保持设备安全的最佳做法

下表列出 Hewlett Packard Enterprise 建议同时在物理和虚拟环境中采用的一部分安全最佳做法。安全最佳做法因客户及其特定或独特的要求而异。没有一组最佳做法适用于所有客户。

主题

最佳做法

访问
  • 控制对设备的访问

    • 允许访问 HPE 服务

    • 禁止访问“硬件设置”功能,以使安装技术人员无法访问控制台

帐户
  • 限制本地帐户的数量或禁用本地帐户。为设备集成 Microsoft Active Directory 或 OpenLDAP 等企业目录解决方案。使用企业目录功能实现密码到期、复杂性、历史记录以及禁用本地用户和组。
  • 如果使用本地帐户,请用复杂的密码保护内置的 Administrator 帐户。

  • 不要使用内置的 Administrator 帐户。所有用户必须使用自己的凭据登录以便于审核。

审核日志
  • 定期下载设备审核日志。

证书
  • 使用受信任的证书颁发机构 (CA) 签署的证书。

    HPE OneView 使用证书进行身份验证和建立信任关系。从 Web 浏览器到 Web 服务器建立连接时最常使用证书。作为 HTTPS 协议的一部分,使用 SSL 进行机器级别的身份验证。证书还可用于在建立信道时验证设备身份。

    设备支持自签名证书和 CA 签署的证书。

    为设备初始配置了自签名证书用于 Web 服务器和状态更改消息总线 (SCMB)。

    用于安全访问 HPE OneView 的同一 CA 签署证书也用作 SCMB 服务器证书。默认情况下 SCMB 无客户端证书可用,但可从内部 HPE OneView CA 或通过另一受信任的 CA 生成该证书。

    Hewlett Packard Enterprise 建议客户分析其安全需求(即,执行风险评估)并考虑使用受信任的 CA 签署的证书。

    • 应使用贵公司现有的自定义 CA 并导入其信任的证书。必须将受信任的根 CA 证书部署到 HPE OneView 以及 HPE OneView 管理的硬件设备。HPE OneView 执行基于 CA 的证书验证。所有连接到的设备都必须具有受该根 CA 信任的证书。

    • 如果贵公司没有自己的证书颁发机构,请考虑使用商业 CA。有许多第三方公司可提供受信任的证书。您将需要与外部 CA 合作,为特定设备和系统生成证书,然后将这些受信任的证书导入到使用这些证书的组件中。

    基础架构管理员可生成证书签名请求 (CSR),并在收到证书后将其上载到设备 Web 服务器。这样可确保与设备的 HTTPS 连接的完整性和真实性。也可以为 SCMB 上载证书。

    请参阅使用证书颁发机构

网络
  • Hewlett Packard Enterprise 建议创建一个专用管理 LAN,并使用 VLAN 和/或防火墙技术将其与生产 LAN 隔离(称为气隙隔离)。

    • 管理 LAN

      仅准许授权人员访问管理 LAN。例如,基础架构管理员、网络管理员和服务器管理员。

    • 生产 LAN

      将受管设备的所有网卡连接到生产 LAN。

  • Hewlett Packard Enterprise 建议不要将管理系统(如 Composer、iLO)直接连接到 Internet。

    如果需要进行入站 Internet 访问,请使用提供防火墙保护的公司 VPN(虚拟专用网络)。对于出站 Internet 访问(例如,用于远程支持),请使用安全的 Web 代理服务器。要设置 Web 代理,请参阅联机帮助中的“准备远程支持注册”或“配置代理设置”以获取详细信息。

密码
  • Hewlett Packard Enterprise 建议将 HPE OneView 与 Microsoft Active Directory 或 OpenLDAP 等企业目录集成在一起并禁用本地 HPE OneView 帐户,但维护控制台除外。然后,您的企业目录可以实施通用密码管理策略,例如密码生命周期、密码复杂性和最小密码长度。

  • 设备维护控制台使用本地管理员帐户。Hewlett Packard Enterprise 建议对访问设备维护控制台设置密码。

权限

权限用于控制用户能否访问设备和受设备管理的资源。基础架构管理员通过分配权限而向用户和目录组授予权限。权限由角色和可选的作用域组成。该角色授予对资源类别的访问权限。有关权限的详细信息,请参阅《HPE OneView 联机帮助》

  • 角色:HPE OneView 定义一组角色,用于描述用户可对资源类别执行的操作。将角色分配给用户或目录组后,角色授予对受设备管理的资源类别执行操作的权限。基础架构管理员角色应保留用于最高访问权限。请参阅联机帮助中的“关于用户角色”。

    请参阅关于用户角色

  • 作用域:定义作用域并分配一部分资源,后者代表一个或多个用户的管理域。权限中的作用域进一步将角色授予的权限限制为特定的资源实例。因此,适合在权限中对具有不同角色的用户使用一个公共的作用域。

双因素身份验证
更新
受管环境
  • 请仅限授权用户可访问设备控制台,以使只有授权人员可发起 HPE 服务请求,因为这些请求准许以特权访问设备。

  • 如果在所处环境中使用入侵检测系统 (IDS) 解决方案,请确保该解决方案可查看虚拟交换机中的网络流量。