保护设备安全的最佳做法

下表列出 Hewlett Packard Enterprise 建议同时在物理和虚拟环境中采用的一部分安全最佳做法。安全最佳做法因客户及其特定或独特的要求而异。没有一组最佳做法适用于所有客户。

主题

最佳做法

访问
帐户
  • 限制本地帐户的数量或禁用本地帐户。为设备集成 Microsoft Active Directory 或 OpenLDAP 等企业目录解决方案。使用企业目录功能实现密码到期、复杂性、历史记录以及禁用本地用户和组。
  • 如果使用本地帐户,请用复杂的密码保护内置的 Administrator 帐户。

  • 不要使用内置的 Administrator 帐户。所有用户必须使用自己的凭据登录以便于审核。

审核日志
  • 定期下载设备审核日志。

证书
  • 使用受信任的证书颁发机构 (CA) 签署的证书。

    HPE OneView 使用证书进行身份验证和建立信任关系。从 Web 浏览器到 Web 服务器建立连接时最常使用证书。作为 HTTPS 协议的一部分,使用 SSL 进行机器级别的身份验证。证书还可用于在设置通信通道时验证设备身份。

    设备支持自签名证书和 CA 签名的证书。

    为设备初始配置了自签名证书用于 Web 服务器和状态更改消息总线 (SCMB)。

    用于安全访问 HPE OneView 的同一 CA 签署证书也用作 SCMB 服务器证书。默认情况下 SCMB 无客户端证书可用,但可从内部 HPE OneView CA 或通过另一受信任的 CA 生成该证书。

    Hewlett Packard Enterprise 建议客户分析其安全需求(即,执行风险评估)并考虑使用受信任的 CA 签名的证书。

    • 应使用贵公司现有的自定义 CA 并导入其信任的证书。必须将受信任的根 CA 证书部署到 HPE OneView 以及 HPE OneView 管理的硬件装置。HPE OneView 执行基于 CA 的证书验证。所有连接到的装置都必须具有受该根 CA 信任的证书。

    • 如果您的公司没有自己的证书颁发机构,请考虑使用商业 CA。有许多第三方公司可提供受信任的证书。您将需要与外部 CA 合作,为特定装置和系统生成证书,然后将这些受信任的证书导入到使用这些证书的组件中。

    基础架构管理员可生成证书签名请求 (CSR),并在收到证书后将其上载到设备 Web 服务器。这样可确保与设备的 HTTPS 连接的完整性和真实性。也可以为 SCMB 上载证书。

    请参阅使用证书颁发机构

如果要使用商业 CA 签名证书替换自签名证书,以下注意事项适用:
  • 确定是要将商业 CA 证书用于环境中的所有装置,还是仅用于设备 Web 服务器证书。

  • 确定是要使用公钥基础架构 (PKI) 生成您自己的 CA 签名证书,还是为所有管理的装置购买商业 CA 签名证书。

  • 对于设备 Web 服务器证书,您必须要求 CA 包含以下内容:
    • 具有数字签名的密钥用途。

    • 密钥加密值。

    • 扩展密钥用途并将服务器身份验证客户端身份验证作为值。

    • 使用者类型的基本限制并将最终实体作为值。

    • 证书过期或有效性:经常过期的商业证书很难进行管理。因此,Hewlett Packard Enterprise 建议最短有效期为 1 到 2 年。

    • 企业目录服务器管理员必须确保,用于为管理的装置获取 CA 签名证书的证书签名请求 (CSR) 的使用者备用名称使用者包含主机(完全限定的域名)、解析的 IP 地址或域名的通配符条目。

      只要设备的 IP 地址或主机名发生变化,就会清除与设备关联的任何 CA 签名设备证书,并生成新的自签名设备证书。在这种情况下,您必须生成新的 CSR,让 CA 对其进行签名,然后将其导入到设备中。

    • 如果商业 CA 具有一个链(如根 CA 和其他中间 CA),您必须将链中的所有证书加载到 HPE OneView 中,因为设备要求信任所有这些证书。

    • 可以在证书链中包含的最大证书数为 9 个。如果证书链深度超过最大限制,则设备无法连接到任何装置或服务器。默认情况下,将在设备上设置最大证书链深度,并且用户无法对其进行自定义。

    • 如果要执行证书吊销检查,您必须设置来自 CA 的证书吊销列表 (CRL) 并定期刷新这些列表。
网络
  • Hewlett Packard Enterprise 建议创建一个专用管理 LAN,并使用 VLAN 和/或防火墙技术将其与生产 LAN 隔离(称为气隙隔离)。

    • 管理 LAN

      使用管理 LAN 将所有管理处理器装置(包括 Onboard Administrator、iLO 和 iPDU)连接到 HPE OneView 设备。

      仅准许授权人员访问管理 LAN。例如,基础架构管理员、网络管理员和服务器管理员。

    • 生产 LAN

      将管理的装置的所有网卡连接到生产 LAN。

  • Hewlett Packard Enterprise 建议不要将管理系统(如设备、iLO 和 Onboard Administrator)直接连接到 Internet。

    如果需要进行入站 Internet 访问,请使用提供防火墙保护的公司 VPN(虚拟专用网络)。对于出站 Internet 访问(例如,用于远程支持),请使用安全的 Web 代理服务器。要设置 Web 代理,请参阅联机帮助中的“准备远程支持注册”或“配置代理设置”以获取详细信息。

密码
  • Hewlett Packard Enterprise 建议将 HPE OneView 与 Microsoft Active Directory 或 OpenLDAP 等企业目录集成在一起并禁用本地 HPE OneView 帐户,但维护控制台除外。然后,您的企业目录可以实施通用密码管理策略,例如密码生命周期、密码复杂性和最小密码长度。

  • 设备维护控制台使用本地管理员帐户。Hewlett Packard Enterprise 建议对访问设备维护控制台设置密码。

权限

权限用于控制用户能否访问设备和受设备管理的资源。基础架构管理员通过分配权限而向用户和目录组授予权限。权限由角色和可选作用域组成。该角色授予对资源类别的访问权限。有关权限的详细信息,请参阅《HPE OneView 帮助》。

  • 角色:HPE OneView 定义一组角色,用于描述用户可对资源类别执行的操作。将角色分配给用户或目录组后,角色授予对受设备管理的资源类别执行操作的权限。基础架构管理员角色应保留用于最高访问权限。请参阅联机帮助中的“关于用户角色”。

    请参阅用户角色

  • 作用域:定义作用域并分配一部分资源,后者代表一个或多个用户的管理域。权限中的作用域进一步将角色授予的权限限制为特定的资源实例。因此,适合在权限中对具有不同角色的用户使用一个公共的作用域。

双因素身份验证
更新
虚拟环境
  • 请仅限授权用户可访问设备控制台,以使只有授权人员可发起 HPE 服务请求,因为这些请求准许以特权访问设备。

  • 如果在所处环境中使用入侵检测系统 (IDS) 解决方案,请确保该解决方案可查看虚拟交换机中的网络流量。

  • 遵循虚拟机监控程序软件的最佳做法进行操作。