > Registro remoto. l
Habilite el registro en hosts remotos.
l
Indique el nombre de red o la dirección IP adonde el sistema de almacenamiento envía la información para el registro remoto.
l
Indique el tipo de mensajes de registro que deben enviarse. Use el campo Recurso para establecer el tipo de mensajes de log. Se recomienda seleccionar la opción Mensajes de nivel de usuario.
l
Especifique el número y el tipo (UDP o TCP) del puerto destinado a la transmisión de los registros.
Configuración de un host para recibir mensajes de registro del sistema de almacenamiento Antes de configurar el registro remoto para un sistema de almacenamiento, debe configurar un sistema remoto que ejecute syslog para recibir mensajes de registro desde el sistema de almacenamiento. En muchos escenarios, una raíz o un administrador en el equipo receptor pueden configurar el servidor syslog remoto para recibir la información de los logs mediante la edición del archivo syslog-ng.conf en el sistema remoto. Nota
Para obtener más información sobre la configuración y la ejecución de un servidor de syslog remoto, consulte la documentación del sistema operativo que se ejecuta en el sistema remoto.
Opciones de registro remoto
33
Registro
34
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 4 Seguridad de la comunicación
En este capítulo se describen diversas funciones de seguridad de comunicación implementadas en el sistema de almacenamiento. Se abordarán los siguientes temas: l l l
l
l l l
Uso de los puertos................................................................................................ 36 Certificado del sistema de almacenamiento.......................................................... 44 Interfaces, servicios y funciones del sistema de almacenamiento compatibles con el protocolo de Internet versión 6..............................................................................45 Acceso a la interfaz de administración del sistema de almacenamiento mediante IPv6.......................................................................................................................46 Configuración de la interfaz de administración mediante DHCP............................. 47 Cifrado (SMB) de protocolos..................................................................................49 Soporte de administración para FIPS 140-2...........................................................49
Seguridad de la comunicación
35
Seguridad de la comunicación
Uso de los puertos La comunicación con la interfaz de Unisphere y la interfaz de la línea de comandos tiene lugar a través de HTTPS en el puerto 443. Los intentos para obtener acceso a Unisphere en el puerto 80 (vía HTTP) son automáticamente redirigidos al puerto 443.
Puertos de red del sistema de almacenamiento: En la Tabla 10 en la página 36 se describe el conjunto de servicios de red (y sus puertos correspondientes) que puede encontrarse en el sistema de almacenamiento. Tabla 10 Puertos de red del sistema de almacenamiento:
Servicio
Protocolo
Puerto
Descripción
SFTP
TCP
21
Permite notificaciones de alerta mediante SFTP (FTP por medio de SSH). SFTP es un protocolo de cliente/servidor. Los usuarios pueden usar SFTP para realizar transferencias de archivos en un sistema de almacenamiento en la subred local. También proporciona control de la conexión del FTP saliente. Si está cerrado, el FTP no estará disponible.
SSH/SSHD, VSI
TCP
22
Permite el acceso mediante el protocolo SSH (si está habilitado). También se usa para el plug-in de VSI. Si está cerrado, las conexiones de administración que usan SSH no estarán disponibles y el plug-in de VSI tampoco estará disponible.
Actualización de DNS dinámico
TCP/UDP
53
Se usa para transmitir consultas DNS al servidor DNS junto con el protocolo de control dinámico de hosts (DHCP). Si está cerrado, la resolución de nombres de DNS no funcionará.
Cliente de DHCP
UDP
67
Permite que el sistema de almacenamiento actúe como un cliente DHCP durante el proceso de configuración inicial y se usa para transmitir mensajes del cliente (sistema de almacenamiento) al servidor DHCP con el fin de obtener automáticamente información sobre la interfaz de administración. Además, se usa para configurar DHCP para la interfaz de administración de un sistema de almacenamiento que ya se ha implementado. Si está cerrado, las direcciones IP dinámicas no se asignarán mediante DHCP.
36
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
Tabla 10 Puertos de red del sistema de almacenamiento: (continuación)
Servicio
Protocolo
Puerto
Descripción
Cliente de DHCP
UDP
68
Permite que el sistema de almacenamiento actúe como un cliente DHCP durante el proceso de configuración inicial y se usa para recibir mensajes del servidor DHCP al cliente (sistema de almacenamiento) con el fin de obtener automáticamente información sobre su interfaz de administración. Además, se usa para configurar DHCP para la interfaz de administración de un sistema de almacenamiento que ya se ha implementado. Si está cerrado, las direcciones IP dinámicas no se asignarán mediante DHCP.
HTTP
TCP
80
Redirige el tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de Unisphere. Si está cerrado, el tráfico de administración al puerto HTTP predeterminado no estará disponible.
NAS, VAAI-NAS
TCP
111
Proporciona áreas de almacenamiento de datos NAS para VMware y se usa para VAAI-NAS. Si está cerrado, las áreas de almacenamiento de datos NAS y VAAINAS no estarán disponibles.
Portmapper, rpcbind (infraestructura de red)
TCP/UDP
111
Lo abre el servicio portmapper o rpcbind estándar, y es un servicio de red auxiliar del sistema de almacenamiento. No puede detenerse. Por definición, si un sistema cliente cuenta con conectividad de red al puerto, puede consultarlo. No se realiza ninguna acción de autenticación.
NTP
UDP
123
Sincronización horaria de NTP. Si está cerrado, no se sincronizará el tiempo entre los arreglos.
Llamada a procedimiento remoto DCE (DCERPC)
UDP
135
Múltiples usos para cliente de Microsoft.
Servicio de nombres de NetBIOS (SMB)
TCP/UDP
137
El servicio de nombres de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del sistema de almacenamiento y es un componente principal de esa función (WINS). Si está deshabilitado, el puerto deshabilita todos los servicios relacionados con SMB.
138
El servicio de datagramas de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del sistema de almacenamiento y es un componente
Servicio de datagramas de NetBIOS (SMB) UDP
Puertos de red del sistema de almacenamiento:
37
Seguridad de la comunicación
Tabla 10 Puertos de red del sistema de almacenamiento: (continuación)
Servicio
Protocolo
Puerto
Descripción principal de esa función. Solo se usa el servicio de navegación. Si está desactivado, el puerto desactiva la funcionalidad de navegación.
Servicio de sesiones de NetBIOS (SMB)
TCP/UDP
139
El servicio de sesiones de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del sistema de almacenamiento y es un componente principal de esa función. Si están habilitados los servicios de SMB, este puerto está abierto. Se requiere específicamente para versiones anteriores del sistema operativo Windows (versiones anteriores a Windows 2000). Los clientes con acceso legítimo a los servicios de SMB del sistema de almacenamiento deben tener conectividad de red al puerto para su funcionamiento continuo.
SNMP Unix Multiplexer
TCP
199
Comunicaciones de SNMP. Si está cerrado, los mecanismos de alerta del sistema de almacenamiento que se basan en SNMP no se enviarán.
Protocolo de ubicación de servicios (SLP)
TCP/UDP
427
Permite que los hosts (u otros recursos) descubran los servicios disponibles que proporciona un sistema de almacenamiento.
HTTPS
TCP
443
Garantiza la seguridad del tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de Unisphere. Si está cerrado, la comunicación con el arreglo no estará disponible. Nota
Para SMI-S, se usa para la administración de arreglos; sin embargo, el puerto 5989 es el puerto predeterminado para este propósito. SMB
38
TCP
445
Se ofrece SMB (en controladores de dominio) y puerto de conectividad SMB para clientes con Windows 2000 o posteriores. Los clientes con acceso legítimo a los servicios de SMB del sistema de almacenamiento deben tener conectividad de red al puerto para su funcionamiento continuo. Si está deshabilitado este puerto, se deshabilitan todos los servicios
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
Tabla 10 Puertos de red del sistema de almacenamiento: (continuación)
Servicio
Protocolo
Puerto
Descripción relacionados con SMB. Si el puerto 139 también está deshabilitado, se deshabilita el uso compartido de archivos SMB.
DHCP (solo IPv6)
UDP
546
Cliente de DHCP (v6). Si está cerrado, las direcciones IP dinámicas no se asignarán mediante DHCP.
DHCP (solo IPv6)
UDP
547
Servidor DHCP (v6). Si está cerrado, las direcciones IP dinámicas no se asignarán mediante DHCP.
mountd (NFS)
TCP/UDP
1234
Se utiliza para el servicio de montaje, que es un componente principal del servicio de NFS (versiones 2, 3 y 4) y es un componente importante de la interacción entre el SP y el servidor NAS.
NAS, VAAI-NAS
TCP
2049
Proporciona áreas de almacenamiento de datos NAS para VMware y se usa para VAAI-NAS. Si está cerrado, las áreas de almacenamiento de datos NAS y VAAINAS no estarán disponibles.
NFS
TCP/UDP
2049
Se utiliza para proporcionar servicios NFS.
UDI SSH
TCP
2222
Redirige el tráfico desde el puerto 22 para el dispositivo eth*.
iSCSI
TCP
3260
Brinda acceso a los servicios iSCSI. Si está cerrado, los servicios iSCSI basados en archivos no estarán disponibles.
NFS
TCP/UDP
4,000
Se usa para proporcionar servicios statd de NFS. statd es el monitor de estado de bloqueo de archivos de NFS y funciona junto con lockd para proporcionar funciones de falla y recuperación para NFS. Si está cerrado, no están disponibles los servicios statd de NAS.
NFS
TCP/UDP
4001
Se utiliza para proporcionar servicios lockd de NFS: lockd es el demonio de bloqueo de archivos de NFS. Procesa solicitudes de bloqueo de clientes de NFS y funciona junto con el demonio statd. Si está cerrado, no están disponibles los servicios lockd de NAS.
NFS
TCP/UDP
4002
Se utiliza para proporcionar servicios rquotad de NFS. El demonio rquotad proporciona información de cuotas a los clientes de NFS que han montado un sistema de archivos. Si está cerrado, no
Puertos de red del sistema de almacenamiento:
39
Seguridad de la comunicación
Tabla 10 Puertos de red del sistema de almacenamiento: (continuación)
Servicio
Protocolo
Puerto
Descripción están disponibles los servicios rquotad de NAS.
Portable Archive Interchange (PAX) (servicios de respaldo)
TCP
4658
l
PAX es un protocolo de archiving de sistemas de almacenamiento que funciona con formatos de cintas UNIX estándar.
l
Este servicio se debe vincular a múltiples interfaces de red internas y, por consiguiente, se vincula también a la interfaz externa. Sin embargo, las solicitudes de entrada a través de la red externa se rechazan.
l
La documentación de EMC acerca de respaldos incluye información general sobre PAX. Existen distintos módulos técnicas sobre este tema que ofrecen información sobre una variedad de herramientas de respaldo.
VSI
TCP
5080
Este puerto es el apropiado para el plug-in de VSI. Si está cerrado, el plug-in de VSI no estará disponible.
Servicios de replicación
TCP
5085
Está asociado a los servicios de replicación.
SMI-S
TCP
5989
Para SMI-S, se usa para la administración de arreglos. El cliente SMI-S se conecta al arreglo mediante TCP 5989 HTTPS en SMIS. La Guía del programador de SMI-S Provider proporciona más información sobre cómo configurar este servicio.
VASA
TCP
8443
Es el proveedor de VASA para VASA 2.0.
VASA
TCP
8444
Es el proveedor de VASA para VASA 1.0.
RCP (servicios de replicación)
TCP
8888
Lo utiliza el replicador (en el lado secundario). El replicador lo mantiene abierto tan pronto como advierte la existencia de datos que deben replicarse. Una vez que se inicia, no hay manera de detener el servicio.
NDMP
TCP
10000
40
l
Permite controlar el respaldo y la recuperación de servidores NDMP por medio de una aplicación de respaldo en red, sin instalar software de otros fabricantes en los servidores. En los sistemas de almacenamiento, el servidor NAS funciona como servidor NDMP.
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
Tabla 10 Puertos de red del sistema de almacenamiento: (continuación)
Servicio
Protocolo
Puerto
Descripción l
El servicio NDMP puede deshabilitarse si no se utiliza el respaldo en cinta de NDMP.
l
El servicio NDMP se autentica con un nombre de usuario y una contraseña. El nombre de usuario puede configurarse. La documentación de NDMP describe cómo configurar la contraseña para distintos ambientes.
NDMP
TCP
10500:10531
En las sesiones de respaldo o restauración de tres vías, los servidores NAS utilizan del puerto 10500 al puerto 10531.
usermapper, SMB
TCP
12345
El servicio usermapper abre este puerto. Se trata de un servicio principal asociado a los servicios de SMB del sistema de almacenamiento, por lo que no puede pararse en determinados ambientes. Es el método que se utiliza para mapear credenciales de Windows (basadas en SID) a valores UID y GID basados en UNIX.
IWD
Interno
60260
Demonio de configuración inicial de IWD. Si está cerrado, la inicialización del arreglo no estará disponible por medio de la red.
MAC
TCP
1025:65535
El servicio MAC es un protocolo de administración de propiedad. Si está cerrado, no está disponible la administración de MAC.
Puertos con los que se puede comunicar el sistema de almacenamiento El sistema de almacenamiento funciona como un cliente de red en distintas circunstancias, por ejemplo, en la comunicación con un servidor LDAP. En estos casos, el sistema de almacenamiento inicia la comunicación y la infraestructura de red deberá ser compatible con estas conexiones. En la Tabla 11 en la página 41, se describen los puertos a los cuales debe tener acceso el sistema de almacenamiento para que el servicio correspondiente funcione de manera correcta. Esto incluye la interfaz de línea de comandos de Unisphere. Tabla 11 Conexiones de red que pueden iniciarse mediante el sistema de almacenamiento
Servicio
Protocolo
Puerto
Descripción
FTP
TCP
20
Es el puerto utilizado para las transferencias de datos por FTP. Este puerto se abre habilitando el protocolo FTP como se
Puertos con los que se puede comunicar el sistema de almacenamiento
41
Seguridad de la comunicación
Tabla 11 Conexiones de red que pueden iniciarse mediante el sistema de almacenamiento (continuación)
Servicio
Protocolo
Puerto
Descripción describe en la fila siguiente. La autenticación se ejecuta en el puerto 21 y está definida por el protocolo FTP.
SFTP
TCP
21
Permite notificaciones de alerta mediante SFTP (FTP por medio de SSH). SFTP es un protocolo de cliente/servidor. Los usuarios pueden usar SFTP para realizar transferencias de archivos en un sistema de almacenamiento en la subred local. También proporciona control de la conexión del FTP saliente. Si está cerrado, el FTP no estará disponible.
SSH/SSHD, VSI
TCP
22
Permite el acceso mediante el protocolo SSH (si está habilitado). También se usa para el plug-in de VSI. Si está cerrado, las conexiones de administración que usan SSH y plugin de VSI no estarán disponibles.
SMTP
TCP
25
Permite que el sistema envíe un correo electrónico. Si está cerrado, las notificaciones por correo electrónico no estarán disponibles.
DNS
TCP/UDP
53
Consultas de DNS. Si está cerrado, la resolución de nombres de DNS no funcionará.
DHCP
UDP
67-68
Permite que el sistema de almacenamiento actúe como un cliente de DHCP. Si está cerrado, las direcciones IP dinámicas no se asignarán mediante DHCP.
HTTP
TCP
80
Redirige el tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de Unisphere. Si está cerrado, el tráfico de administración al puerto HTTP predeterminado no estará disponible.
Kerberos
TCP/UDP
88
Proporciona un vale de Kerberos saliente. Si está cerrado, no están disponibles ni la autenticación con Kerberos ni ninguno de los protocolos que la usan, entre otros, SMB, LDAP, GPO o secNFS.
Portmapper, rpcbind (infraestructura de red)
TCP/UDP
111
Lo abre el servicio portmapper o rpcbind estándar, y es un servicio de red auxiliar del sistema de almacenamiento. No puede detenerse. Por definición, si un sistema cliente cuenta con conectividad de red al puerto, puede consultarlo. No se realiza ninguna acción de autenticación.
NTP
UDP
123
Sincronización horaria de NTP. Si está cerrado, no se sincronizará el tiempo entre los arreglos.
Servicio de nombres de NetBIOS (SMB)
TCP/UDP
137
El servicio de nombres de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del sistema de almacenamiento y es un componente principal de esa función (WINS). Si está deshabilitado, el puerto deshabilita todos los servicios relacionados con SMB.
Servicio de datagramas de NetBIOS (SMB)
UDP
138
El servicio de datagramas de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del sistema de almacenamiento y es un componente principal de esa función.
42
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
Tabla 11 Conexiones de red que pueden iniciarse mediante el sistema de almacenamiento (continuación)
Servicio
Protocolo
Puerto
Descripción Solo se usa el servicio de navegación. Si está desactivado, el puerto desactiva la funcionalidad de navegación.
Servicio de sesiones de NetBIOS (SMB)
TCP/UDP
139
El servicio de sesiones de NetBIOS está asociado a los servicios de uso compartido de archivos SMB del sistema de almacenamiento y es un componente principal de esa función. Si están habilitados los servicios de SMB, este puerto está abierto. Se requiere específicamente para versiones anteriores del sistema operativo Windows (versiones anteriores a Windows 2000). Los clientes con acceso legítimo a los servicios de SMB del sistema de almacenamiento deben tener conectividad de red al puerto para su funcionamiento continuo.
LDAP
TCP/UDP
389a
Consultas de LDAP no seguras. Si está cerrado, no estarán disponibles las consultas de autenticación LDAP no seguras. El protocolo LDAP seguro es configurable como alternativa.
HTTPS
TCP
443
Tráfico de HTTP a Unisphere y la interfaz de la línea de comandos de Unisphere. Si está cerrado, la comunicación con el arreglo no estará disponible.
Kerberos
TCP/UDP
464
Proporciona el cambio y el establecimiento de la contraseña de Kerberos. Si está cerrado, afecta a SMB.
Syslog remoto
UDP
514a
Syslog: Registre mensajes del sistema en un host remoto. Puede configurar el puerto del host que usa el sistema.
LDAPS
TCP/UDP
636a
Consultas de LDAP seguras. Si está cerrado, no estarán disponibles las consultas de autenticación LDAP seguras.
VMware
TCP
843
VMawareness: Permite la comunicación entre VMware SDK y vSphere. Si está cerrado, el descubrimiento de vCenter/ESX no estará disponible.
mountd (NFS)
TCP/UDP
1234
Se utiliza para el servicio de montaje, que es un componente principal del servicio de NFS (versiones 2, 3 y 4) y es un componente importante de la interacción entre el SP y el servidor NAS.
NFS
TCP/UDP
2049
Se utiliza para proporcionar servicios NFS.
iSNS
TCP
3205
Se utiliza para enviar al servidor iSNS los registros del servicio de asignación de nombres de almacenamiento por Internet de Microsoft (iSNS).
iSCSI
TCP
3260
Brinda acceso a los servicios iSCSI. Si está cerrado, los servicios iSCSI basados en archivos no estarán disponibles.
NFS
TCP/UDP
4,000
Se usa para proporcionar servicios statd de NFS. statd es el monitor de estado de bloqueo de archivos de NFS y funciona junto con lockd para proporcionar funciones de falla y recuperación para NFS.
NFS
TCP/UDP
4001
Se usa para proporcionar servicios lockd de NFS. lockd es el demonio de bloqueo de archivos de NFS. Procesa solicitudes de
Puertos con los que se puede comunicar el sistema de almacenamiento
43
Seguridad de la comunicación
Tabla 11 Conexiones de red que pueden iniciarse mediante el sistema de almacenamiento (continuación)
Servicio
Protocolo
Puerto
Descripción bloqueo de clientes de NFS y funciona junto con el demonio statd.
NFS
TCP/UDP
4002
Se utiliza para proporcionar servicios rquotad de NFS. El demonio rquotad proporciona información de cuotas a los clientes de NFS que han montado un sistema de archivos.
VSI
TCP
5080
Este puerto es el apropiado para el plug-in de VSI. Si está cerrado, el plug-in de VSI no estará disponible.
IWD
Interno
60260
Demonio de configuración inicial de IWD. Si está cerrado, la inicialización del arreglo no estará disponible por medio de la red.
MAC
TCP
1025:65535
El servicio MAC es un protocolo de administración de propiedad. Si está cerrado, no está disponible la administración de MAC.
a.
Es posible reemplazar los números de puerto de LDAP y LDAPS en Unisphere cuando se configuran los servicios de directorio. El número de puerto predeterminado aparece en un cuadro de entrada que el usuario puede sobrescribir. Además, en Unisphere, pueden reemplazarse los números de puerto del syslog remoto.
Certificado del sistema de almacenamiento El sistema de almacenamiento genera automáticamente un certificado autofirmado durante su primera inicialización. El certificado se conserva en la NVRAM y en el LUN de back-end. Posteriormente, el sistema de almacenamiento lo presenta a un cliente cuando este intenta conectarse al sistema de almacenamiento por medio del puerto de administración. La configuración del certificado determina su vencimiento a los 3 años; no obstante, el sistema de almacenamiento lo volverá a generar con un mes de anticipación a su fecha de vencimiento. Además, puede cargar un certificado nuevo con el comando de servicio svc_custom_cert. Este comando instala un certificado SSL especificado en formato PEM para utilizarlo con la interfaz de administración de Unisphere. Para obtener más información sobre este comando de servicio, consulte el documento Notas técnicas de los comandos de servicio. El certificado no se puede ver con Unisphere ni con la CLI de Unisphere; no obstante, se puede ver por medio de un cliente de navegador o una herramienta web que intenta conectarse al puerto de administración. Nota
Cuando el arreglo se encuentra en el modo FIPS y se genera un certificado fuera del arreglo, el certificado debe estar en el formato PEM y, además, la clave privada debe estar en el formato PKCS#1. Puede usar un comando openssl para realizar esta conversión. Una vez que se generan los archivos .cer y .pk, este paso adicional es necesario si el certificado se usa en un arreglo en el modo FIPS. Para aumentar la seguridad, algunas organizaciones usan encadenamiento de certificados de CA. El encadenamiento de certificados enlaza dos o más certificados de CA. El certificado de CA primario es el certificado raíz al final de la cadena de certificados de CA. Dado que el sistema necesita la cadena de certificados completa para verificar la autenticidad de un certificado que se recibe, pregunte al administrador del servidor de 44
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
directorios si está en uso el encadenamiento de certificados. Si es así, debe concatenar todos los certificados pertinentes en un único archivo y cargar esa versión. El certificado debe estar en el formato codificado PEM/Base64 y usar el sufijo .cer.
Interfaces, servicios y funciones del sistema de almacenamiento compatibles con el protocolo de Internet versión 6 Puede configurar las interfaces en un sistema y usar direcciones del protocolo de Internet versión 6 (IPv6) para establecer ajustes de distintos servicios y funciones. La siguiente lista contiene funciones que son compatibles con el protocolo IPv6: l
Interfaces (SF y iSCSI): para asignar de manera estática una dirección IPv4 o IPv6 a una interfaz
l
Host: para ingresar un nombre de red, una dirección IPv4 o una dirección IPv6 de un host
l
Rutas: para configurar una ruta para el protocolo IPv4 o IPv6
l
Diagnóstico: para iniciar un comando ping de diagnóstico de la CLI usando una dirección de destino IPv4 o IPv6. En Unisphere, elija Ajustes de configuración > Acceso > Enrutamiento > Ping/seguimiento para acceder a la pantalla Ping/ seguimiento, que también admite direcciones de destino de IPv6.
Todos los componentes del sistema de almacenamiento son compatibles con IPv4 y la mayoría admite IPv6. En la Tabla 12 en la página 45, se muestra la compatibilidad con IPv6 disponible por componente y tipo de configuración: Tabla 12 Soporte de IPv6 por tipo de configuración y componente
Configuración del tipo
Componente
Compatible con IPv6
Ajustes de administración de Unisphere
Puerto de administración
Sí
Servidor de nombres de dominio (DNS)
Sí
Servidor NTP
Sí
Servidor de registro remoto
Sí
Microsoft Exchange
Sí
Ajustes de configuración de host de Unisphere
Área de almacenamiento de datos de Sí VMware (NFS) Área de almacenamiento de datos de Sí VMware (VMFS) Área de almacenamiento de datos de Sí Hyper-V
Ajustes de alertas de Unisphere
Configuración de servidores de almacenamiento
Destinos de SNMP trap
Sí
Servidor SMTP
Sí
Soporte remoto seguro de EMC (ESRS)
No
Servidor iSCSI
Sí
Interfaces, servicios y funciones del sistema de almacenamiento compatibles con el protocolo de Internet versión 6
45
Seguridad de la comunicación
Tabla 12 Soporte de IPv6 por tipo de configuración y componente (continuación)
Configuración del tipo
Otros
Componente
Compatible con IPv6
Servidor de carpetas compartidas
Sí
Servidor del sistema de información de red (NIS) (para servidores NAS NFS)
Sí
Servidor de Active Directory (para servidores NAS de SMB)
Sí
Servidor del servicio de almacenamiento por internet (iSNS)
Sí
Destinos de PING
Sí
Registro remoto
Sí
LDAP
Sí
Estándar de dirección IPv6 El protocolo de Internet versión 6 (IPv6) es un estándar de direcciones del protocolo de Internet desarrollado por el Grupo de trabajo de ingeniería de Internet (IETF) para complementar y remplazar finalmente al estándar de direcciones IPv4 que usa la mayoría de los servicios de Internet en la actualidad. IPv4 usa direcciones IP de 32 bits, que proporcionan aproximadamente 4,300 millones de direcciones posibles. Con el explosivo crecimiento de usuarios de Internet y de dispositivos conectados a Internet, el espacio disponible de direcciones IPv4 es insuficiente. IPv6 resuelve el problema de falta de direcciones con el uso de direcciones de 128 bits, lo cual proporciona aproximadamente 340 billones de direcciones. IPv6 también resuelve otros problemas de IPv4, como la movilidad, la configuración automática y problemas generales de capacidad de ampliación. Una dirección IPv6 es un valor hexadecimal que contiene ocho campos de 16 bits separados por dos puntos: hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
Cada dígito de una dirección IPv6 puede ser un número de 0 a 9 o una letra de A a F. Para obtener más información acerca del estándar IPv6, consulte las publicaciones relacionadas con este estándar (RFC 2460) en el sitio web de IETF (http://www.ietf.org).
Acceso a la interfaz de administración del sistema de almacenamiento mediante IPv6 Cuando configure las conexiones de administración en el sistema de almacenamiento, podrá configurar el sistema para que acepte los siguientes tipos de direcciones IP: l
Direcciones estáticas del protocolo de Internet versión 6 (IPv6), direcciones IPv4 obtenidas mediante DHCP y direcciones IPv4 estáticas
l
Solo direcciones IPv4
Puede asignar las direcciones IPv6 de manera estática a la interfaz de administración. Una dirección IPv6 en la interfaz de administración se puede configurar en uno de dos modos, manual/estático o desactivado. Cuando desactiva IPv6, el protocolo no se 46
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
desvincula de la interfaz. El comando disable quita todas las direcciones de IPv6 de unidifusión asignadas a la interfaz de administración, por lo que el sistema de almacenamiento dejará de responder solicitudes dirigidas por IPv6. IPv6 está deshabilitado de forma predeterminada. Después de terminar la instalación, el cableado y el encendido del sistema, se debe asignar una dirección IP a la interfaz de administración del sistema de almacenamiento. Si no está ejecutando el sistema de almacenamiento en una red dinámica o prefiere asignar una dirección IP estática manualmente, debe descargar, instalar y ejecutar Connection Utility. Para obtener más información sobre Connection Utility, consulte Ejecución de Connection Utility en la página 48. Son compatibles las solicitudes de entrada al sistema de almacenamiento que usan IPv6 por medio de la interfaz de administración. Puede configurar la interfaz de administración en un sistema de almacenamiento para que funcione en un ambiente de solo IPv4, de solo IPv6 o de IPv4 e IPv6 combinados, y el sistema de almacenamiento se puede administrar mediante la interfaz del usuario y la interfaz de la línea de comandos (CLI) de Unisphere. Los servicios de salida, como NTP y el sistema de nombre de dominio (DNS) son compatibles con el direccionamiento IPv6 mediante el uso de direcciones IPv6 explícitas o de nombres DNS. Si un nombre DNS se resuelve como IPv6 e IPv4, el sistema de almacenamiento se comunicará con el servidor por medio de IPv6. Los comandos set y show de la CLI de la interfaz de red de administración que se utilizan para administrar las interfaces de administración incluyen atributos relacionados con IPv6. Para obtener más información sobre estos comandos y atributos de la interfaz de red de administración, consulte la Guía del usuario de la CLI de Unisphere.
Configuración de la interfaz de administración mediante DHCP Después de terminar la instalación, el cableado y el encendido del sistema, se debe asignar una dirección IP a la interfaz de administración del sistema de almacenamiento. Si está ejecutando el sistema de almacenamiento en una red dinámica que incluye un servidor DHCP (Protocolo de control dinámico de hosts) y un servidor DNS (sistema de nombre de dominio), la dirección IP de administración se puede asignar automáticamente. Nota
Si no ejecuta el sistema de almacenamiento en un ambiente de red dinámica o si prefiere asignar una dirección IP estática manualmente, debe instalar y ejecutar Connection Utility. Para obtener más información sobre Connection Utility, consulte Ejecución de Connection Utility en la página 48. La configuración de red apropiada debe incluir el ajuste del rango de direcciones IP variables, las máscaras de subred correctas y las direcciones del gateway y del servidor de nombres. Consulte la documentación de su red específica para obtener más información sobre la configuración de servidores DHCP y DNS. DHCP es un protocolo que permite asignar direcciones del protocolo de Internet (IP) dinámicas a los dispositivos de una red. DHCP le permite controlar direcciones del protocolo de Internet (IP) desde un servidor centralizado y asignar automáticamente una dirección IP nueva y única cuando se conecta un sistema de almacenamiento a la red de la organización. El direccionamiento dinámico simplifica la administración de la red porque el software rastrea las direcciones IP en lugar de requerir que un administrador se encargue de la tarea.
Configuración de la interfaz de administración mediante DHCP
47
Seguridad de la comunicación
El servidor DNS es un servidor basado en IP que traduce los nombres de los dominios en direcciones IP. A diferencia de las direcciones IP numéricas, los nombres de dominio son alfabéticos y normalmente son más fáciles de recordar. Ya que las redes IP se basan en direcciones IP, cada vez que usa un nombre de dominio, el servidor DNS debe traducir el nombre en una dirección IP correspondiente. Por ejemplo, el nombre de dominio www.Javanet.com se traduce en la dirección IP 209.94.128.8. Durante la configuración de DHCP/DNS dinámico no se intercambia información administrativa como, por ejemplo, nombres de usuario, contraseñas, etc. La configuración de los elementos de la IP de administración (configuración de servidor NTP, preferencia de DHCP y DNS) es parte del marco de trabajo de Unisphere existente relacionado con la seguridad. Los eventos de DNS y DHCP, incluida la obtención de una nueva dirección IP cuando vence el arrendamiento, se ingresan en los registros de auditoría del sistema de almacenamiento. Si DHCP no se usa para configurar la IP de administración del sistema de almacenamiento, no se abrirá ningún puerto de red adicional. No deben utilizarse direcciones IP dinámicas (DHCP) para ningún componente de los servidores de ESRS Virtual Edition (ESRS VE), los servidores de Administrador de políticas o los dispositivos administrados. Nota
Si utiliza DHCP para asignar direcciones IP a los componentes de ESRS [Soporte remoto seguro de EMC] (servidores de ESRS Virtual Edition, Administrador de políticas o dispositivos administrados), deben tener direcciones IP estáticas. No puede establecerse ningún vencimiento para el arrendamiento de las direcciones IP que utilizan los dispositivos de EMC. EMC recomienda que asigne direcciones IP estáticas a los dispositivos que pretende administrar con ESRS.
Ejecución de Connection Utility Nota
Si ejecuta el sistema de almacenamiento en un ambiente de red dinámica que incluye un servidor DHCP y un servidor de DNS, no hace falta usar Connection Utility, sino que es posible asignar de forma automática una dirección IP dinámica (solo con IPv4) a la interfaz de administración del sistema de almacenamiento. Cuando un sistema de almacenamiento usa una dirección IP estática, se configura de manera manual con Connection Utility para usar una dirección IP específica. Uno de los problemas de la asignación estática ocurre cuando dos sistemas de almacenamiento se configuran con la misma dirección IP de administración, lo que posiblemente se deba a un error o a la falta de atención a los detalles. Esto crea un conflicto que puede producir la pérdida de la conectividad de red. El uso de DHCP para asignar direcciones IP de manera dinámica disminuye este tipo de conflictos. Los sistemas de almacenamiento configurados para realizar asignaciones de IP mediante DHCP no necesitan usar direcciones IP asignadas estáticamente. El software de instalación de Connection Utility se encuentra disponible en el sitio web del servicio de soporte en línea de EMC (https://support.emc.com), en la sección Descargas de la barra de menús de la página de producto correspondiente al sistema de almacenamiento. Después de descargar el software, instale el programa en un host de Windows. Cuando ejecuta Connection Utility desde una computadora en la misma subred que el sistema de almacenamiento, Connection Utility automáticamente descubre cualquier sistema de almacenamiento no configurado. Si ejecuta Connection Utility en una subred diferente, puede guardar la configuración en una unidad USB y transferirla al 48
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Seguridad de la comunicación
sistema de almacenamiento. Si el sistema de almacenamiento se encuentra en una subred diferente de las del host que ejecuta Connection Utility, puede optar por configurar manualmente la información de nombre de host y de red IP y guardarla como archivo de texto en una unidad USB para, luego, insertar esta en cualquiera de los SP, lo cual, a continuación, configura la información de nombre de host y red IP de manera automática. Nota
No puede cambiar la dirección IP de administración cuando ambos procesadores de almacenamiento (SP) están en modo de servicio. Una vez que ejecuta Connection Utility y transfiere la configuración al sistema de almacenamiento, puede conectarse al sistema mediante un navegador web con la dirección IP que asignó a la interfaz de administración del sistema de almacenamiento. La primera vez que se conecta al sistema de almacenamiento, se inicia el asistente de configuración inicial del sistema de almacenamiento. El asistente de configuración inicial permite establecer la configuración inicial del sistema de almacenamiento para que pueda empezar a crear recursos de almacenamiento. Nota
Para obtener más información sobre Connection Utility, consulte la guía de instalación de la serie Unity.
Cifrado (SMB) de protocolos La compatibilidad con SMB 3.0 y Windows 2012 del sistema de almacenamiento proporciona cifrado de SMB a los hosts que pueden usar SMB. El cifrado de SMB proporciona acceso seguro a los datos en los recursos compartidos de archivos de SMB. Este cifrado ofrece seguridad para los datos en redes no confiables, es decir, proporciona cifrado de punto a punto de datos de SMB que se envían entre el arreglo y el host. Los datos se protegen contra ataques de interceptación/espionaje en redes no confiables. El cifrado de SMB puede configurarse por recurso compartido. Cuando un recurso compartido se define como cifrado, cualquier cliente SMB3 debe cifrar todas sus solicitudes relacionadas con el recurso compartido; de lo contrario, el acceso al recurso compartido se prohíbe. Para activar el cifrado de SMB, configure la opción Cifrado de protocolo en las propiedades avanzadas del recurso compartido de SMB en Unisphere o bien configúrelo con los comandos create y set de la CLI para los recursos compartidos de SMB. No se requiere ningún ajuste en el cliente SMB. Nota
Para obtener más información sobre la configuración del cifrado de SMB, consulte la ayuda en línea de Unisphere y la Guía del usuario de la CLI de Unisphere.
Soporte de administración para FIPS 140-2 El estándar federal de procesamiento de la información 140-2 (FIPS 140-2) describe los requisitos del gobierno federal de EE. UU. que deben cumplir los productos de TI para el uso confidencial, pero no secreto. El estándar define los requisitos de seguridad que deben cumplir los módulos criptográficos utilizados en los sistemas de seguridad que
Cifrado (SMB) de protocolos
49
Seguridad de la comunicación
protegen la información que no es secreta dentro de los sistemas de TI. Para obtener más información sobre FIPS 140-2, consulte la publicación FIPS 140-2. El sistema de almacenamiento admite el modo FIPS 140-2 en los módulos SSL que manejan el tráfico de administración de los clientes. La comunicación de administración dentro y fuera del sistema se cifra mediante SSL. Como parte de este proceso, los clientes y el software de administración de almacenamiento negocian el conjunto de aplicaciones de cifrado que debe utilizarse en el intercambio. Al habilitar el modo FIPS 140-2, se restringe el conjunto de aplicaciones de cifrado negociable a los que se enumeran en la publicación de funciones de seguridad aprobadas en virtud de FIPS 140-2. Si se activa el modo FIPS 140-2, es posible que algunos de los clientes existentes ya no puedan comunicarse con los puertos de administración del sistema si no son compatibles con el conjunto de aplicaciones de cifrado aprobado en 140-2. El modo FIPS 140-2 no puede activarse en el sistema de almacenamiento si existen certificados incompatibles con FIPS en el área de almacenamiento de certificados. Para activar el modo FIPS 140-2, debe quitar del sistema de almacenamiento todos los certificados incompatibles con FIPS. Administración del modo FIPS 140-2 en el sistema de almacenamiento El administrador es el único que tiene privilegios para administrar la configuración del modo FIPS 140-2. Utilice el comando siguiente de la CLI para configurar el modo FIPS 140-2 en el sistema de almacenamiento: uemcli /sys/security set -fips140Enabled yes lo configura en el modo
FIPS 140-2. uemcli /sys/security set -fips140Enabled no lo configura en otro modo que no
es FIPS 140-2. Utilice el comando siguiente de la CLI para determinar el modo FIPS 140-2 actual en el sistema de almacenamiento: uemcli /sys/security show
Cuando se cambia el ajuste del modo FIPS 140-2 en el sistema de almacenamiento, debe reiniciar ambos SP a fin de aplicar la nueva configuración. Para ello, después de cambiar la configuración del modo FIPS, reinicie uno de los SP (en Unisphere, vaya a Servicio > Tareas de servicio y seleccione la opción Reiniciar correspondiente a ese SP). Espere a que las opciones Estado y Modo de ese SP cambien a Correcto y Normal, respectivamente, lo cual indica que el SP completó el reinicio. Cuando se complete el reinicio del primer SP, reinicie el otro SP. El sistema solo estará a pleno funcionamiento en el modo FIPS 140-2 configurado después de completar el reinicio de ambos SP.
50
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 5 Configuración de la seguridad de datos
En este capítulo se describen las funciones de seguridad disponibles en el sistema de almacenamiento para los tipos de almacenamiento compatibles. Se abordarán los siguientes temas: l l
Acerca del cifrado de datos en reposo (solo para implementaciones físicas)......... 52 Configuración de la seguridad de datos.................................................................56
Configuración de la seguridad de datos
51
Configuración de la seguridad de datos
Acerca del cifrado de datos en reposo (solo para implementaciones físicas) El cifrado de datos que no se utilizan (D@RE) se proporciona por medio del cifrado basado en controlador (CBE) a nivel de unidades de disco físico. Se genera una única clave de cifrado de datos (DEK) para cada unidad y se utiliza para cifrar los datos a medida que se envían a la unidad. El objetivo de esta función es garantizar que todos los datos de clientes y la información de identificación se cifrarán con cifrado sólido, principalmente para garantizar la seguridad en caso de pérdida de una unidad de disco. Aparte del CBE, el espacio del sistema en los procesadores de almacenamiento (SP) se cifra mediante una funcionalidad de cifrado (dm_crypt) que es nativa de la distribución de Linux. Particiones específicas en la unidad del sistema se cifran de forma predeterminada, a menos que el cifrado no se habilite en el sistema durante la fabricación. Para las particiones del sistema que no se cifran, podrían estar presentes algunos datos sin cifrar, como volcados de diagnóstico. Además, existe la posibilidad de pequeñas cantidades de datos de usuario no cifrados como resultado de la escritura de materiales de diagnóstico en la partición del sistema. Todos los datos escritos en el arreglo mediante el uso de protocolos de I/O normales (iSCSI y FC) se cifran. Esta solución no cifra nada de lo que ingresa al arreglo por medio de la ruta de control; sin embargo, otro mecanismo cifra la información confidencial, como las contraseñas, ya que se encuentran en arreglos sin cifrado. Un componente, denominado Key Manager, es responsable de generar, almacenar y administrar de otra forma las claves de cifrado para el sistema. El almacenamiento de claves que se genera para almacenar las claves de cifrado reside en un LUN administrado en el espacio privado del sistema. Las claves se generan o se eliminan en respuesta a notificaciones de adición o eliminación de un pool de almacenamiento. El sistema realiza automáticamente respaldos de claves. Además, los cambios en la configuración del sistema que provocan cambios en el almacenamiento de claves generarán alertas informativas que recomiendan la creación de respaldos de claves. Cuando se realiza una operación que da como resultado un cambio en el almacenamiento de claves, aparecerá una alerta, la cual persistirá. Se proporciona una función de auditoría por separado para las operaciones generales con las claves, la cual rastrea todos los cambios de establecimiento, eliminación, respaldo y restauración de claves, además de la adición de una tarjeta SLIC. Para obtener información adicional acerca de la función de cifrado de datos en reposo, consulte el informe técnico EMC Unity: Cifrado de datos que no se utilizan. Habilitación de funciones D@RE es una función con licencia. La licencia se debe instalar durante la configuración inicial del sistema. Una vez activada, la operación de cifrado no puede revertirse. La operación de cifrado hará que se creen claves de cifrado de datos y que se comiencen a cifrar todos los datos de usuario. Las claves de cifrado se almacenan en un archivo de almacenamiento de claves. El archivo de almacenamiento de claves que se genera reside en un LUN administrado en el espacio privado del sistema. EMC recomienda respaldar el archivo de almacenamiento de claves generado en otra ubicación que sea externa al sistema, donde el almacenamiento de claves se pueda mantener a salvo y en secreto. En caso de que el almacenamiento de claves del sistema se dañe, el sistema no podrá funcionar. El sistema ingresará al modo de servicio en el cual solo se encenderá el sistema operativo. En este estado, los intentos por acceder al sistema a través de Unisphere devolverán un error que indica que el almacenamiento de
52
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Configuración de la seguridad de datos
claves está en un estado inaccesible. Para solucionar esto, se requiere el archivo de almacenamiento de claves respaldado y la contratación de un servicio.
Estado del cifrado El estado de la función DARE siguiente puede verse mediante Unisphere o un comando de la CLI: l
Modo de cifrado: tipo de cifrado en uso, por ejemplo, Cifrado basado en controlador.
l
Estado de cifrado: basado en el estado del cifrado real: n
No compatible, el cifrado del espacio del sistema en los SP está inhabilitado.
n
Sin licencia, la licencia del cifrado de datos en reposo no se ha instalado en el sistema.
n
Cifrado: cifrado completado.
n
Sin cifrado, el CBE está inhabilitado.
n
Limpieza: puesta a cero de todas las unidades de datos detectadas en la configuración inicial del sistema y de las unidades de datos insertadas con posterioridad.
n
Cifrando, el cifrado está en curso.
Para ver el estado de la función DARE en Unisphere, elija Ajustes de configuración > Administración > Cifrado. El estado del cifrado aparece en Administrar cifrado > Cifrado. Nota
Cabe la alternativa de usar el comando de la CLI uemcli -u p /prot/encrypt show -detail para ver el estado de la función. Este comando de la CLI también permite ver el estado del almacenamiento de claves, así como determinar si se requiere alguna operación del usuario. Para obtener información detallada sobre estos comandos de la CLI, consulte la Guía del usuario de la CLI de Unisphere.
Respaldo del archivo de almacenamiento de claves Los cambios en la configuración del sistema que provocan cambios en el almacenamiento de claves generan alertas informativas que son persistentes y recomiendan la creación de respaldos de las claves. Solo se genera una alerta nueva después de recuperar del sistema el almacenamiento de claves para su respaldo. Nota
EMC recomienda respaldar el archivo de almacenamiento de claves generado en otra ubicación que sea externa al sistema, donde el almacenamiento de claves se pueda mantener protegido y en secreto. Si los archivos de almacenamiento de claves del sistema sufren daños y dejan de estar accesibles, el sistema pasa al modo de servicio. Para solucionar esto, se requieren el archivo de almacenamiento de claves respaldado y la contratación de un servicio. Para respaldar el archivo de almacenamiento de claves, se requiere la función de usuario administrador o administrador de almacenamiento. Para respaldar el archivo de almacenamiento de claves en una ubicación externa al sistema donde el almacenamiento de claves se mantenga protegido y en secreto, elija Ajustes de configuración > Administración > Cifrado y, en Administrar cifrado > Almacenamiento de claves, seleccione Archivo de respaldo de área de almacenamiento de claves. En el Estado del cifrado
53
Configuración de la seguridad de datos
cuadro de diálogo que aparece, se le guía por los pasos precisos para respaldar el archivo de almacenamiento de claves generado. Nota
También cabe la alternativa de usar el comando de la CLI uemcli -u p -download encryption -type backupKeys para respaldar el archivo de almacenamiento de claves en una ubicación externa al sistema, donde el almacenamiento de claves se mantenga protegido y en secreto. Para obtener información detallada sobre este comando de la CLI, consulte la Guía del usuario de la CLI de Unisphere.
Registro de auditoría del cifrado de datos en reposo La función de cifrado de datos en reposo (DARE) supone una función de auditoría separada que admite el registro de las siguientes operaciones con el almacenamiento de claves: l
Habilitación de funciones
l
Creación de claves
l
Destrucción de claves
l
Respaldo del almacenamiento de claves
l
Completado del cifrado de disco
l
Agregación de tarjetas SLIC
El registro de auditoría de las operaciones con el almacenamiento de claves se almacena en el espacio privado del sistema. Para descargar toda la información de la suma de verificación y del registro de auditoría o la información de un año y un mes específicos, elija Ajustes de configuración > Administración > Cifrado y, en Administrar cifrado > Registro de auditoría, seleccione Descargar registro de auditoría y suma de verificación. Para descargar un archivo de suma de verificación recientemente generado para el archivo de registro de auditoría que se recuperó con anterioridad, elija Ajustes de configuración > Administración > Cifrado y, en Administrar cifrado > Registro de auditoría, seleccione Descargar suma de verificación. El nombre de archivo que suministra debe coincidir exactamente con el archivo de registro de auditoría que se recuperó con anterioridad. Nota
También cabe la alternativa de usar el comando de la CLI uemcli -u p -download encryption -type auditLog -entries para descargar toda la información de la suma de verificación y del registro de auditoría o una parte del registro de auditoría, respectivamente. Para obtener información detallada sobre este comando de la CLI, consulte la Guía del usuario de la CLI de Unisphere.
Operaciones con hot spares Cuando un sistema ya está configurado con DEK para todas las unidades del sistema que se encuentran en pools provisionados, las unidades que aún no pertenezcan a ningún pool provisionado se consideran unidades sin enlazar. La extracción de unidades sin enlazar o de unidades sin enlazar con errores no tiene ningún efecto en el almacenamiento de claves, por lo que no se requiere el respaldo del archivo de almacenamiento de claves. De igual forma, el reemplazo de unidades sin enlazar 54
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Configuración de la seguridad de datos
tampoco afecta el almacenamiento de claves y, por lo tanto, no se requiere el respaldo del archivo de almacenamiento de claves. Nota
Las unidades de disco que están sin enlazar se sobrescribirán con los datos predeterminados para quitar los datos preexistentes. Cuando un sistema ya está configurado con DEK para todas las unidades del sistema que se encuentran en pools provisionados, dichas unidades se consideran unidades enlazadas. Si se extrae una unidad enlazada o esta falla y, después de un plazo de cinco minutos, se reemplaza por un hot spare permanente, se genera una DEK para el hot spare y empieza la reconstrucción. La DEK de la unidad extraída se quitará de inmediato del almacenamiento de claves. En ese momento, el administrador de claves establecerá como modificado el estado del almacenamiento de claves y desencadenará una alerta para que se respalde porque se realizaron modificaciones de DEK en el almacenamiento de claves. Si la unidad de disco extraída se vuelve a insertar en cualquier lugar del sistema antes de que transcurran esos cinco minutos, no será necesaria la reconstrucción, ni se realizarán modificaciones en el almacenamiento de claves. La DEK seguirá siendo la misma porque la clave está asociada a la unidad de disco, no al slot. Tampoco se generará ninguna alerta de estado modificado del almacenamiento de claves. Nota
Si es imprescindible el saneamiento o la destrucción de la unidad extraída, debe realizarse de manera independiente.
Adición de unidades de disco a sistemas de almacenamiento con cifrado habilitado La inserción de un disco nuevo o más en el sistema no desencadena la generación de una DEK nueva para cada disco. Esta operación no se ejecutará en los discos nuevos hasta que se provisionen en un pool. En ese momento, el administrador de claves establecerá como modificado el estado del almacenamiento de claves y desencadenará una alerta para que se respalde porque se realizaron modificaciones de DEK en el almacenamiento de claves. Cuando se agrega una unidad de disco nueva a un sistema de almacenamiento, se considera que está sin enlazar. Las unidades de disco que están sin enlazar se sobrescriben con los datos predeterminados para quitar los datos preexistentes. Solo se sobrescribe el espacio accesible de la unidad. No se sobrescribirán los datos de texto sin formato residuales que queden ocultos en ubicaciones oscuras dentro de la unidad. AVISO
Si el posible acceso a datos remanentes del anterior uso de la unidad infringe la política de seguridad, debe sanear la unidad de forma independiente antes de insertarla en el sistema de almacenamiento con cifrado activado.
Extracción de unidades de disco de sistemas de almacenamiento con el cifrado habilitado Cuando un sistema ya está configurado con DEK para todas las unidades del sistema que se encuentran en pools provisionados, dichas unidades se consideran unidades enlazadas. Si se extrae una unidad enlazada, pero no se reemplaza en un plazo de cinco minutos, la DEK de la unidad no se quitará del almacenamiento de claves. La clave seguirá siendo válida hasta que se elimine el pool provisionado o hasta que se inserte Adición de unidades de disco a sistemas de almacenamiento con cifrado habilitado
55
Configuración de la seguridad de datos
una unidad nueva de reemplazo. Si la unidad de disco extraída se vuelve a insertar en cualquier lugar del sistema antes de que transcurran esos cinco minutos, no será necesaria la reconstrucción (como sucede con las unidades de reemplazo), ni se realizarán modificaciones en el almacenamiento de claves. La DEK seguirá siendo la misma porque la clave está asociada a la unidad de disco, no al slot. Tampoco se generará ninguna alerta de estado modificado del almacenamiento de claves. Nota
Si es imprescindible el saneamiento o la destrucción de la unidad extraída, debe realizarse de manera independiente.
Reemplazo de chasis y SP de sistemas de almacenamiento con el cifrado habilitado El almacenamiento de claves generado mantiene una relación con el hardware del sistema de almacenamiento. Se requiere una contratación de servicio para reemplazar el chasis y los SP del sistema de almacenamiento con el cifrado activado.
Configuración de la seguridad de datos En la Tabla 13 en la página 56, se muestran las funciones de seguridad disponibles para los tipos de almacenamiento de los sistemas de almacenamiento compatibles. Tabla 13 Funciones de seguridad
Tipo de almacenamiento
Puerto
Protocolo
Configuración de seguridad
Almacenamiento iSCSI
3260
TCP
l
El control de acceso de nivel (iniciador) de host iSCSI (iniciador) está disponible a través de Unisphere (lo que les permite a los clientes obtener acceso al almacenamiento primario, las snapshots o ambos).
l
Se admite la autenticación CHAP para que los servidores iSCSI del sistema de almacenamiento (de destino) puedan autenticar los hosts iSCSI (iniciadores) que intentan obtener acceso al almacenamiento basado en iSCSI.
l
La autenticación de CHAP mutuo se admite para que los hosts iSCSI (iniciadores) puedan autenticar los servidores iSCSI del sistema de almacenamiento.
l
La autenticación de acciones administrativas y de dominio se proporciona a través de las cuentas de grupo y usuario de Active Directory.
l
Se proporcionan controles de acceso a archivos y recursos compartidos a través de los servicios de directorio de Windows. La lista de control de acceso (ACL) de los recursos compartidos de SMB también puede configurarse mediante una interfaz de SMI-S.
l
Las firmas de seguridad se soportan a través de la firma de SMB.
l
El cifrado de SMB se proporciona a los hosts que pueden usar SMB por medio de SMB 3.0 y Windows 2012.
Almacenamiento SMB
56
445
TCP, UDP
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Configuración de la seguridad de datos
Tabla 13 Funciones de seguridad (continuación)
Tipo de almacenamiento
Almacenamiento NFS
KDC
Respaldo y restauración
Puerto
2049
88
Protocolo
TCP
Configuración de seguridad l
Soporta servicios opcionales de retención de archivos a través de software adicional.
l
El control de acceso de recursos compartidos se proporciona a través de Unisphere.
l
Es compatible con los métodos de control de acceso y autenticación de NFS identificados en las versiones 3 y 4 de NFS.
l
Soporta servicios opcionales de retención de archivos a través de software adicional.
l
Es el centro de distribución de claves. El servidor de Kerberos ofrece los vales de Kerberos para conectar a los servicios de Kerberos.
l
La seguridad de NDMP se puede implementar en función de los secretos compartidos de NDMP.
Configuración de la seguridad de datos
57
Configuración de la seguridad de datos
58
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 6 Mantenimiento de seguridad
En este capítulo se describen diversas funciones de mantenimiento de seguridad implementadas en el sistema de almacenamiento. Se abordarán los siguientes temas: l l
Mantenimiento seguro.......................................................................................... 60 Soporte remoto seguro de EMC para los sistemas de almacenamiento..................61
Mantenimiento de seguridad
59
Mantenimiento de seguridad
Mantenimiento seguro El sistema de almacenamiento proporciona las siguientes funciones seguras para realizar las tareas remotas de mantenimiento y actualización del sistema: l
Activación de la licencia
l
Actualización de software
l
Hotfixes del software
Actualización de licencias La función de actualización de licencia permite a los usuarios obtener e instalar las licencias de funcionalidades concretas del sistema de almacenamiento. En la Tabla 14 en la página 60, se muestran las características de seguridad asociadas a la función de actualización de licencia. Tabla 14 Funciones de seguridad de la actualización de licencias
Proceso
Seguridad
Obtención de las licencias desde La adquisición de licencias se ejecuta en una sesión el sitio web del servicio de autenticada en el sitio web del servicio de soporte en línea soporte en línea de EMC de EMC. Recepción de archivos de licencia Carga e instalación de licencias por medio de Unisphere Client en el sistema de almacenamiento
Las licencias se envían a la dirección de correo electrónico especificada en una transacción del sitio web del servicio de soporte en línea de EMC. l
Las cargas de archivos de licencia en el sistema de almacenamiento ocurren dentro de sesiones de Unisphere autenticadas por medio de HTTPS.
l
El sistema de almacenamiento valida los archivos de licencia recibidos mediante firmas digitales. Cada función con licencia se valida mediante una firma única dentro del archivo de licencia.
Actualización de software La función de actualización de software del sistema de almacenamiento permite a los usuarios obtener e instalar el software para actualizar el software que se ejecuta en el sistema de almacenamiento. En la Tabla 15 en la página 60, se muestran las características de seguridad asociadas a la función de actualización de software del sistema de almacenamiento. Tabla 15 Funciones de seguridad de actualización de software
60
Proceso
Descripción
Descarga del software del sistema de almacenamiento desde el sitio web del servicio de soporte en línea de EMC
La adquisición de licencias se ejecuta en una sesión autenticada en el sitio web del servicio de soporte en línea de EMC.
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Mantenimiento de seguridad
Tabla 15 Funciones de seguridad de actualización de software (continuación)
Proceso
Descripción
Carga del software del sistema de almacenamiento
La carga del software al sistema de almacenamiento ocurre dentro de una sesión de Unisphere autenticada por medio de HTTPS.
Soporte remoto seguro de EMC para los sistemas de almacenamiento La función de Soporte remoto seguro de EMC (ESRS) ofrece al proveedor de servicios autorizado funcionalidades de acceso remoto al sistema de almacenamiento mediante un túnel seguro y cifrado. Para el acceso de salida, la red IP de administración del sistema de almacenamiento debe permitir el tráfico HTTPS de salida y de entrada. El túnel seguro que ESRS establece entre el dispositivo del sistema de almacenamiento y los sistemas autorizados en la red de EMC también se puede usar para transferir archivos al sistema de almacenamiento o devolverlos a la red de EMC. Hay disponibles dos opciones de servicio remoto por las cuales enviar a EMC la información del sistema de almacenamiento para la solución de problemas remota: l
Soporte remoto seguro de EMC, edición virtual (ESRS VE), centralizados
l
Soporte remoto seguro de EMC integrado (solo para implementaciones físicas)
Servicios de soporte remoto seguro de EMC centralizados Soporte remoto seguro de EMC (ESRS) centralizado se ejecuta en un servidor de gateway. Cuando se selecciona esta opción, el sistema de almacenamiento se agrega a otros sistemas de almacenamiento agrupados en un clúster de ESRS. El clúster reside detrás de una conexión segura (centralizada) única y común a los servidores de EMC y un ESRS Gateway fuera del arreglo. ESRS Gateway es el único punto de entrada y salida para todas las actividades de Soporte remoto de EMC basadas en IP de los sistemas de almacenamiento asociados al gateway. ESRS Gateway es una aplicación de la solución de soporte remoto que se instala en un servidor exclusivo o en varios que proporciona el cliente. ESRS Gateway funciona como intermediador de la comunicación entre los sistemas de almacenamiento asociados, Administrador de políticas y los servidores proxy (opcional) y la empresa EMC. Las conexiones a Administrador de políticas y a los servidores proxy asociados se configuran mediante la interfaz de ESRS Gateway, junto con las funcionalidades para agregar (registrar), modificar, eliminar (anular el registro) y consultar el estado que pueden usar los clientes de ESRS para realizar el registro con ESRS Gateway. Para obtener más información acerca de ESRS Gateway y Administrador de políticas, vaya a la página correspondiente a Soporte remoto seguro de EMC del servicio de soporte en línea de EMC (https://support.emc.com). Soporte remoto seguro de EMC integrado (solo para implementaciones físicas) Nota
Es posible que esta función no esté disponible para su implementación. ESRS integrado se ejecuta directamente en su sistema de almacenamiento. Cuando se selecciona esta opción, el sistema de almacenamiento configura una conexión segura entre sí mismo y los servidores de EMC. Esta opción habilita la conectividad remota en las funcionalidades de marcación entrante y saliente de este sistema de Soporte remoto seguro de EMC para los sistemas de almacenamiento
61
Mantenimiento de seguridad
almacenamiento. La conexión desde ese sistema de almacenamiento hasta Administrador de políticas y los servidores proxy asociados (opcional) debe configurarse mediante Unisphere o la CLI.
62
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 7 Ajustes de alertas de seguridad
En este capítulo se describen los diferentes métodos disponibles para notificar a los administradores acerca de las alertas emitidas en el sistema de almacenamiento. Se abordarán los siguientes temas: l l
Ajustes de alertas..................................................................................................64 Configuración de los ajustes de alertas................................................................. 65
Ajustes de alertas de seguridad
63
Ajustes de alertas de seguridad
Ajustes de alertas Las alertas del sistema de almacenamiento informan a los administradores acerca de eventos que ocurren en el sistema de almacenamiento sobre los que se pueden tomar medidas. Los eventos del sistema de almacenamiento se informan como se muestra en la Tabla 16 en la página 64. Tabla 16 Ajustes de alertas
Tipo de alerta
Descripción
Notificación visual
Muestra mensajes emergentes informativos cuando los usuarios inician sesión en la interfaz y en tiempo real para indicar cuando ocurren condiciones de alerta. Los mensajes emergentes proporcionan información básica sobre la condición de alerta. Para obtener información adicional, vaya a Ajustes de configuración > Alertas > Especificar alertas de correo electrónico y configuración de SMTP. Nota
Las notificaciones de alertas visuales del sistema de almacenamiento no son configurables. Además, el sistema de almacenamiento no tiene ninguna opción de autenticación en servidores de correo SMTP. Si el servidor de correo requiere la autenticación de todos los clientes para retransmitir un correo electrónico, el sistema de almacenamiento no puede enviar alertas por correo electrónico a través de él. Notificación por correo electrónico.
Le permite especificar una o más direcciones de correo electrónico a las cuales se pueden enviar mensajes de alerta. Puede realizar las siguientes configuraciones: l
Direcciones de correo electrónico a las cuales se envían alertas del sistema de almacenamiento.
l
Nivel de severidad (crítico, error, advertencia, aviso o información) requerido para la notificación de correo electrónico.
Nota
Para que funcione la notificación por correo electrónico de alertas del sistema de almacenamiento, debe configurar un servidor SMTP de destino para el sistema de almacenamiento. SNMP traps
Transfieren información de alerta a hosts designados (destinos trap) que actúan como repositorios de la información de alerta que genera el sistema de red de almacenamiento. Puede configurar los SNMP traps a través de Unisphere. La configuración incluye: l
Dirección IP de un destino de SNMP trap de red.
l
Configuración de seguridad opcional para la transmisión de datos de trap n
Protocolo de autenticación: algoritmo de hashing que se utiliza para los SNMP traps (SHA o MD5).
n
Protocolo de privacidad: algoritmo de encriptación que se utiliza para los SNMP traps (DES, AES, AES192 o AES256).
La ayuda en línea de Unisphere proporciona más información. Soporte remoto seguro de EMC (ESRS)
ESRS proporciona una conexión basada en IP que permite que el servicio de soporte de EMC reciba archivos de error y mensajes de alerta de su sistema de almacenamiento, además de realizar tareas remotas de solución de problemas de un modo rápido y eficiente. Nota
Está disponible con la versión 4.0 o superior del ambiente operativo. Para que ESRS funcione, debe habilitarlo en el sistema de almacenamiento.
64
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Ajustes de alertas de seguridad
Configuración de los ajustes de alertas Puede configurar los ajustes de alertas del sistema de almacenamiento para notificaciones por correo electrónico y SNMP traps desde el sistema de almacenamiento.
Configuración de los ajustes de las alertas para la notificación por correo electrónico Uso de Unisphere: Procedimiento 1. En Ajustes de configuración > Alertas > Correo electrónico y SMTP. 2. En la sección Especificar alertas de correo electrónico y configuración de SMTP de Enviar las alertas de correo electrónico a la siguiente lista de correos electrónicos, configure las direcciones de correo electrónico a las que deben enviarse las notificaciones de alerta. 3. En Nivel de severidad de las alertas que se envían:, configure la gravedad que debe alcanzarse para que se generen los correos electrónicos de alerta en una de las opciones siguientes: l
Critical
l
Error y más
l
Advertencia y más
l
Aviso y más
l
Información y más
Nota
Para que el mecanismo de alerta por correo electrónico del sistema de almacenamiento funcione, se debe configurar un servidor SMTP de destino para el sistema de almacenamiento. 4. En Especificar ajustes de red SMTP:, configure el servidor de SMTP de destino.
Configuración de los ajustes de las alertas para SNMP traps Uso de Unisphere: Procedimiento 1. Elija Ajustes de configuración > Alertas > SNMP. 2. En la sección Administrar alertas de SNMP de Enviar alertas mediante SNMP traps a estos destinos, configure la información siguiente sobre los destinos de SNMP traps: l
Nombre de red o dirección IP
l
Protocolo de autenticación que utilizar
l
Protocolo de privacidad que utilizar Configuración de los ajustes de alertas
65
Ajustes de alertas de seguridad
3. En Nivel de severidad de las alertas que se envían:, configure la gravedad que debe alcanzarse para que se generen SNMP traps en una de las opciones siguientes:
66
l
Critical
l
Error y más
l
Advertencia y más
l
Aviso y más
l
Informativos y más
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
CAPÍTULO 8 Otras configuraciones de seguridad
En este capítulo se incluye otra información relevante para garantizar el funcionamiento seguro del sistema de almacenamiento. Se abordarán los siguientes temas: l l
Controles físicos de seguridad (solo para implementaciones físicas).................... 68 Protección antivirus...............................................................................................68
Otras configuraciones de seguridad
67
Otras configuraciones de seguridad
Controles físicos de seguridad (solo para implementaciones físicas) El área en la que reside el sistema de almacenamiento debe elegirse y modificarse para proporcionar la seguridad física del sistema de almacenamiento. Esto incluye medidas básicas como proporcionar suficientes puertas y trabas, permitir solo el acceso físico monitoreado y autorizado al sistema, brindar una fuente de alimentación confiable y seguir las mejores prácticas de cableado. Además, los siguientes componentes del sistema de almacenamiento requieren un cuidado especial: l
Botón de restablecimiento de contraseña: Restablece temporalmente las contraseñas predeterminadas de fábrica correspondientes a la cuenta de administrador y la cuenta de servicios predeterminadas del sistema de almacenamiento hasta el momento en que un administrador las restablezca.
l
Conector del puerto de servicio Ethernet del SP: permite el acceso autenticado a través de una conexión al puerto de servicio Ethernet del SP.
Protección antivirus El sistema de almacenamiento es compatible con el agente antivirus de Celerra (CAVA). CAVA, un componente de Event Enabler (EE) 4.9.3.0, proporciona una solución de antivirus a los clientes que usan un sistema de almacenamiento. Utiliza un protocolo SMB estándar del sector en un entorno de Microsoft Windows Server. CAVA utiliza software antivirus de otros fabricantes para identificar y eliminar virus conocidos antes de que infecten los archivos del sistema de almacenamiento. El instalador de EE, que incluye el instalador de CAVA, y las notas de la versión de EE están disponibles en el sitio web del servicio de soporte en línea de EMC, en Descargas > Soporte del producto EMC Unity™ All Flash, EMC Unity™ Hybrid, EMC UnityVSA™.
68
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
APÉNDICE A Conjuntos de aplicaciones de cifrado TLS
En este apéndice se enumeran los conjuntos de aplicaciones de cifrado TLS compatibles con el sistema de almacenamiento. Se abordarán los siguientes temas: l
Conjuntos de aplicaciones de cifrado TLS compatibles..........................................70
Conjuntos de aplicaciones de cifrado TLS
69
Conjuntos de aplicaciones de cifrado TLS
Conjuntos de aplicaciones de cifrado TLS compatibles Un conjunto de aplicaciones de cifrado define un conjunto de tecnologías que protegen las comunicaciones por el protocolo TLS: l
Algoritmo de intercambio de claves (la manera en que se usa la clave para cifrar los datos que se transmiten del cliente al servidor). Ejemplos: clave de RSA o DiffieHellman (DH)
l
Método de autenticación (la manera en que los hosts pueden autenticar la identidad de hosts remotos). Ejemplos: certificado de RSA, certificado de DSS o sin autenticación
l
Cifrado (la manera en que se cifran los datos). Ejemplos: AES (256 o 128 bits) o 3DES (168 bits).
l
Algoritmo hash (que asegura los datos a través de un método para determinar si se han modificado). Ejemplos: SHA-2 o SHA-1.
Los conjuntos de aplicaciones de cifrado compatibles combinan todos estos elementos. En la lista siguiente se proporcionan los nombres de OpenSSL de los conjuntos de aplicaciones de cifrado TLS para el sistema de almacenamiento y los puertos asociados. Tabla 17 Conjuntos de aplicaciones de cifrado TLS predeterminados o compatibles que admite el sistema de almacenamiento
70
Conjuntos de aplicaciones de cifrado
Protocolos
Puertos
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA (solo en modo que no sea FIPS)
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA (solo en modo que no sea FIPS)
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLSv1.2
443, 8443 y 8444
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad
Conjuntos de aplicaciones de cifrado TLS
Tabla 17 Conjuntos de aplicaciones de cifrado TLS predeterminados o compatibles que admite el sistema de almacenamiento (continuación)
Conjuntos de aplicaciones de cifrado
Protocolos
Puertos
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLSv1.2
443, 8443 y 8444
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLSv1.2
443, 8443 y 8444
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLSv1.2
443, 8443 y 8444
TLS_ECDHE_RSA_WITH_3DES_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_EDH_RSA_WITH_3DES_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_128_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_128_CBC_SHA256
TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_256_CBC_SHA256
TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_128_GCM_SHA256
TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_256_GCM_SHA384
TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (solo en modo que no sea FIPS)
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (solo en modo que no sea FIPS)
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_3DES_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
443, 8443 y 8444
TLS_RSA_WITH_AES_128_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
5989
TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
5989
TLS_RSA_WITH_3DES_CBC_SHA
TLSv1, TLSv1.1 y TLSv1.2
5989
Conjuntos de aplicaciones de cifrado TLS compatibles
71
Conjuntos de aplicaciones de cifrado TLS
72
EMC Unity All Flash, EMC Unity Hybrid, EMC UnityVSA 4.0 Guía de configuración de seguridad