EMC VNXe Series Guida alla configurazione della sicurezza - Rev 7 January 2020

 
EMC® VNXe® Series
Versione 3.1

Guida alla configurazione della sicurezza
302-000-198 Rev 7
January 2020
Copyright © 2014-2020 Dell Inc. or its subsidiaries. Tutti i diritti riservati.

    Dell ritiene che le informazioni contenute nel presente documento siano esatte al momento della sua data di pubblicazione. Le informazioni sono
    soggette a modifica senza preavviso.

    LE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO VENGONO FORNITE "COSÌ COME SONO". DELL NON FORNISCE ALCUNA
    DICHIARAZIONE O GARANZIA IN RELAZIONE ALLE INFORMAZIONI CONTENUTE NEL PRESENTE DOCUMENTO, IN MODO SPECIFICO PER
    QUANTO ATTIENE ALLE GARANZIE DI COMMERCIABILITÀ O IDONEITÀ PER UNO SCOPO SPECIFICO. L'UTILIZZO, LA COPIA E LA
    DISTRIBUZIONE DEI PRODOTTI SOFTWARE DI DELL DESCRITTI NEL PRESENTE DOCUMENTO RICHIEDONO UNA LICENZA VALIDA PER
    CIASCUN SOFTWARE.

    Dell Technologies, Dell, EMC, Dell EMC e altri marchi sono marchi di Dell Inc. o delle sue società controllate. Gli altri marchi possono essere di
    proprietà dei rispettivi proprietari. Pubblicato in Italia.

    EMC Computer Systems Italia S.p.A.
    Direzione e Filiale di Milano; Via Giovanni Spadolini, 5 - Edificio A; 20141 Milano
    tel. +39 02 409081; fax +39 02 48204686
    www.DellEMC.com/it-it/index.htm

2           EMC® VNXe® Series Guida alla configurazione della sicurezza
SOMMARIO

    Capitolo 1   Introduzione                                                                                                       5
                 Panoramica......................................................................................................... 6
                 Documenti correlati............................................................................................ 6

    Capitolo 2   Controllo dell'accesso                                                                                              7
                 Metodi di accesso............................................................................................... 8
                 Account di gestione e di servizio predefiniti del sistema di storage..................... 9
                 Gestione degli account del sistema di storage................................................... 10
                 Unisphere.......................................................................................................... 10
                 Interfaccia a riga di comando (CLI) Unisphere...................................................12
                 Interfaccia di servizio SSH del sistema di storage..............................................13
                 Porta di servizio Ethernet dell'SP del sistema di storage e IPMItool.................. 15
                 SMI-S Provider..................................................................................................15
                 Supporto per vSphere Storage API for Storage Awareness...............................15
                 SSO con Unisphere Central............................................................................... 16
                         Flussi del processo di SSO.................................................................... 17
                         Accesso a un sistema di storage locale................................................. 19
                         Supporto SSO e NAT............................................................................19
                 Protezione degli object del file system...............................................................19
                 Accesso a file system in un ambiente multiprotocollo........................................20
                         User mapping....................................................................................... 20
                         Policy di accesso per NFS, CIFS e FTP.................................................21
                         Credenziali per la sicurezza a livello di file............................................ 22

    Capitolo 3   Logging                                                                                                           25
                 Logging.............................................................................................................26
                 Opzioni di accesso remoto................................................................................ 27

    Capitolo 4   Sicurezza delle comunicazioni                                                                                     29
                 Utilizzo delle porte............................................................................................ 30
                          Porte di rete del sistema di storage......................................................30
                          Porte contattabili dal sistema di storage.............................................. 37
                 Certificato del sistema di storage...................................................................... 41
                          Sostituzione del certificato autofirmato del sistema di storage con
                          certificati firmati da una CA locale....................................................... 42
                 Configurazione dell'interfaccia di gestione mediante DHCP.............................. 43
                          Assegnazione automatica di un indirizzo IP al sistema di storage......... 44
                 Interfacce, servizi e funzionalità del sistema di storage che supportano Internet
                 Protocol versione 6...........................................................................................45
                 Accesso all'interfaccia di gestione del sistema di storage tramite IPv6............. 46
                 Esecuzione dell'utility di connessione................................................................ 47
                 Crittografia e firma CIFS................................................................................... 47
                 Supporto della gestione per le comunicazioni SSL............................................ 50
                          Gestione della modalità TLS nel sistema di storage.............................. 50

    Capitolo 5   Impostazioni di protezione dati                                                                                   51
                 Impostazioni di protezione dati......................................................................... 52

                                       EMC® VNXe® Series Guida alla configurazione della sicurezza                             3
Sommario

                        Capitolo 6           Manutenzione della protezione                                                                                55
                                             Manutenzione sicura.........................................................................................56
                                                   Aggiornamento licenze.........................................................................56
                                                   Upgrade del software...........................................................................56
                                             EMC Secure Remote Support per il sistema di storage in uso...........................57

                        Capitolo 7           Impostazioni alert di protezione                                                                             59
                                             Impostazioni alert............................................................................................. 60
                                                    Configurazione delle impostazioni degli alert........................................ 61

                        Capitolo 8           Altre impostazioni di protezione                                                                             63
                                             Controlli di protezione fisica..............................................................................64
                                             Protezione antivirus.......................................................................................... 64

                        Appendice            Suite di crittografia TLS                                                                                    65
                                             Suite di crittografia TLS supportate..................................................................66

4          EMC® VNXe® Series Guida alla configurazione della sicurezza
CAPITOLO 1
Introduzione

        Il presente capitolo descrive brevemente diverse funzionalità di protezione implementate nel
        sistema di storage.
        Vengono trattati i seguenti argomenti:

        l   Panoramica............................................................................................................................. 6
        l   Documenti correlati................................................................................................................. 6

                                                      EMC® VNXe® Series Guida alla configurazione della sicurezza                             5
Introduzione

Panoramica
                      Il sistema di storage utilizza una vasta gamma di funzionalità di protezione per controllare l'accesso
                      utente e di rete, monitorare l'accesso e l'utilizzo del sistema e supportare la trasmissione dei dati di
                      storage. Il presente documento descrive le funzionalità di protezione disponibili.
                      Questo documento è destinato agli amministratori responsabili della configurazione e del
                      funzionamento del sistema di storage.
                      La guida descrive le impostazioni di sicurezza nell'ambito delle categorie illustrate in Tabella 1 a
                      pagina 6:

                     Tabella 1 Categorie delle impostazioni di sicurezza

                      Categoria di              Descrizione
                      protezione

                      Controllo degli accessi   Limitazione dell'accesso da parte dell'utente finale o di altre entità
                                                per proteggere l'hardware, il software o funzionalità specifiche di
                                                prodotto.

                      Logs                      Gestione della registrazione degli eventi.

                      Protezione delle          Protezione delle comunicazioni di rete dei prodotti.
                      comunicazioni

                      Protezione dei dati       Protezione dei dati dei prodotti.

                      Serviceability            Mantenimento del controllo sulle operazioni di assistenza eseguite
                                                dal produttore o dai relativi partner di assistenza.

                      Sistema di alert          Gestione di alert e notifiche generati per eventi legati alla sicurezza.

                      Altre impostazioni di     Impostazioni di protezione che non ricadono in una delle sezioni
                      sicurezza                 precedenti, ad esempio la sicurezza fisica.

Documenti correlati
                      È possibile trovare istruzioni di configurazione specifiche all'interno della documentazione di VNXe,
                      disponibile nel sito web del Supporto Online EMC all'indirizzo www.emc.com/vnxesupport. Questa
                      guida include riferimenti ai seguenti documenti, laddove appropriato.
                      l    Installazione del proprio hardware VNXe
                      l   Guida online ad Unisphere for VNXe
                      l    Utilizzo del sistema VNXe con file system CIFS
                      l    Utilizzo del sistema VNXe con file system NFS
                      l    Utilizzo del sistema VNXe con LUN FC (Fibre Channel) o iSCSI
                      l    Utilizzo del sistema VNXe con NFS VMware o VMFS VMware
                      l    Guida utente CLI VNXe
                      l   EMC Secure Remote Support per VNXe Requisiti e configurazione Note tecniche
                      l   Guida alla programmazione di SMI-S Provider per VNXe

6        EMC® VNXe® Series Guida alla configurazione della sicurezza
CAPITOLO 2
Controllo dell'accesso

        Il presente capitolo descrive diverse funzionalità per il controllo dell'accesso implementate sul
        sistema di storage.
        Vengono trattati i seguenti argomenti:

        l   Metodi di accesso....................................................................................................................8
        l   Account di gestione e di servizio predefiniti del sistema di storage..........................................9
        l   Gestione degli account del sistema di storage........................................................................10
        l   Unisphere...............................................................................................................................10
        l   Interfaccia a riga di comando (CLI) Unisphere....................................................................... 12
        l   Interfaccia di servizio SSH del sistema di storage.................................................................. 13
        l   Porta di servizio Ethernet dell'SP del sistema di storage e IPMItool.......................................15
        l   SMI-S Provider...................................................................................................................... 15
        l   Supporto per vSphere Storage API for Storage Awareness................................................... 15
        l   SSO con Unisphere Central................................................................................................... 16
        l   Protezione degli object del file system................................................................................... 19
        l   Accesso a file system in un ambiente multiprotocollo............................................................ 20

                                                       EMC® VNXe® Series Guida alla configurazione della sicurezza                             7
Controllo dell'accesso

Metodi di accesso
                         Il sistema di storage supporta i metodi di accesso illustrati nella tabella Metodi di accesso.

                         Tabella 2 Metodi di accesso

Tipo                 Descrizione

Account di           Tali account presentano privilegi per l'esecuzione di attività di gestione e monitoraggio associate
gestione             al sistema di storage e alle relative risorse di storage. Vedere Ruoli e privilegi per gli utenti locali.
                     Le password vengono create e gestite attraverso l'interfaccia di gestione del sistema di storage e
                     possono essere utilizzate per accedere a una delle seguenti interfacce di gestione:
                     l    Unisphere®:
                          n   Un'interfaccia grafica web-based, accessibile tramite HTTPS, che fornisce strumenti per
                              la configurazione, la gestione e il monitoraggio delle impostazioni di storage e di sistema
                              del sistema di storage.
                     l    CLI Unisphere:
                          n   La CLI Unisphere fornisce un'interfaccia a riga di comando per la stessa funzionalità
                              disponibile all'interno di Unisphere.

Account di           Tale account esegue funzioni specializzate di servizio. Un unico account consente di accedere alle
servizio             interfacce di servizio utilizzando SSH o la connessione della porta di servizio Ethernet su ciascuno
                     storage processor (SP). Le interfacce di servizio del sistema di storage includono le seguenti:
                     l    Unisphere. Utilizzando un account di gestione, digitare la password di servizio per accedere
                          alla pagina di servizio Unisphere da cui è possibile effettuare le seguenti azioni:
                          n   Raccogli informazioni servizio di sistema (livello di sistema) - Consente di raccogliere
                              informazioni sul sistema e salvarle in un file. Il personale di assistenza può utilizzare le
                              informazioni raccolte per analizzare il sistema.
                          n   Salva configurazione (livello di sistema) - Consente di salvare i dettagli relativi alle
                              impostazioni di configurazione del sistema di storage in un file. Il service provider può
                              utilizzare questo file per riconfigurare il sistema in seguito a un guasto grave o a una
                              reinizializzazione dello stesso.
                          n   Riavvia software di gestione (livello di sistema) - Consente di riavviare il software di
                              gestione per risolvere problemi di connessione tra il sistema e Unisphere.
                          n   Reinizializza sistema (livello di sistema) - Consente di effettuare il reset del sistema di
                              storage alle impostazioni di fabbrica originali. Entrambi gli storage processor (SP) devono
                              essere installati, funzionare normalmente ed essere impostati in modalità di servizio. In
                              caso contrario, non sarà possibile eseguire questa azione.
                                  Nota: la Modalità di servizio rappresenta una modalità a funzionamento ridotto ideata
                                  per le attività di manutenzione e risoluzione dei problemi. Un sistema di storage in tale
                                  modalità utilizza un'interfaccia limitata all'interno di Unisphere, oltre che
                                  un'interfaccia CLI specifica che consente la risoluzione di problemi isolati.
                          n   Modifica password di servizio sistema - Consente di modificare la password di servizio per
                              accedere alla pagina Esegui manutenzione sistema.
                          n   Spegni sistema (livello di sistema) - Le procedure del ciclo di accensione/spegnimento del
                              sistema sono utili per risolvere i problemi del sistema di storage che non sono stati
                              eliminati effettuando il riavvio o il reimage dello storage processor.

8         EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

             Tabella 2 Metodi di accesso (continua)

Tipo     Descrizione

              n   Abilita SSH (livello di sistema) - Consente di abilitare il protocollo Secure Shell (SSH) per
                  fornire accesso SSH al sistema. Utilizzando un client SSH, l'utente o il service provider
                  possono connettersi al sistema ed eseguire operazioni di manutenzione avanzate.
              n   Imposta modalità di servizio (livello di SP) - L'impostazione dell'SP in modalità di servizio
                  arresta i servizi I/O sull'SP per consentire di eseguire gli interventi di assistenza in modo
                  sicuro.
              n   Riavvia (livello di SP) - Consente di riavviare lo storage processor (SP) selezionato.
                  Utilizzare questo intervento di assistenza per tentare di risolvere problemi di minore entità
                  relativi a software di sistema o componenti hardware dell'SP. Inoltre è possibile riavviare
                  un SP in buono stato impostato in modalità di servizio per riportarlo alla modalità normale.
              n   Esegui reimage (livello di SP) - Consente di eseguire il reimage dell'SP selezionato.
                  Durante l'operazione di reimage, il software di sistema sull'SP viene analizzato e si tenta di
                  risolvere eventuali problemi automaticamente.
         l    CLI Unisphere:
              n   La CLI Unisphere fornisce un'interfaccia a riga di comando per la stessa funzionalità
                  disponibile all'interno di Unisphere.
         l    Interfaccia script di servizio SSH:
              n   Un'interfaccia a riga di comando accessibile attraverso un client SSH che fornisce
                  funzioni specifiche di servizio per la diagnosi, la risoluzione dei problemi e la risoluzione
                  delle criticità nell'ambito del sistema di storage.
         l    Interfaccia tramite la porta di servizio Ethernet dell'SP:
              n   Fornisce le stesse funzionalità diagnostiche e di risoluzione dei problemi dell'interfaccia di
                  servizio SSH, ad eccezione del fatto che l'accesso viene fornito mediante un'interfaccia
                  che utilizza la porta di servizio Ethernet su ciascuno SP. Tale porta deve essere utilizzata
                  esclusivamente come porta di connessione diretta (Serial over LAN). Per ulteriori
                  informazioni, vedere Porta di servizio Ethernet dell'SP del sistema di storage e IPMItool.

Account di gestione e di servizio predefiniti del sistema di
storage
             Il sistema di storage viene fornito con impostazioni predefinite per l'account utente da utilizzare
             per l'accesso e la configurazione iniziale del sistema di storage. Vedere Impostazioni predefinite in
             fabbrica per l'account utente.

             Tabella 3 Impostazioni predefinite in fabbrica per l'account utente

             Tipo di account           Nome utente               Password                  Autorizzazioni

             Gestione (Unisphere)      Exchange                  Password123#              Privilegi di
                                                                                           amministratore per la
                                                                                           reimpostazione delle
                                                                                           password predefinite,
                                                                                           la configurazione delle
                                                                                           impostazioni di

                                                     EMC® VNXe® Series Guida alla configurazione della sicurezza             9
Controllo dell'accesso

                         Tabella 3 Impostazioni predefinite in fabbrica per l'account utente (continua)

                         Tipo di account          Nome utente             Password                 Autorizzazioni

                                                                                                   sistema, la creazione
                                                                                                   di account utente e
                                                                                                   l'assegnazione dello
                                                                                                   storage.

                         Servizio                 service                 service                  Eseguire operazioni di
                                                                                                   servizio.

                              Nota: durante il processo di configurazione iniziale è necessario modificare la password per gli
                              account predefiniti amministratore e servizio.

Gestione degli account del sistema di storage
                         La tabella Metodi di gestione degli account illustra i modi in cui è possibile gestire gli account del
                         sistema di storage.

                         Tabella 4 Metodi di gestione degli account

Ruoli degli account         Descrizione

Management                  Al termine del processo di configurazione iniziale del sistema di storage, è possibile gestire
                            gli account di gestione del sistema di storage da Unisphere o dalla CLI Unisphere. È possibile
                            creare, modificare, eliminare o riconfigurare le impostazioni delle password per gli account
                            locali del sistema di storage, oltre che assegnare o modificare i ruoli per gli account che
                            determinano i privilegi degli utenti che li utilizzano.

Service                     Non è possibile creare né eliminare account di servizio del sistema di storage. Per
                            reimpostare la password dell'account di servizio, utilizzare la funzione Modifica password
                            di servizio dalla pagina Servizio di Unisphere.

                              Nota: È possibile reimpostare le password predefinite degli account del sistema di storage
                              premendo il pulsante di ripristino password situato sullo chassis del sistema di storage. La
                              Guida online di Unisphere fornisce ulteriori informazioni.

Unisphere
                         L'autenticazione per l'accesso a Unisphere viene effettuata in base alle credenziali dell'account
                         utente (locale o LDAP). Gli account utente vengono creati e successivamente gestiti tramite la
                         pagina Gestione amministrazione Unisphere. L'autorizzazione applicabile a Unisphere varia a
                         seconda del ruolo associato all'account utente.
                         Autenticazione
                         Prima che possa scaricare il contenuto dell'interfaccia utente di Unisphere in una workstation di
                         gestione, l'utente deve fornire le credenziali di autenticazione e stabilire una sessione nel sistema di
                         storage. Quando l'utente specifica l'indirizzo di rete del sistema di storage come URL in un web
                         browser, visualizza una pagina di login in cui può selezionare l'autenticazione come utente locale o
                         tramite un server di directory LDAP. Le credenziali fornite verranno autenticate e al
                         completamento dell'autenticazione verrà creata una sessione di gestione dell'interfaccia utente nel
                         sistema di storage. Successivamente, l'interfaccia utente di Unisphere verrà scaricata e verrà
                         creata un'istanza nella workstation di gestione dell'utente. L'utente sarà quindi in grado di

10        EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

                      monitorare e gestire il sistema di storage nell'ambito delle funzionalità del ruolo che gli è stato
                      assegnato.
                      LDAP
                      Il protocollo LDAP (Lightweight Directory Access Protocol) è un protocollo applicativo per
                      l'esecuzione di query sui servizi di directory in esecuzione su reti TCP/IP. Il protocollo LDAP
                      consente di ottenere una gestione centrale per le operazioni di autorizzazione di rete aiutando a
                      centralizzare la gestione di utenti e gruppi all'interno della rete. L'integrazione del sistema in un
                      ambiente LDAP esistente fornisce un modo per controllare l'accesso dell'utente e di gruppi di
                      utenti al sistema mediante la CLI Unisphere o Unisphere.
                      Dopo aver configurato le impostazioni LDAP per il sistema, è possibile gestire utenti e gruppi di
                      utenti, all'interno del contesto di una struttura di directory LDAP stabilita. Ad esempio, è possibile
                      assegnare autorizzazioni di accesso alla CLI Unisphere in base agli utenti e ai gruppi esistenti. il
                      sistema utilizza le impostazioni LDAP solo per facilitare il controllo dell'accesso alla CLI Unisphere e
                      a Unisphere, non per l'accesso a ogni risorsa di storage.
                      Regole per le sessioni
                      Le sessioni di Unisphere hanno le seguenti caratteristiche:
                      l    Termine di scadenza di un'ora
                      l    Il timeout delle sessioni non è configurabile
                      l    Gli ID sessione vengono generati durante l'autenticazione e vengono utilizzati per la durata di
                           ciascuna sessione
                      Uso della password
                      I nomi utente e le password degli account Unisphere devono rispettare tali requisiti, come indicato
                      nella tabella Requisiti per gli account Unisphere.

                      Tabella 5 Requisiti per gli account Unisphere

Limitazione                                                                          Requisiti per la password

Numero minimo di caratteri                                                           8

Numero minimo di caratteri maiuscoli                                                 1

Numero minimo di caratteri minuscoli                                                 1

Numero minimo di caratteri numerici                                                  1

Numero minimo di caratteri speciali                                                  1
l   I caratteri speciali supportati includono:
    n   !,@#$%^*_~?

Numero massimo di caratteri                                                          40

                           Nota: È possibile modificare le password degli account in Unisphere facendo clic su
                           Impostazioni > Ulteriori opzioni di configurazione > Gestione amministrazione. Quando si
                           modifica la password, non è possibile riutilizzare una delle ultime tre password. La Guida online
                           di Unisphere fornisce ulteriori informazioni.
                      Autorizzazione
                      La tabella Ruoli e privilegi per gli utenti locali mostra i ruoli assegnabili agli utenti locali del sistema
                      di storage e i privilegi associati a tali ruoli. Inoltre, è possibile assegnare questi ruoli a utenti e
                      gruppi LDAP.

                                                            EMC® VNXe® Series Guida alla configurazione della sicurezza        11
Controllo dell'accesso

                         Tabella 6 Ruoli e privilegi degli utenti locali

Attività                                                   Operator Storage         amministrator Amministratore
                                                           e        Administrator   e             VM

Modifica della password di login locale                    x           x            x

Aggiunta di host                                                                    x

Creazione dello storage                                                x            x

Eliminazione dello storage                                             x            x

Aggiunta di storage object alle risorse di storage                     x            x
(dischi virtuali, share, storage group, ecc.)

Visualizzazione della configurazione e dello stato         x           x            x
dello storage

Visualizzazione degli account utente del sistema                       x            x
di storage.

Aggiunta, eliminazione o modifica degli account                                     x
utente del sistema di storage

Visualizzazione del software corrente o della              x           x            x
stato della licenza

Esecuzione dell'aggiornamento del software o                                        x
della licenza

Esecuzione della configurazione iniziale                                            x

Modifica della configurazione dello storage server                                  x

Modifica delle impostazioni di sistema                                              x

Modifica delle impostazioni di rete                                                 x

Modifica della lingua dell'interfaccia di gestione         x           x            x

Connessioni VASA tra vCenter e il sistema di                                                      x
storage

                          Nel caso del ruolo di amministratore VM, una volta stabilita la connessione tra vCenter e il sistema
                          di storage, un utente vCenter sarà in grado di visualizzare il sottoinsieme della configurazione e
                          dello stato dello storage pertinente al vCenter e ai relativi server ESX. L'utente vCenter potrà
                          visualizzare solo le informazioni consentite tramite i meccanismi di controllo dell'accesso vCenter.
                              Nota: È possibile modificare i ruoli degli account in Unisphere facendo clic su Impostazioni >
                              Ulteriori opzioni di configurazione > Gestione amministrazione. La Guida online di Unisphere
                              fornisce ulteriori informazioni.
                          Supporto NAT
                          La configurazione NAT non è supportata per effettuare il login in locale al sistema di storage
                          tramite Unisphere.

Interfaccia a riga di comando (CLI) Unisphere
                          La CLI Unisphere fornisce un'interfaccia a riga di comando per la stessa funzionalità disponibile
                          all'interno di Unisphere.

12         EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

          L'esecuzione della CLI Unisphere richiede un software speciale per riga di comando del sistema di
          storage. È possibile scaricarlo dal sito web di Supporto Online EMC all'indirizzo www.emc.com/
          vnxesupport.
          Regole per le sessioni
          Il client CLI di Unisphere non supporta le sessioni. È necessario utilizzare la sintassi a linee di
          comando per specificare il nome utente e la password dell'account con ciascun comando impartito.
          È possibile utilizzare il comando CLI di Unisphere -saveuser per salvare le credenziali di accesso
          (nome utente e password) per un account specifico in un file del lockbox protetto che risiede
          localmente sull'host in cui viene installata la CLI Unisphere. I dati memorizzati sono disponibili solo
          sull'host in cui sono stati salvati e per l'utente che li ha salvati. Dopo aver salvato le credenziali di
          accesso, la CLI le applica automaticamente alla destinazione e alla porta specificate del sistema di
          storage ogni volta che si esegue un comando.
          Utilizzo delle password
          L'autenticazione per la CLI di Unisphere viene eseguita in base agli account di gestione creati e
          gestiti mediante Unisphere. Gli stessi permessi che si applicano a Unisphere si applicano anche ai
          comandi specifici, in base al ruolo associato all'attuale account di accesso.
          Impostazioni salvate
          È possibile salvare le seguenti impostazioni sull'host in cui si esegue la CLI di Unisphere:
          l   Le credenziali di accesso dell'utente, incluso il nome utente e la password, per ciascun sistema
              a cui si ha accesso.
          l   Certificati SSL importati dal sistema.
          l   Informazioni sul sistema predefinito a cui accedere mediante la CLI di Unisphere, incluso il
              nome di sistema o l'indirizzo IP e il numero di porta del sistema.
          La CLI di Unisphere salva le impostazioni in un lockbox protetto, che risiede localmente sull'host in
          cui viene installata la CLI di Unisphere. I dati memorizzati sono disponibili solo sull'host in cui sono
          stati salvati e per l'utente che li ha salvati. Il lockbox risiede nei seguenti percorsi:
          l   In Windows XP: C:\Documents and Settings\\Local Settings
              \ApplicationData\EMC\UEM CLI\
          l   In Windows 7 o Windows 8: C :\Users\${user_name}\AppData\Local\.EMC\UEM CLI
              \
          l   In UNIX/Linux: /EMC/UEM CLI
          Individuare i file config.xml e config.key. Se si disinstalla la CLI Unisphere, le directory e i file non
          vengono eliminati ed è possibile conservarli. Se i file non sono più necessari, è possibile eliminarli.

Interfaccia di servizio SSH del sistema di storage
          Se abilitata, l'interfaccia di assistenza VNXe del sistema di storage fornisce un'interfaccia della riga
          di comando per l'esecuzione di funzionalità correlate e sovrapposte a quelle disponibili dalla pagina
          di assistenza Unisphere (Impostazioni > Esegui manutenzione sistema).
          L'account di servizio consente agli utenti di eseguire le seguenti funzioni:
          l   Eseguire comandi di servizio specializzati del sistema di storage per il monitoraggio e la
              risoluzione dei problemi legati alle impostazioni e alle attività del sistema di storage.
          l   Utilizzare i comandi Linux standard come membro di un account utente Linux senza privilegi.
              Questo account non dispone dell'accesso a file di sistema proprietari, a file di configurazione o
              a dati di utenti/clienti.
          L'impostazione dell'interfaccia di assistenza del sistema di storage SSH è persistente tra i riavvii
          del sistema, i failover, nella modalità di assistenza e nella modalità normale. Pertanto, l'abilitazione

                                              EMC® VNXe® Series Guida alla configurazione della sicurezza        13
Controllo dell'accesso

                         dell'interfaccia di assistenza SSH del sistema di storage manterrà l'interfaccia abilitata finché non
                         viene esplicitamente disattivata dalla pagina del sistema di assistenza Unisphere (da Impostazioni
                         selezionare Esegui manutenzione sistema > Componenti di sistema > Sistema di storage >
                         Interventi di assistenza > Disabilita SSH.
                              Nota: Per accedere alla pagina Esegui manutenzione sistema, è necessario immettere la
                              password di assistenza.
                         Per garantire la massima sicurezza del sistema, si consiglia di lasciare sempre disabilitata
                         l'interfaccia di assistenza SSH del sistema di storage salvo il caso in cui sia specificatamente
                         necessaria per eseguire operazioni di assistenza sul sistema di storage. Dopo aver eseguito le
                         operazioni di assistenza necessarie, disabilitare l'interfaccia di SSH per assicurarsi che il sistema
                         rimanga protetto.
                         Sessioni
                         Le sessioni dell'interfaccia di servizio SSH del sistema di storage vengono sottoposte a
                         manutenzione in base alle impostazioni stabilite dal client SSH. Le caratteristiche delle sessioni
                         vengono determinate dalle impostazioni di configurazione dei client SSH.
                         Uso della password
                         L'account di assistenza è un account che il personale di assistenza può usare per eseguire comandi
                         Linux di base.
                         La password predefinita per l'interfaccia di servizio del sistema di storage è service. Quando si
                         esegue la configurazione iniziale per il sistema di storage, è necessario modificare la password di
                         servizio predefinita. Le restrizioni delle password sono identiche a quelle che si applicano agli
                         account di gestione Unisphere (consultare la sezione Uso della password). Per informazioni sul
                         comando di servizio del sistema di storage svc_service_password, utilizzato per gestire le
                         impostazioni della password per l'account di servizio del sistema di storage, consultare il
                         documento sulle note tecniche, VNXe Service Commands.
                         Autorizzazione
                         Come mostrato in Definizioni dell'autorizzazione per l'account di servizio, l'autorizzazione per
                         l'account di servizio viene definita in due modi diversi.

                         Tabella 7 Definizioni delle autorizzazioni degli account di assistenza

Tipo di autorizzazione             Descrizione

Autorizzazioni dei file system Le autorizzazioni per il file system definiscono gran parte delle attività che l'account
Linux                          di servizio può o non può eseguire nel sistema di storage. Ad esempio, gran parte
                               degli strumenti e delle utilità Linux che modificano il funzionamento del sistema in
                               qualsiasi modo richiede privilegi per l'account da superuser. Poiché l'account di
                               servizio non possiede tali diritti di accesso, non può utilizzare strumenti e utility Linux
                               per i quali non possiede autorizzazioni di esecuzione e non può modificare file di
                               configurazione che richiedono l'accesso utente root per lettura o modifica o per
                               entrambe.

Access control list (ACL)          Il meccanismo ACL del sistema di storage utilizza un elenco di regole molto
                                   specifiche per concedere o negare esplicitamente l'accesso alle risorse di sistema
                                   dall'account di assistenza. Tali regole specificano le autorizzazioni per l'account di
                                   assistenza per altre aree del sistema di storage che non vengono altrimenti definite
                                   dalle autorizzazioni per i file system Linux standard.

                         Comandi di servizio del sistema di storage
                         Nell'ambiente operativo (OE) del sistema di storage sono installati comandi per il ripristino e la
                         configurazione del sistema, nonché per la diagnostica dei problemi. Questi comandi forniscono

14        EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

           informazioni dettagliate e un livello di controllo del sistema inferiore rispetto a quello disponibile
           tramite Unisphere. Il documento sulle note tecniche Comandi di assistenza VNXe descrive questi
           comandi e i relativi use case comuni.

Porta di servizio Ethernet dell'SP del sistema di storage e
IPMItool
           I sistemi di storage con OE 3.0 o versioni successive consentono di accedere alla console da una
           porta di servizio Ethernet situata su ogni SP. Tale accesso richiede l'utilizzo di IPMItool, uno
           strumento di rete simile a ssh o telnet che si interfaccia con ogni SP tramite una connessione
           Ethernet utilizzando il protocollo IPMI. IPMItool è un'utility di Windows che negozia un canale di
           comunicazione sicuro per l'accesso alla console di un sistema di storage tramite SP. Per attivare la
           console, l'utility richiede le credenziali di login e un indirizzo IP. Per ulteriori informazioni su
           IPMItool, vedere il documento IPMItool User Guide Technical Notes.
           L'interfaccia tramite la porta di servizio Ethernet dell'SP fornisce le stesse funzioni e funzionalità
           dell'interfaccia SSH di servizio ed è inoltre soggetta alle stesse limitazioni. La differenza risiede nel
           fatto che gli utenti accedono all'interfaccia mediante un collegamento alla porta Ethernet, anziché
           un client SSH.
           Per un elenco dei comandi di servizio fare riferimento al documento VNXe Service Commands
           Technical Notes.

SMI-S Provider
           SMI-S Provider non apporta modifiche sul fronte della sicurezza. Un client SMI-S si connette al
           sistema di storage tramite HTTPS sulla porta 5989. Il login degli utenti non differisce da quello
           degli utenti per CLI o UI di Unisphere. Tutte le regole di sicurezza valide per gli utenti di UI e CLI si
           applicano anche alle connessioni SMI-S. Gli utenti per UI e CLI di Unisphere possono eseguire
           l'autenticazione tramite l'interfaccia SMI-S. Non vengono definiti utenti distinti per l'interfaccia
           SMI-S. Dopo l'autenticazione, il client SMI-S dispone degli stessi privilegi definiti per gli utenti per
           UI e CLI di Unisphere. In SMI-S Provider Programmer's Guide for VNXe sono disponibili informazioni
           sulla configurazione del servizio.

Supporto per vSphere Storage API for Storage Awareness
           vSphere Storage API for Storage Awareness (VASA) è un'API indipendente dal vendor, definita da
           VMware, per storage awareness. Si tratta di un'interfaccia web proprietaria basata su SOAP
           utilizzata solo per fini di monitoraggio da client VMware, anziché Unisphere. VASA è solo
           un'interfaccia per la generazione di report e viene utilizzata per richiedere informazioni di base sul
           sistema di storage e sugli storage device che espone all'ambiente virtuale al fine di facilitare le
           attività giornaliere di provisioning, monitoraggio e risoluzione dei problemi tramite vSphere. Il
           vendor provider (VP) VASA viene eseguito sullo storage processor (SP) attivo del sistema di
           storage. Gli utenti vSphere devono configurare l'istanza VP come provider di informazioni VASA
           per ogni sistema di storage. In caso di guasto di un SP, il processo correlato verrà riavviato sull'SP
           peer, insieme al VP VASA. Il failover dell'indirizzo IP viene eseguito automaticamente.
           Internamente il protocollo rileverà un errore durante l'acquisizione degli eventi di modifica alla
           configurazione dal nuovo VP attivo, ma ciò provocherà una risincronizzazione automatica degli
           oggetti VASA senza alcun intervento da parte dell'utente.
           Autenticazione correlata a VASA
           Per avviare una connessione da vCenter al VP Unisphere, è necessario utilizzare il client vSphere
           per inserire tre informazioni chiave:

                                               EMC® VNXe® Series Guida alla configurazione della sicurezza        15
Controllo dell'accesso

                         l   URL del VP, utilizzando il seguente formato:
                             n   https://:5989/vasa/services/vasaServices
                         l   nome utente di un utente Unisphere, con il ruolo di amministratore VM o amministratore:
                             n   per gli utenti locali utilizzare la sintassi: local/
                             n   per gli utenti LDAP utilizzare la sintassi: /
                         l   password associata all'utente
                             Nota: È preferibile utilizzare il ruolo di amministratore VM in quanto è un ruolo di sola lettura.

                         Le credenziali Unisphere vengono utilizzate solo durante la fase iniziale della connessione. Se le
                         credenziali Unisphere sono valide per il sistema di storage di destinazione, il certificato del server
                         vCenter viene registrato automaticamente con il sistema di storage. Tale certificato verrà utilizzato
                         per autenticare tutte le richieste successive da parte di vCenter. L'installazione o l'upload del
                         certificato per il VP non richiede passaggi manuali. Se il certificato è scaduto, il vCenter deve
                         registrare un nuovo certificato per supportare una nuova sessione. Se il certificato è revocato
                         dall'utente, la sessione viene invalidata e la connessione interrotta.
                         Sessione vCenter, connessione sicura e credenziali
                         Una sessione vCenter viene avviata quando un amministratore vSphere utilizza il client vSphere
                         per fornire l'URL del VP VASA e le credenziali di login al server vCenter. Il server vCenter utilizza
                         URL, credenziali e certificato SSL del VP VASA per stabilire una connessione sicura con il VP. Una
                         sessione vCenter termina quando un amministratore utilizza il client vSphere per rimuovere il VP
                         dalla configurazione vCenter e il server vCenter interrompe la connessione.
                         Le sessioni vCenter si basano su comunicazioni HTTPS sicure tra server vCenter e VP.
                         L'architettura VASA utilizza certificati SSL e identificatori di sessione VASA per supportare
                         connessioni sicure. Il server vCenter e il VP aggiungono al proprio store attendibile il certificato
                         dell'altro.
                         Il VP VASA fornisce a vCenter le seguenti informazioni:
                         l   Visibilità di storage: rileva internamente le modifiche delle proprietà, inviando le informazioni
                             aggiornate a vCenter
                         l   Alarm per stato e capacità: monitora internamente le modifiche dello stato di integrità e il
                             superamento dei livelli di soglia associati alla capacità, sollevando gli alarm appropriati per
                             vCenter:
                             n   stato di integrità per l'array, gli SP, le porte di I/O, le LUN e i file system
                             n   indicazioni di modifica a livello di classe in caso di cambiamento dello stato di integrità di tali
                                 oggetti
                             n   alarm di capacità dello spazio per LUN e file system
                         l   Funzionalità di storage VASA: monitora internamente le modifiche delle funzionalità di storage,
                             generando un report delle funzionalità aggiornate per vCenter
                         l   Integrazione di Storage DRS: vSphere si basa sulle informazioni interne del provider VASA e le
                             inserisce nella logica di business per diversi workflow di Storage DRS

SSO con Unisphere Central
                         La funzionalità di Single Sign-On (SSO) aggiunta a Unisphere Central fornisce servizi di
                         autenticazione per più sistemi di storage con ambiente operativo (OE) versione 3.1 o successive
                         configurati per il suo utilizzo. Questa funzionalità offre agli utenti un modo semplice per effettuare
                         il login a ogni sistema senza richiedere l'autenticazione per ciascuno di essi.
                         Unisphere Central è un server di autenticazione centralizzato che agevola l'SSO. Questa
                         funzionalità consente agli utenti di:

16        EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

             l   Effettuare il login a Unisphere Central, quindi selezionare e avviare Unisphere su un sistema di
                 storage senza dover nuovamente fornire le credenziali di accesso.
             l   Effettuare il login a un sistema di storage e selezionare altri sistemi di storage a cui effettuare il
                 login senza dover nuovamente fornire le credenziali di accesso.
             Unisphere Central eseguirà periodicamente una query per richiedere informazioni sullo stato
             provenienti dai sistemi di storage che gestisce. L'identità associata alle richieste eseguite in questo
             contesto è il certificato SSL/X.509 di Unisphere Central. Questo certificato è firmato dalla
             Certificate Authority (CA) di Unisphere Central, considerata attendibile da ogni istanza del sistema
             di storage che Unisphere Central può gestire in base alla propria configurazione.
             Questa funzione fornisce inoltre la funzionalità Single Sign-Off; ad esempio, quando un utente si
             disconnette da Unisphere Central, può disconnettersi contemporaneamente da tutte le sessioni
             associate a un sistema di storage 3.1.
             Requisiti
             Per utilizzare la funzionalità SSO sono necessari i seguenti requisiti:
             l   Deve essere utilizzato Unisphere Central 4.0 o versione successiva.
             l   Sia il server Unisphere Central che i sistemi di storage devono essere configurati per effettuare
                 l'autenticazione con la stessa directory AD/LDAP.
             l   L'utente LDAP deve essere mappato direttamente a un ruolo di Unisphere oppure
                 rappresentare un membro di un gruppo AD/LDAP mappato a un ruolo Unisphere sia sul sistema
                 di storage che su Unisphere Central.
             l   In ogni sistema di storage deve essere eseguito il sistema operativo (OE) 3.1 o versione
                 successiva e deve essere abilitata la funzionalità SSO.
             l   L'utente deve effettuare il login come utente LDAP.
                 Nota: Nel caso in cui tali requisiti non siano soddisfatti, l'utente deve effettuare il login al
                 singolo sistema come utente locale e fornire le credenziali di autenticazione per accedere al
                 sistema.
             È necessario disporre dei privilegi di amministratore o di Storage Administrator per abilitare SSO.
             Gli utenti con privilegi di amministratore VM o operatore non possono abilitare SSO. Utilizzare il
             seguente comando uemcli per abilitare SSO:
             Uemcli -d  -u  -p  /sys/ur set -ssoEnabled yes
             Ogni sistema di storage configurato con questa funzionalità abilitata può essere un client del server
             di autenticazione centralizzato e fare parte dell'ambiente SSO. Per ulteriori informazioni su questo
             comando, consultare la Guida utente della CLI Unisphere.
             Considerazioni e limitazioni
             Sono supportati i seguenti web browser:
             l   Google Chrome 33 o versioni successive
             l   Microsoft Internet Explorer 10 o versioni successive
             l   Mozilla Firefox 28 o versioni successive
             l   Apple Safari 6 o versioni successive
             Il timeout della sessione utente tra il web client e il server di autenticazione centralizzato è di 45
             minuti.
             Il timeout della sessione dell'applicazione tra il web client e il sistema di storage è di un'ora.

Flussi del processo di SSO
             Le seguenti sequenze rappresentano i flussi del processo di autenticazione relativi alla funzionalità
             SSO associata a Unisphere Central.

                                                 EMC® VNXe® Series Guida alla configurazione della sicurezza        17
Controllo dell'accesso

                         Accesso a un sistema di storage tramite Unisphere Central
                          1. L'utente avvia un web browser su una workstation di gestione e specifica l'indirizzo di rete di
                             Unisphere Central come URL.
                          2. Il web server reindirizza il browser a un URL di login locale di Unisphere Central e all'utente
                             viene presentata una schermata di login.
                          3. L'utente digita e invia le credenziali di login LDAP. Il nome utente è nel formato /nome utente.
                          4. È impostato un token di sessione e il sistema reindirizza nuovamente il browser all'URL originale
                             specificato.
                          5. Il browser scarica il contenuto di Unisphere e viene creata un'istanza di Unisphere Central.
                          6. L'utente accede quindi attraverso Unisphere a un sistema di storage specifico da monitorare.
                          7. L'utente seleziona l'indirizzo di rete del sistema di storage.
                          8. Viene creata una nuova finestra del browser con l'URL del sistema di storage.
                          9. Il browser viene reindirizzato al server di autenticazione di Unisphere Central in cui l'utente ha
                             già effettuato l'autenticazione.
                         10. Il browser viene reindirizzato nuovamente alla pagina di download di Unisphere e viene stabilita
                             una sessione con il sistema di storage utilizzando il nuovo ticket di servizio.
                         11. Unisphere viene scaricato e viene creata un'istanza.
                         12. L'utente avvia la gestione/il monitoraggio del sistema di storage.
                         Accesso ai sistemi di storage associati a Unisphere Central
                          1. L'utente avvia un web browser su una workstation di gestione e specifica l'indirizzo di rete di
                             un sistema di storage come URL.
                          2. Il browser viene reindirizzato al servizio di login locale di Unisphere Central e all'utente viene
                             presentata una schermata di login.
                          3. L'utente digita e invia le credenziali di login LDAP. Il nome utente è nel formato /nome utente.
                          4. Un token di sessione è impostato come cookie e il sistema reindirizza nuovamente il browser
                             all'URL originale specificato.
                          5. Il browser scarica il contenuto di Unisphere e viene creata un'istanza di Unisphere.
                          6. L'utente apre quindi un'altra finestra o scheda del web browser e specifica l'indirizzo di rete di
                             un altro sistema di storage come URL.
                          7. Il browser viene reindirizzato al server di autenticazione di Unisphere Central in cui l'utente ha
                             già effettuato l'autenticazione. Viene creato un nuovo ticket di servizio.
                          8. Il browser viene reindirizzato nuovamente alla pagina di download di Unisphere e viene stabilita
                             una sessione con il secondo sistema di storage utilizzando il nuovo ticket di servizio.
                          9. Viene scaricato Unisphere per il secondo sistema di storage e viene creata un'istanza.
                         10. L'utente avvia la gestione/il monitoraggio del secondo sistema di storage.
                         Gestione attiva attraverso Unisphere Central
                          1. L'utente avvia un web browser su una workstation di gestione e specifica l'indirizzo di rete di
                             Unisphere Central come URL.
                          2. Il web server reindirizza il browser a un URL di login locale di Unisphere Central.
                          3. All'utente viene presentata una schermata di login.

18        EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

                 4. L'utente digita e invia le credenziali di login LDAP. Il nome utente è nel formato /nome utente.
                 5. È impostato un token di sessione e il sistema reindirizza nuovamente il browser all'URL originale
                    specificato.
                 6. Il browser scarica il contenuto di Unisphere e viene creata un'istanza di Unisphere Central.
                 7. L'utente può ora avviare un'operazione che modificherà la configurazione di uno o più sistemi di
                    storage gestiti dall'istanza di Unisphere Central.

Accesso a un sistema di storage locale
             Se si utilizza un account locale o se non è possibile collegarsi al server di autenticazione di
             Unisphere Central, si può eseguire il login a un sistema di storage locale utilizzando il server di
             autenticazione che risiede sul sistema anziché accedere mediante Unisphere Central. Esistono due
             modi per effettuare il login al sistema di storage in locale:
             l     Quando il browser viene reindirizzato al server di autenticazione di Unisphere Central, è
                   disponibile un'opzione che consente all'utente di tornare al sistema ed eseguire il login a livello
                   locale.
             l     Se Unisphere Central non è accessibile, è possibile utilizzare la seguente sintassi URL per
                   ricercare o accedere al sistema ed eseguire il login in locale: https://
                   ?casHome=LOCAL
             dove storagesystemIP è l'indirizzo IP del sistema di storage.

Supporto SSO e NAT
             SSO non supporta la configurazione NAT. Inoltre, la configurazione NAT non è supportata per
             effettuare il login in locale al sistema di storage tramite Unisphere.

Protezione degli object del file system
             In un ambiente multiprotocollo, il sistema di storage utilizza le proprie policy di sicurezza per
             stabilire come riconciliare le differenze tra la semantica di controllo dell'accesso di NFS e quella del
             protocollo CIFS.
             Modello di sicurezza Unix
             I diritti di accesso UNIX vengono definiti come bit di modalità di un object del file system. Sono
             rappresentati da una stringa di bit in cui ogni bit rappresenta una modalità di accesso o privilegio
             assegnato all'utente proprietario del file, al gruppo associato all'object del file system e a tutti gli
             altri utenti. I bit di modalità UNIX vengono rappresentati sotto forma di tre set di triplette
             concatenate di rwx (lettura, scrittura ed esecuzione) per ciascuna categoria di utenti (utente,
             gruppo o altro).
             Modello di sicurezza Windows
             Il modello di sicurezza Windows si basa principalmente sui diritti di ciascun object, che
             comprendono l'utilizzo di un descrittore della sicurezza (SD) e del relativo elenco di controllo
             dell'accesso (ACL).
             L'accesso a un object del file system è diverso a seconda che le autorizzazioni siano impostate su
             Concedi o Nega attraverso l'uso di un SD. L'SD descrive il proprietario dell'object e i group SID per
             l'object stesso, insieme ai relativi ACL. Un ACL fa parte del descrittore della sicurezza di ciascun
             object. Ogni ACL contiene voci di controllo dell'accesso (ACE). Ogni ACE a sua volta, contiene un
             singolo SID che identifica un utente, un gruppo o un computer e un elenco dei diritti concessi o
             negati per tale SID.

                                                  EMC® VNXe® Series Guida alla configurazione della sicurezza        19
Controllo dell'accesso

Accesso a file system in un ambiente multiprotocollo
                         L'accesso ai file è fornito tramite i server NAS. Un server NAS include un set di file system in cui
                         vengono archiviati i dati. Il server NAS fornisce l'accesso a questi dati per i protocolli basati su file
                         NFS, CIFS e FTP attraverso l'esportazione dei file system tramite share CIFS e NFS (note anche
                         come esportazioni NFS). La modalità server NAS per la condivisione multiprotocollo consente la
                         condivisione degli stessi dati tra CIFS e NFS. Poiché la modalità di condivisione multiprotocollo
                         fornisce l'accesso simultaneo di CIFS e NFS a un file system, il mapping degli utenti Windows agli
                         utenti UNIX e la definizione delle regole di sicurezza da utilizzare (bit di modalità, ACL e credenziali
                         utente) devono essere considerati e configurati correttamente per la condivisione multiprotocollo.
                             Nota: Per informazioni sulla condivisione e la gestione dei server NAS in relazione a
                             configurazione multiprotocollo, user mapping, policy di accesso e credenziali utente, fare
                             riferimento alla guida online di Unisphere e alla Guida utente della CLI Unisphere.

User mapping
                         In un contesto multiprotocollo, affinché la protezione del file system possa essere applicata, anche
                         se non nativa del protocollo, l'utente di Windows dovrà essere mappato a un utente UNIX e
                         viceversa. L'user mapping racchiude i seguenti componenti:
                         l   Servizi di directory UNIX
                         l   Resolver Windows
                         l   Secmap
                         l   NTXMAP
                         Servizi di directory UNIX
                         I servizi di directory UNIX (UDS) consentono di determinare quanto segue relativamente all'user
                         mapping:
                         l   Da un determinato ID utente (UID), restituiscono il nome dell'account UNIX corrispondente.
                         l   Da un determinato nome di account UNIX, restituiscono l'UID e il group ID principale (GID)
                             corrispondenti.
                         I servizi supportati sono:
                         l   LDAP
                         l   NIS
                         Per ogni server NAS, esiste massimo un UDS attivo alla volta. I servizi UDS devono essere attivati
                         quando è abilitata la condivisione multiprotocollo. I servizi UDS da utilizzare vengono determinati
                         dalla proprietà unix-directory-service del server NAS.
                         Resolver Windows
                         I resolver Windows consentono di determinare quanto segue relativamente all'user mapping:
                         l   Da un determinato SID, restituiscono il nome dell'account Windows corrispondente
                         l   Da un determinato nome di account Windows, restituiscono il SID corrispondente
                         I resolver Windows sono:
                         l   Il controller di dominio (DC) del dominio
                         l   Il database dei gruppi locali (LGDB) del server CIFS

20        EMC® VNXe® Series Guida alla configurazione della sicurezza
Controllo dell'accesso

             Secmap
             La funzione Secmap consente di archiviare tutti i mapping da SID a UID/GID primari e da UID a SID
             in modo da garantire la coerenza su tutti i file system del server NAS.
             NTXMAP
             NTXMAP consente di associare un account Windows a un account UNIX quando il nome è
             differente. Ad esempio, se è presente un utente che dispone di un account denominato Gerald su
             Windows ma l'account su UNIX è denominato Gerry, NTXMAP consente di eseguire la correlazione
             tra i due.

Policy di accesso per NFS, CIFS e FTP
             In un ambiente multiprotocollo, il sistema di storage utilizza policy di accesso per i file system al
             fine di gestire il controllo dell'accesso utente dei relativi file system. Esistono due tipi di sicurezza,
             Windows e UNIX.
             Per quanto riguarda l'autenticazione di sicurezza UNIX, le credenziali vengono create dai servizi di
             directory UNIX (UDS). I diritti dell'utente sono determinati dai bit di modalità. Gli ID utente e i
             group ID (rispettivamente UID e GID) vengono utilizzati per l'identificazione. Non vi sono privilegi
             associati alla sicurezza UNIX.
             Per quanto riguarda invece l'autenticazione di sicurezza Windows, le credenziali vengono create
             dal controller di dominio (DC) Windows e dal database LGDB (Local Group Database) del server
             CIFS. I diritti dell'utente sono determinati dagli ACL CIFS. Il SID viene utilizzato per
             l'identificazione. Esistono privilegi associati alla sicurezza di Windows, come ad esempio
             TakeOwnership, Backup e Restore, i quali sono concessi dal database LGDB del server CIFS.
             Esistono tre policy di accesso, che definiscono quale sicurezza è utilizzata da quali protocolli:
             l   UNIX: la sicurezza UNIX viene utilizzata sia per NFS che per CIFS.
             l   Windows: la sicurezza Windows viene utilizzata sia per NFS che per CIFS.
             l   Nativa: consente di utilizzare la protezione nativa del protocollo UNIX per NFS o Windows per
                 CIFS.
             La policy di accesso UNIX garantisce l'accesso a livello di file tramite la sicurezza UNIX, che utilizza
             le credenziali UNIX per tutti i protocolli e applica ad essi solo i bit di modalità. Con l'elaborazione
             delle richieste dei protocolli a livello di file per l'accesso CIFS, le credenziali UNIX create dai servizi
             UDS abilitati vengono utilizzate per verificare i bit di modalità. L'accesso viene quindi concesso o
             negato in base ai bit di modalità. Gli ACL Windows vengono ignorati, anche per l'accesso utente
             tramite CIFS.
             La policy di accesso di Windows garantisce l'accesso a livello di file attraverso la sicurezza
             Windows. Questa policy utilizza le credenziali Windows per tutti i protocolli e applica solo l'ACL
             CIFS a tutti i protocolli. Con l'elaborazione delle richieste dei protocolli a livello di file per l'accesso
             NFS, le credenziali Windows create dal controller di dominio e dal database LGDB vengono
             utilizzate per verificare l'ACL CIFS. L'accesso viene quindi concesso o negato in base all'ACL CIFS.
             I bit di modalità UNIX vengono ignorati, anche per l'accesso utente tramite NFS.
             La policy di accesso Nativa garantisce l'accesso a livello di file tramite la protezione Nativa che
             utilizza le credenziali UNIX per il protocollo NFS o le credenziali Windows per il protocollo CIFS e
             applica i bit di modalità solo a NFS o gli ACL CIFS solo a CIFS. Con l'elaborazione delle richieste
             NFS a livello di file, le credenziali UNIX associate alla richiesta consentono di verificare i bit di
             modalità. L'accesso viene quindi concesso o negato. Con l'elaborazione delle richieste CIFS a livello
             di file, le credenziali Windows associate alla richiesta consentono di verificare l'ACL CIFS.
             L'accesso viene quindi concesso o negato. Non viene eseguita alcuna sincronizzazione tra i bit di
             modalità e l'elenco di controllo dell'accesso di tipo discrezionale (DACL) CIFS, in quanto sono
             indipendenti.
             Per quanto concerne il protocollo FTP, l'autenticazione con Windows o UNIX dipende dal formato
             del nome utente utilizzato. Se si utilizza l'autenticazione Windows, il controllo dell'accesso FTP è

                                                 EMC® VNXe® Series Guida alla configurazione della sicurezza        21
Puoi anche leggere
Prossima slide ... Annulla