安全概述
IBM Storage Virtualize 基于存储系统的安全存储平台,可实现各种安全相关功能,包括系统级安全和数据级安全。
安全性功能大致分类为 系统安全性 和 数据安全性。 这些安全功能保护和防止对系统,其资源以及存储在系统上的数据进行未经授权的访问和使用。
IBM Storage Virtualize 在存储系统上提供以下安全功能。
系统安全性
系统安全性描述了用于保护系统及其资源免受内部和外部中断的控制。 通常,这些功能可防止对系统资源进行未经授权的访问,并提供事件通知和警报,以警告安全管理员任何未经授权的访问尝试。 IBM Storage Virtualize 系统支持以下系统安全功能:
- 用户认证
- 系统既支持本地用户,也支持通过远程认证服务向系统认证的远程用户。 您可以创建能够访问系统的本地用户。 这些用户类型基于他们在系统上拥有的管理特权来定义。 本地用户必须提供密码和/或 Secure Shell (SSH) 密钥。 本地用户通过系统上配置的认证方法进行认证。 如果本地用户需要访问管理 GUI,那么该用户需要使用密码。 如果用户需要通过 SSH 访问命令行界面 (CLI),那么需要提供密码或有效的 SSH 密钥文件。 使用 PBKDF2 散列算法安全地存储本地用户密码。 本地用户必须属于系统上定义的用户组。 用户组定义了可授权该组中的用户对系统执行一组特定操作的角色。 有关详细信息,请参阅 用户身份验证。
- 远程认证
- 通过远程认证,用户可以使用存储在外部认证服务上的凭证向系统进行认证。 配置远程认证时,您不需要在系统上配置用户或指定其他密码。 相反,您可以使用在远程服务上定义的现有密码和用户组来简化用户管理和访问,更高效地实施密码策略,并将用户管理与存储管理分开。 有关详细信息,请参阅 远程身份验证。
- 基于角色的访问控制
- 管理 GUI 的每个用户都必须提供用户名和密码才能登录。 每个用户还具有关联的角色,例如监视员或安全性管理员。 这些角色都是在系统级别定义的。 例如,某个用户可以是一个系统的管理员,同时又是另一个系统的安全性管理员。 有关详细信息,请参阅 用户。
- 缺省用户
创建系统时,将创建具有 "安全性管理员" 特权 (称为 "超级用户") 的单个本地用户。 超级用户包含用于完成系统设置和配置的最大特权。 对于新系统,必须在首次登录系统时更改缺省超级用户密码。 虽然无法删除超级用户,但您可能希望锁定或禁用超级用户以阻止对系统的访问。 有关更多信息,请参阅 锁定用户帐户。
- 基于对象的访问控制
- 所有权组定义系统内的用户和对象的子集。 有关配置所有权组的更多信息,请参阅 配置所有权组。
- 登录接口
系统提供了多个管理接口,允许用户对系统及其对象进行认证和管理。 这些接口包括管理 GUI ,命令行界面,服务助手界面和命令以及 REST API。 所有接口都对数据使用动态加密,以保护登录以及与系统的所有后续连接。 您可以创建具有特定角色的用户组,以允许或限制该用户组的界面。 通过此功能,您还可以控制来自脚本或自动化服务以及单个用户的访问。 有关更多信息,请参阅 更改用户组。
- 密码策略
- 通过密码策略支持,系统管理员可以设置与密码创建和过期、不活动超时以及登录尝试失败后的操作相关的安全要求。 有关详细信息,请参阅 密码策略。
- 帐户锁定
安全性管理员可以随时手动锁定或解锁用户帐户。 缺省情况下,超级用户可免除手动或自动帐户锁定的系统范围策略。 有关更多信息,请参阅 锁定用户帐户。
- 会话超时
您可以为管理 GUI 和 CLI 配置会话超时。 如果用户在指定的时间内处于空闲状态,那么会话超时会自动将其从会话中退出。 超时值可以是 5-240 分钟。 有关详细信息,请参阅 chsecurity 命令。
- 登录标志
您可以创建或更改用户登录到系统时显示的消息。 当用户使用 管理 GUI,命令行界面或服务助手登录到系统时,将在他们登录到系统之前显示消息。 有关详细信息,请参阅 登录信息。
- 多因素认证
- 多因子认证 要求用户在登录系统以证明其身份时提供多条信息。 多因子认证使用两种或多种方法(称为因子)的任意组合来对用户进行资源认证,并保护这些资源免受未经授权的访问。 有关详细信息,请参阅 多因素身份验证。
- 单点登录
- 单点登录 (SSO) 认证要求用户在首次登录到应用程序时仅注册其凭证一次。 用户信息存储在 身份提供者 (IdP) 中,用于管理用户凭证并确定用户是否需要再次认证。 有关更多信息,请参阅 单点登录。
- 安全 IP 伙伴关系
安全 IP 伙伴关系可在通过生产和恢复系统之间的不可信网络传递数据时对数据加以保护。 安全的 IP 伙伴关系可将黑客在不可信网络中操纵或拦截数据的风险降至最低,因为复制的数据会在合作的系统之间传输。 有关更多信息,请参阅 使用 IP 连接的伙伴关系。
- 审计和报告
系统包含内部防篡改审计日志,用于跟踪所有成功命令并标识发出这些命令的用户。 此信息包括用户详细信息,他们连接到系统的 IP 地址以及时间戳记。 有关详细信息,请参阅 审计日志命令。
- 安全且可信的引导
安全引导对文件系统进行加密,并依赖于硬件信任根,该信任根一直延伸到操作系统和 initrd 以解锁文件系统。 系统支持信任的硬件根和安全引导操作,这可防止对硬件进行未经授权的物理访问,并防止恶意软件在系统上运行。
- 安全套接字和安全 Shell 设置
安全套接字 (SSL/TLS) 和安全 Shell (SSH) 用于建立与管理接口 (例如管理 GUI , CLI 和 REST API) 的安全连接。 这些安全协议还用于向远程服务器 (例如,电子邮件, LDAP 和密钥管理服务器) 进行认证。 系统支持这些安全协议的不同级别,用于定义可使用的密码套件和密钥交换算法。 有关详细信息,请参阅 安全协议级别。
- SSL/TLS 证书
- 在系统初始化期间,将创建初始内部签名证书,以保护系统上节点与受支持的 Web 浏览器之间的连接,从而进行管理 GUI 访问。 在系统设置后,您可以从本机认证中心创建内部签名证书,也可以向外部第三方 CA 生成证书签名请求。 有关详细信息,请参阅 配置系统证书。
- 禁用 USB 端口
此功能可以与本地 USB 闪存驱动器上的加密密钥管理相结合,以在日常使用期间保持端口处于禁用状态,并且仅在必须提供密钥时才重新启用。 有关详细信息,请参阅 chnodeusb 命令。
- 网络时间协议
为了减少基于与其他服务不同步的系统时间/日期的攻击,系统支持可配置的网络时间协议 (NTP) 服务器来控制系统时间。 NTP 服务器只能由具有 "安全性管理员" 角色的用户配置。 有关详细信息,请参阅 chsystem 命令。
- 阻止以 root 用户身份访问
管理软件以没有 root 用户特权的内部 Linux 用户身份运行,从而阻止未经授权的用户访问系统。 虽然外部用户无法访问此软件,但攻击者可能会使用弱点来损害系统。 即使在这种情况下,他们也没有 root 用户特权。
- 禁用服务助手密码重置
超级用户是唯一允许在系统上运行服务助手命令的用户帐户。 您可以使用命令行界面 (CLI) 来查看和更改系统的密码重置功能的状态。
数据安全性
数据安全性可保护存储在系统上的数据免受盗窃,丢失或攻击。
- 对静态数据进行加密
系统支持的所有 NVMe 驱动器 (包括 IBM FlashCore® 模块 (FCM) 和一系列其他第三方驱动器) 都是自加密驱动器 (SED) ,用于加密每个单独驱动器的电路中的数据。
- 安全数据删除
- 系统提供了在节点或节点容器停用时从驱动器或引导驱动器安全擦除数据的方法。 有关详细信息,请参阅 安全删除数据。
- 卷保护
- 卷保护可防止在系统检测到最近 I/O 活动时意外删除活动卷或主机映射。 有关更多信息,请参阅 卷保护。
- Safeguarded Copy 功能
Safeguarded Copy 功能支持创建具有网络弹性的时间点卷拷贝,这些拷贝不会因用户错误、恶意操作或勒索软件攻击而发生更改或被删除。 受保护快照通过快照策略中定义的内部调度程序在系统上受支持。 将策略分配给卷组时,可以选择“受保护”选项。 该策略会为卷组中的所有卷创建不可变快照。 系统支持内部和外部快照调度应用程序,例如 IBM Copy Services Manager 和 IBM® Storage Copy Data Management。
有关详细信息,请参阅配置保护复制功能。- 逻辑端口隔离
系统提供了定义逻辑端口集的方法。 这些端口集可用于进一步限制来自主机或主机集的登录流量,以隔离到特定 SAN 路径的流量。 端口集是与特定流量类型相关联的逻辑地址的分组。 有关详细信息,请参阅 端口集。
- 加密传输中的数据
- 如果使用安全 IP 伙伴关系来保护合作系统之间的连接,那么还需要加密许可证。 如果尚未购买许可证,请联系客户代表以购买加密许可证。 有关详细信息,请参阅 配置加密。