Référence sur la sécurité et le chiffrement de NetBackup IT Analytics - Version : 11.0
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Référence sur la sécurité et le chiffrement de NetBackup IT Analytics Version : 11.0
Référence sur la sécurité et le chiffrement de
NetBackup IT Analytics
Dernière mise à jour : 2022-07-14
Mentions légales
Copyright © 2022 Veritas Technologies LLC. Tous droits réservés.
Veritas et le logo Veritas sont des marques commerciales ou des marques déposées de
Veritas Technologies LLC ou de ses sociétés affiliées aux États-Unis et dans d'autres pays.
Les autres noms peuvent être des marques commerciales de leurs détenteurs respectifs.
Ce produit peut contenir des logiciels tiers pour lesquels Veritas est tenu de mentionner les
tiers concernés ("Programmes tiers"). Certains des programmes tiers sont disponibles sous
licence Open Source ou gratuite. Le contrat de licence accompagnant le logiciel ne modifie
aucun des droits ou obligations que vous pouvez avoir dans le cadre de ces licences Open
Source ou de logiciel gratuit. Reportez-vous au document des mentions légales tierces
accompagnant ce produit Veritas ou disponible à l’adresse :
https://www.veritas.com/about/legal/license-agreements
Le produit décrit dans ce document est distribué dans le cadre de licences limitant son
utilisation, sa copie, sa distribution et sa décompilation ou son ingénierie inverse. Vous ne
pouvez reproduire aucune partie de ce document sous quelque forme ou par quelque moyen
que ce soit sans avoir reçu au préalable l'autorisation écrite de Veritas Technologies LLC et
de ses ayants droit éventuels.
LA DOCUMENTATION EST FOURNIE "EN L'ÉTAT" ET L'ENTREPRISE N'ASSUME AUCUNE
RESPONSABILITÉ QUANT À UNE GARANTIE OU CONDITION D'AUCUNE SORTE,
EXPRESSE OU IMPLICITE, Y COMPRIS TOUTES GARANTIES OU CONDITIONS
IMPLICITES DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER
OU DE RESPECT DES DROITS DE PROPRIÉTÉ INTELLECTUELLE, DANS LA MESURE
OÙ CETTE CLAUSE D'EXCLUSION DE RESPONSABILITÉ RESPECTE LA LOI EN
VIGUEUR. VERITAS TECHNOLOGIES LLC NE PEUT ETRE TENUE RESPONSABLE DES
DOMMAGES INDIRECTS OU ACCESSOIRES LIES A LA FOURNITURE, AUX
PERFORMANCES OU A L'UTILISATION DE CETTE DOCUMENTATION. LES
INFORMATIONS CONTENUES DANS CETTE DOCUMENTATION SONT SUJETTES A
MODIFICATION SANS PREAVIS.
Le logiciel et la documentation sous licence sont assimilables à un logiciel commercial selon
les définitions de la section FAR 12.212 et soumis aux restrictions spécifiées dans les sections
FAR 52.227-19, "Commercial Computer Software - Restricted Rights" et DFARS 227.7202
et "Commercial Computer Software and Commercial Computer Software Documentation" en
vigueur et selon toute autre législation en vigueur, qu'ils soient fournis par Veritas en tant que
services locaux ou hébergés. Toute utilisation, modification, reproduction, représentation ou
divulgation du logiciel ou de la documentation sous licence par le gouvernement des États-Unis
doit être réalisée exclusivement conformément aux conditions de Contrat.Veritas Technologies LLC 2625 Augustine Drive. Santa Clara, CA 95054 http://www.veritas.com Support technique Le support technique entretient globalement les centres de support. Tous les services de support sont fournis conformément à votre contrat de support et aux politiques de support technique en vigueur dans l'entreprise. Pour plus d'informations sur les offres de support et comment contacter le support technique, rendez-vous sur notre site web : https://www.veritas.com/support Vous pouvez gérer les informations de votre compte Veritas à l'adresse URL suivante : https://my.veritas.com Si vous avez des questions concernant un contrat de support existant, envoyez un message électronique à l'équipe d'administration du contrat de support de votre région : Dans le monde entier (sauf le Japon) CustomerCare@veritas.com Japon CustomerCare_Japan@veritas.com Documentation Assurez-vous que vous utilisez la version actuelle de la documentation. Chaque document affiche la date de la dernière mise à jour sur la page 2. La documentation la plus récente est disponible sur le site Web de Veritas. Services and Operations Readiness Tools (SORT) de Veritas SORT (Services and Operations Readiness Tools) de Veritas est un site web qui fournit de l'information et des outils pour automatiser et simplifier certaines tâches administratives qui prennent du temps. Selon le produit, SORT vous aide à préparer les installations et les mises à jour, à identifier les risques dans vos data centers et à améliorer l'efficacité opérationnelle. Pour voir quels services et quels outils SORT fournit pour votre produit, voyez la fiche de données : https://sort.veritas.com/data/support/SORT_Data_Sheet.pdf
Table des matières
Chapitre 1 Composants et conformité à la sécurité de
NetBackup IT Analytics ............................................... 5
Présentation ................................................................................. 5
Composants de NetBackup IT Analytics ............................................. 5
Conformité par rapport aux normes du gouvernement fédéral des
États-Unis .............................................................................. 6
Chapitre 2 Gestion des identités et des accès utilisateurs
............................................................................................. 8
Présentation ................................................................................. 8
À propos des types d’utilisateurs ....................................................... 8
Groupes d’utilisateurs .................................................................... 10
Domaines ................................................................................... 10
Authentification utilisateur via l’authentification unique (SSO) ................ 11
Configuration AD/LDAP ................................................................. 13
Chapitre 3 Sécurité et chiffrement des données ........................... 19
Sécurité et chiffrement des données de Data Collector ......................... 19
Sécurité de la base de données de rapports ...................................... 20
Propriétés de connexion à la base de données ............................. 21
Modification des mots de passe utilisateur de la base de données
Oracle ............................................................................ 22
Chiffrement dans les communications de sous-système avec les
collecteurs de données ............................................................ 23
Chiffrement transparent des données (TDE) ou chiffrement des
données statiques .................................................................. 27
Annexe A Forum aux questions ........................................................ 31
Forum aux questions et solutions ..................................................... 31Chapitre 1
Composants et conformité
à la sécurité de
NetBackup IT Analytics
Ce chapitre traite des sujets suivants :
■ Présentation
■ Composants de NetBackup IT Analytics
■ Conformité par rapport aux normes du gouvernement fédéral des États-Unis
Présentation
Ce document décrit les différentes normes de sécurité et méthodes de chiffrement
de données appliquées par Veritas NetBackup IT Analytics. Comme le produit doit
interroger plusieurs nœuds d’infrastructure et points de données pour collecter des
données, il applique des normes de sécurité et directives de chiffrement strictes à
diverses étapes de collecte, de stockage et de traitement des données. Ce document
aborde également les normes et les pratiques de sécurité internes appliquées lors
de la correction des problèmes du produit et du développement de nouvelles
fonctionnalités.
Composants de NetBackup IT Analytics
NetBackup IT Analytics comprend les composants suivants :
1. Serveur du portail : serveur physique sur lequel le logiciel du serveur de portail
NetBackup IT Analytics est installé.Composants et conformité à la sécurité de NetBackup IT Analytics 6
Conformité par rapport aux normes du gouvernement fédéral des États-Unis
2. Logiciel du serveur de portail : fichiers binaires, scripts SQL, fichiers de
configuration et logiciels open source ou tiers nécessaires pour récupérer et
générer les données de rapport à partir de la base de données de rapports.
3. Base de données de rapports : base de données Oracle stockant toutes les
données des rapports. Elle est généralement installée sur le serveur de portail,
mais elle peut être installé sur un serveur de base de données dédié distinct,
le cas échéant. Ces fichiers binaires sont installés lors de la première étape
de la procédure d’installation.
4. Data Collector : logiciel qui collecte les données de rapport sur les serveurs
de sauvegarde et les baies de disque de stockage. Il est généralement installé
sur un serveur distinct.
5. IT Analytics Exporter : logiciel qui fournit un mécanisme d’exportation
supplémentaire pour la collecte de données à partir de
NetBackup Resources Monitor, ainsi que des mesures de système d’exploitation
et matérielles via les ressources de calcul.
Conformité par rapport aux normes du
gouvernement fédéral des États-Unis
NetBackup IT Analytics est conforme aux normes suivantes du gouvernement
fédéral des États-Unis :
■ Chiffrement : NetBackup IT Analytics est conforme aux exigences de sécurité
des modules cryptographiques FIPS 140-2. Il utilise le chiffrement statique et
le chiffrement dynamique pour sécuriser les données stockées et en transit,
respectivement.
■ Communication et transfert de données : NetBackup IT Analytics est conforme
aux protocoles IPv4 et IPv6 pour le transfert des données en toute sécurité sur
les réseaux publics et privés. Les protocoles SSL/TLS sont appliqués aux
communications entre les systèmes en réseau.
■ Sécurité réseau : NetBackup IT Analytics applique l’infrastructure à clé publique
(PKI) et l’authentification à 2 facteurs pour la sécurité réseau. Le réseau peut
être configuré pour demander une authentification unique (SSO) pour que
NetBackup IT Analytics hérite de l’infrastructure à clé publique ou de
l’authentification à 2 facteurs.
■ Sous Linux, NetBackup IT Analytics est pris en charge pour RHEL qui est
configuré pour être conforme aux directives STIG. Les sous-systèmes Apache,
Oracle et Tomcat du produit sont conformes aux directives STIG. Les exigences
de sécurité et de développement d’application sont respectées pour tous lesComposants et conformité à la sécurité de NetBackup IT Analytics 7
Conformité par rapport aux normes du gouvernement fédéral des États-Unis
éléments de la catégorie 1 ainsi que pour certains éléments des catégories 2
et 3.
■ Outil STIG (Security Technical Implementation Guide) : NetBackup IT Analytics
est pris en charge sur les RHEL compatibles avec STIG. De plus, les
sous-systèmes Apache, Oracle et Tomcat sont conformes aux directives STIG.
Les exigences de sécurité et de développement de l’application adhèrent au
niveau de conformité STIG CAT 1.Chapitre 2
Gestion des identités et
des accès utilisateurs
Ce chapitre traite des sujets suivants :
■ Présentation
■ À propos des types d’utilisateurs
■ Groupes d’utilisateurs
■ Domaines
■ Authentification utilisateur via l’authentification unique (SSO)
■ Configuration AD/LDAP
Présentation
Cette section décrit la création d’utilisateurs et les droits d’accès basés sur les rôles
des utilisateurs dans NetBackup IT Analytics. Elle décrit également les méthodes
d’accès sécurisé prises en charge pour le produit.
À propos des types d’utilisateurs
Il existe trois types d’utilisateurs du portail :Gestion des identités et des accès utilisateurs 9
À propos des types d’utilisateurs
Tableau 2-1 Types d’utilisateurs
Type d’utilisateur Droits
Administrateur Gérez les comptes d’utilisateurs et configurez des groupes
d’hôtes au niveau du groupe affecté par l’administrateur ou
à un niveau inférieur. Un administrateur peut créer des
comptes d’utilisateur final et d’administrateur, mais
uniquement au sein du groupe de référence de
l’administrateur.
Dans un environnement MSP (fournisseur de services gérés),
chaque client dispose de comptes d’administrateur qui ont
uniquement accès au domaine du client et aux groupes
d’hôtes de ce domaine.
Remarque : Les mises à niveau du portail activent
automatiquement les privilèges pour les rapports
nouvellement ajoutés et l’affichage de la vue Inventaire, y
compris tous les objets, pour tous les administrateurs.
Reportez-vous aux notes de publication pour la liste des
rapports et fonctionnalités introduits dans une version de
produit spécifique.
Super utilisateur Les privilèges de cet utilisateur ne peuvent être révisés par
aucun autre utilisateur.
Un super utilisateur peut effectuer les actions suivantes au
dessus du niveau des droits d’administrateur :
■ Accéder à toute la hiérarchie des groupes d’hôtes du
portail de haut en bas, quelle que soit l’affectation de
groupe de l’utilisateur
■ Gérer l’espace de stockage Oracle
■ Définir et gérer les cycles de sauvegarde du serveur
■ Créer des comptes d’utilisateur final et d’administrateur
pour n’importe quel groupe dans la hiérarchie des groupes
d’hôtes.
■ Accéder à tous les rapports par défaut et générés par
l’utilisateur.
■ Afficher les badges Nouveau et Mis à jour sur les
modèles de rapport système lorsqu’ils sont disponibles
■ Emprunter l’identité d’un profil utilisateurGestion des identités et des accès utilisateurs 10
Groupes d’utilisateurs
Type d’utilisateur Droits
Utilisateur final ■ Fonctions pour lesquelles des privilèges ont été accordés
par l’administrateur. Les utilisateurs finaux peuvent utiliser
leurs privilèges au niveau ou au-dessous de leur groupe
de référence.
■ Un utilisateur final ne peut créer que des comptes
d’utilisateur final dans son groupe de référence (domaine).
Groupes d’utilisateurs
Les groupes d’utilisateurs fournissent un moyen efficace pour la gestion simultanée
d’un grand nombre d’utilisateurs. L’administrateur peut affecter des privilèges à un
groupe, qui sont ensuite appliqués aux utilisateurs qui y sont inclus. Les privilèges
peuvent comprendre les suivants :
■ Autoriser l’accès à des rapports spécifiques
■ Autoriser l’accès à des zones fonctionnelles
■ Restreindre l’accès à des pages spécifiques du portail
Domaines
Un domaine permet de « partitionner » la base de données de génération de
rapports en domaines privés distincts. Il est principalement utilisé pour implémenter
des contrôles de sécurité pour les systèmes multiclients et constitue une entité
unique associée au niveau supérieur de la hiérarchie des groupes d’hôtes. Le nom
de domaine est fourni lors du processus d’installation et le portail l’affecte au dossier
racine.
Le domaine est utilisé par Data Collector dans différents contextes :
■ Authentification : l’enregistrement d’un serveur principal doit exister dans la
hiérarchie des groupes d’hôtes du domaine. (VERITAS NetBackup uniquement).
■ Recherches d’hôtes : le Data Collector effectue une recherche dans la hiérarchie
des groupes d’hôtes du domaine pour trouver les hôtes associés aux données
de sauvegarde qu’il collecte. Si aucun hôte n’est trouvé, un nouvel hôte est
ajouté au dossier du groupe d’hôtes de niveau racine pour le domaine.
Les environnements d’entreprise n’ont généralement qu’un seul domaine. Lorsque
vous ajoutez (ou supprimez) des groupes d’hôtes ou des attributs, cette opération
s’applique à l’intégralité de votre domaine et des groupes d’hôtes qui s’y trouvent.
Sauf si vous êtes un fournisseur de services gérés (MSP), vous n’avez pas besoinGestion des identités et des accès utilisateurs 11
Authentification utilisateur via l’authentification unique (SSO)
de spécifier de domaine lorsque vous ajoutez/supprimez des groupes d’hôtes ou
des attributs via le portail.
Domaines multiples
Si vous êtes un fournisseur de services gérés, vous devez pouvoir gérer plusieurs
hiérarchies indépendantes, une pour chacune de vos entreprises clientes. En tant
que MSP, vous définirez un domaine unique pour chacun de vos clients. Lorsque
vous ajoutez ou supprimez des attributs, vous pouvez le faire pour tous les domaines
ou sélectionner des domaines spécifiques auxquels appliquer les modifications.
Un domaine est associé à une hiérarchie des groupes d’hôtes. Tous les hôtes
récemment découverts sont ajoutés au groupe d’hôtes racine associé au domaine.
Chaque client MSP aura un domaine distinct avec sa propre hiérarchie.
Remarque : un groupe d’hôtes ne peut servir de racine que pour un domaine. Par
exemple, vous pouvez définir un groupe d’hôtes pour Acme Corp, puis créer un
domaine Acme qui utilise le groupe d’hôtes comme racine de sa hiérarchie des
groupes d’hôtes. Une fois qu’un domaine est associé à un groupe d’hôtes, celui-ci
ne peut devenir la racine d’aucun autre domaine.
Authentification utilisateur via l’authentification
unique (SSO)
NetBackup IT Analytics prend en charge l’authentification unique (SSO) pour une
connexion unifiée standard. L’authentification utilisateur s’effectue via un serveur
de gestion des identités externes qui permet de renforcer le niveau de sécurité pour
les mots de passe des utilisateurs et leurs détails d’identité. C’est pourquoi
l’authentification unique requiert la configuration du le portail NetBackup IT Analytics,
un fournisseur d’identité externe (IDP) et un annuaire LDAP externe.
Conditions préalables pour l’authentification unique (SSO)
■ NetBackup IT AnalyticsLe portail doit être compatible avec le SSL (protocole
https) à l’aide des certificats SSL et des propriétés suivantes :
■ Nom de l’algorithme de signature : SHA256 et RSA
■ Algorithme de clé publique du sujet : clé RSA 2048 bits
■ Un fournisseur d’identité externe (IDP) qui prend en charge le SAML 2.0
■ Le certificat SSL doit être ajouté au keystore du portail à l’aide de l’utilitaire du
keystore (deployCert).Gestion des identités et des accès utilisateurs 12
Authentification utilisateur via l’authentification unique (SSO)
Configuration du serveur du fournisseur d’identité (IdP)
externe
Pour permettre la communication entre l’IDP et le portail NetBackup IT Analytics,
un annuaire LDAP est configuré sur le serveur externe pour la gestion des
utilisateurs. Certains attributs doivent être renseignés pour chaque utilisateur qui
se connectera au portail. Les utilisateurs doivent également appartenir à au moins
un groupe.
Utilisateurs et groupes dans l’annuaire LDAP externe
Définissez les attributs suivants pour chaque utilisateur dans le répertoire LDAP
externe. Pour chaque attribut, le nom des propriétés et le nom convivial doivent
être présents et renseignés. Ces attributs doivent être exposés à la fois par le
répertoire LDAP externe et par le serveur IDP. Les noms des attributs sont les
suivants :
■ Nom d’affichage : ; par exemple, Jane Smith
■ e-mail : adresse e-mail
■ mobile : numéro de téléphone portable
■ Numéro de téléphone : numéro de téléphone professionnel ou personnel
■ sAMAccountName : nom d’utilisateur unique utilisé comme identifiant
■ memberOf : liste des noms de groupe auxquels l’utilisateur appartient.
Remarque : L’attribut memberOf requiert la personnalisation d’un IdP
Microsoft Azure. Il est recommandé de définir l’attribut « memberOf » sur
Groupes affectés à l’application au lieu de Tous les groupes ou Groupes
de sécurité. Cliquez ici pour en savoir plus.
Avant qu’un utilisateur externe puisse utiliser l’authentification unique pour se
connecter au portail, il doit appartenir à un groupe d’annuaires externes également
présent en tant que groupe d’utilisateurs dans le portail NetBackup IT Analytics. Si
les critères de configuration sont remplis, lorsque l’utilisateur se connecte au portail
pour la première fois, son profil d’utilisateur sera synchronisé à partir de l’annuaire
externe. Il héritera également de tous les privilèges attribués au groupe d’utilisateurs.
Enregistrement auprès du serveur IdP
Le processus d’enregistrement se produit en échangeant des fichiers XML de
métadonnées entre le portail NetBackup IT Analytics et le serveur IDP. Côté portail,
une fois l’authentification unique configurée et le service Portal Tomcat redémarré,
vous pouvez télécharger le fichier XML de métadonnées et le fournir au serveurGestion des identités et des accès utilisateurs 13
Configuration AD/LDAP
IDP. Ce fichier contient le certificat SSL et identifie le NetBackup IT Analytics en
tant que fournisseur de services pour l’authentification unique. Un fichier XML de
méta-données similaire doit être téléchargé depuis le serveur IDP et fourni sur le
portail.
Consultez la section Configuration de l’authentification unique (SSO) à l’aide du
langage de balisage d’assertion de sécurité (SAML) dans le Guide d’administration
du système NetBackup IT Analytics.
Configuration AD/LDAP
NetBackup IT Analytics prend en charge l’authentification utilisateur et (facultatif)
l’autorisation AD (Active Directory) ou LDAP (Lightweight Directory Access Protocol).
La configuration de l’authentification et de l’autorisation AD/LDAP dépend des
paramètres de configuration du fichier portal.properties.
Propriétés de configuration AD/LDAP
La configuration AD/LDAP prend en charge les propriétés suivantes et peut être
définie dans le fichier portal.properties.
Emplacement du fichier portal.properties spécifique au système d’exploitation :
■ Linux : /opt/aptare/portalconf/portal.properties
■ Windows : C:\opt\aptare\portalconf\portal.properties
Tableau 2-2 Propriétés de configuration AD/LDAP
Propriété Description
ldap.enabled Pour activer LDAP, définissez cette propriété sur
true.
Valeurs prises en charge : true | falseGestion des identités et des accès utilisateurs 14
Configuration AD/LDAP
Propriété Description
ldap.searchBase ■ Emplacement à partir duquel la recherche
d’utilisateurs sera effectuée dans l’annuaire
d’authentification.
■ Souvent appelé Base de recherche Active
Directory (AD), il s’agit du point de départ de
l’arborescence Active Directory pour rechercher
des utilisateurs LDAP. Cette base de
recherche, au format de nom unique LDAP,
contient un nom de domaine complet.
NetBackup IT Analytics prend en charge une
seule base de recherche.
Exemple : dc=example,dc=company,dc=com
ldap.url ■ Reprenez la valeur d’hôte et de port de votre
système AD. Notez que cette valeur d’URL
porte le préfixe ldap:. Si vous utilisez SSL,
remplacez ce préfixe par ldaps.
■ Si vous utilisez Active Directory pour votre
configuration LDAP externe, vous pouvez
utiliser le port de catalogue global 3268 au lieu
du port 389.
■ Si vous utilisez le protocole SSL, vous pouvez
utiliser le port de catalogue global sécurisé
3269 ou 636 pour les préfixes LDAP standard.
Exemple : ldap://example.company.com:389
OU ldaps://example.company.com:636Gestion des identités et des accès utilisateurs 15
Configuration AD/LDAP
Propriété Description
ldap.dn ■ Reprenez l’ID d’un utilisateur autorisé à
effectuer des recherches dans la BASE DE
RECHERCHE. Cet utilisateur doit pouvoir
effectuer des recherches sur tous les serveurs
d’annuaire LDAP.
■ NetBackup IT Analytics requiert un utilisateur
disposant des privilèges requis pour effectuer
des recherches sous le nom unique de base
(nom distinctif) de la structure Active Directory.
Ce compte doit disposer des privilèges
d’administration, généralement Administrateur.
Il peut s’agir du compte administrateur créé lors
de l’installation d’Active Directory, d’un compte
créé avec des privilèges d’administration ou
qui a été placé dans un groupe disposant de
privilèges d’administration.
■ Si vous utilisez Active Directory, spécifiez ce
paramètre, car les services Active Directory
n’autorisent pas les liaisons anonymes.
Microsoft Active Directory requiert le nom et le
mot de passe d’un utilisateur disposant des
privilèges suffisants pour effectuer des
recherches dans l’annuaire LDAP.
Exemple :
ldap.dn =CN=Admin,CN=Users,DC=example,
DC=company,DC=com
ldap.password Reprenez le mot de passe de l’utilisateur qui est
utilisé dans la propriété ldap.dn. Cette propriété
devient vide et sa valeur chiffrée est définie dans
la propriété ldap.password.encrypted lorsque
vous redémarrez le service Portal Tomcat après
avoir configuré LDAP.
ldap.password.encrypted Cette propriété est définie lorsque vous redémarrez
le service Portal Tomcat après avoir configuré
LDAP. Elle utilise la valeur chiffrée de la propriété
ldap.password.Gestion des identités et des accès utilisateurs 16
Configuration AD/LDAP
Propriété Description
ldap.loginAttribute Attribut de connexion utilisé pour l’authentification.
Il s’agit du nom d’attribut utilisé par Active Directory
pour spécifier le nom d’utilisateur, tel que uid ou
sAMAccountName.
Exemple :
ldap.loginAttribute=sAMAccountName
ldap.authorization Si cette propriété est définie sur true, le portail
autorise l’utilisateur en fonction des groupes AD.
Au moins l’un des groupes AD dont le nouvel
utilisateur est membre doit être configuré en tant
que groupe d’utilisateurs dans le portail.
Remarque : Si le groupe AD n’est pas mappé
avec le groupe d’utilisateurs dans le portail,
l’authentification échoue pendant la connexion et
renvoie l’erreur : « Aucune cartographie de groupes
d’utilisateurs présenté pour l’utilisateur externe
LDAP ».
Valeurs prises en charge : true | false
ldap.newUserDomain Nom du domaine du portail où le nouvel utilisateur
est créé. Cette propriété n’est utilisée que si
ldap.authorization est défini sur true.
Pour trouver le nom de domaine dans le portail,
accédez à Administration > Domaines > Nom
du domaine
Exemple :
ldap.newUserDomain=example.company.com
ldap.keystore Si la prise en charge de SSL est activée pour
LDAP, elle doit inclure :
■ L’emplacement du chemin de keystore qui
contient les certificats AD ;
■ L’autorisation aptare:tomcat.
Remarque : Si SSL n’est pas activé pour LDAP,
ajoutez une marque de commentaire.Gestion des identités et des accès utilisateurs 17
Configuration AD/LDAP
Propriété Description
ldap.keystore.password Mot de passe du keystore qui est défini dans la
propriété ldap.keystore. Cette propriété devient
vide et sa valeur chiffrée est définie dans la
propriété
ldap.keystore.password.encrypted lorsque
vous redémarrez le service Portal Tomcat après
avoir configuré LDAP.
Remarque : Si SSL n’est pas activé pour LDAP,
ajoutez une marque de commentaire.
ldap.keystore.password.encrypted Cette propriété est définie lorsque vous redémarrez
le service Portal Tomcat après avoir configuré
LDAP. Elle utilise la valeur chiffrée de la propriété
ldap.keystore.password.
Remarque : Si SSL n’est pas activé pour LDAP,
ajoutez une marque de commentaire.
ldap.disable.user.attribute.name Sa valeur est l’attribut AD qui indique si l’utilisateur
est actif ou inactif. Pendant l’authentification du
(Disponible à partir de la version 11.0)
portail via AD, l’API REST utilise l’attribut AD
attribué à cette propriété pour vérifier si l’utilisateur
est toujours un utilisateur AD actif.
Par exemple, si ad.user.active est l’attribut
AD qui indique si un utilisateur est actif ou
désactivé, ad.user.active doit être attribué à
la valeur de cette propriété
(ldap.disable.user.attribute.name=ad.user.active).Gestion des identités et des accès utilisateurs 18
Configuration AD/LDAP
Propriété Description
ldap.disable.user.attribute.value Sa valeur doit être identique à la valeur de l’attribut
AD (spécifié dans
(Disponible à partir de la version 11.0)
ldap.disable.user.attribute.name), ce
qui indique que l’utilisateur AD est désactivé.
Par exemple : si ad.user.active est l’attribut
du statut de l’utilisateur dans AD, il peut avoir
plusieurs valeurs telles que live, inactive,
joined, etc. Si la valeur inactive indique que
l’utilisateur est désactivé dans AD, inactive doit
être défini comme valeur pour la propriété
(ldap.disable.user.attribute.value=inactive).
L’API REST met cette valeur en correspondance
avec la valeur de l’attribut AD spécifié dans la
propriété
ldap.disable.user.attribute.name. Si les
valeurs correspondent, l’utilisateur est désactivé
sur le portail NetBackup IT Analytics.
Remarque : Un super utilisateur du portail doit
explicitement activer l’utilisateur désactivé dans
AD et dans le portail auparavant, mais de nouveau
activé uniquement dans AD. Un administrateur de
portail disposant des privilèges adéquats peut
également activer cet utilisateur. Sans activation
de l’utilisateur, l’accès au portail est restreint.
Pour configurer AD/LDAP en vue de l’authentification utilisateur et de son
autorisation, l’administrateur du portail doit créer au moins un groupe d’utilisateurs
dans le portail qui est également présent dans AD/LDAP en tant que groupe
d’utilisateurs.
Prise en charge de LDAP via SSL
Si vous utilisez un certificat auto-signé ou un certificat AD provenant d’une autorité
de certification non standard, vous devez disposer d’un Keystore comprenant un
certificat AD et mettre à jour la configuration LDAP dans le fichier
portal.properties. Vous pouvez ignorer cette étape si vous utilisez un certificat
standard d’une autorité de certification.Chapitre 3
Sécurité et chiffrement des
données
Ce chapitre traite des sujets suivants :
■ Sécurité et chiffrement des données de Data Collector
■ Sécurité de la base de données de rapports
■ Chiffrement dans les communications de sous-système avec les collecteurs de
données
■ Chiffrement transparent des données (TDE) ou chiffrement des données
statiques
Sécurité et chiffrement des données de Data
Collector
Les versions 10.5 et ultérieures de Data Collector fournissent un chiffrement
asymétrique, également appelé cryptographie de clé publique. Avec ce type de
chiffrement, les clés sont associées par paires (les données chiffrées par clé unique
peuvent uniquement être déchiffrées par l’autre clé). Cette méthode de chiffrement
fournit une sécurité supplémentaire lorsque les données sont collectées.
Avant la version 10.5, les collecteurs de données utilisaient le chiffrement
symétrique : une clé unique pour chiffrer et déchiffrer les données. Dans un scénario
de mise à niveau, vous pouvez continuer à utiliser la méthode de chiffrement
symétrique ou à configurer une couche de sécurité supplémentaire lors de la collecte
des données avec le chiffrement asymétrique. La génération de fichier de clés peut
se produire à tout moment après une mise à niveau ou en cas de problème, tel que
l’endommagement des données ou la perte d’une clé.Sécurité et chiffrement des données 20
Sécurité de la base de données de rapports
Pour utiliser cette fonction dans une nouvelle installation ou dans un scénario de
mise à niveau, un fichier de clé doit être généré manuellement dans le portail.
Lorsque vous ajoutez un collecteur de données dans le portail, vous téléchargez
la clé et pointez vers cet emplacement lorsque vous installez le logiciel du collecteur
de données sur le serveur du collecteur. Pour les collecteurs de données existants,
la génération de clés pour le chiffrement asymétrique peut se produire à tout
moment. Vous pouvez choisir de chiffrer/déchiffrer les informations d’authentification.
Sécurité de la base de données de rapports
La base de données Oracle stocke toutes les données des rapports. La base de
données de rapports est généralement installée sur le serveur du portail, mais vous
pouvez tout aussi facilement l’installer sur un serveur distinct, de préférence un
serveur de base de données dédié. Ces fichiers binaires sont installés lors de la
première étape de la procédure d’installation.
Les données sont gérées dans la base de données de rapports avec des scripts
de purge automatique qui s’exécutent, avec des périodes de conservation
spécifiques par produit et même par type de données. Certains rapports sont plus
utiles lorsqu’ils ont accès à des données historiques. Étant donné que la base de
données de rapports stocke uniquement les métadonnées, la quantité de données
sur la base de données de rapports est relativement limitée (Go).
Profil de sécurité Oracle pour les utilisateurs
Comme recommandé par Oracle, le profil utilisateur ORA_STIG_PROFILE est
appliqué à tous les comptes d’utilisateurs, sauf si un profil plus restreint est utilisé.
Certaines requêtes qui récupèrent plus d’informations sur les profils utilisateurs
sont fournies ci-après.
■ Pour déterminer le profil utilisé pour les utilisateurs PORTAL et APTARE_RO
et afficher les propriétés des ressources sous ces profils :
SELECT du.USERNAME, dp.PROFILE, du.ACCOUNT_STATUS, dp.*
FROM DBA_USERS du, DBA_PROFILES dp
WHERE du.username IN ('PORTAL', 'APTARE_RO')
AND du.profile = dp.profile
ORDER BY USERNAME;
■ Pour afficher les détails de tous les profils utilisateurs disponibles et
éventuellement utilisables :
SELECT * FROM DBA_PROFILES;Sécurité et chiffrement des données 21
Sécurité de la base de données de rapports
Pour affecter un profil à un utilisateur existant ou créer un nouveau profil,
consultez la section Creating a Profile dans la documentation Oracle.
Remarque : si des modifications ont été apportées à l’attribution d’un profil
utilisateur pour PORTAL et/ou APTARE_RO, il peut être nécessaire de modifier
le mot de passe existant de ces utilisateurs conformément aux restrictions du
nouveau profil. En cas de modification du mot de passe de ces utilisateurs, vous
devez le mettre à jour dans l’application.
Propriétés de connexion à la base de données
Le tableau suivant résume les valeurs portal.properties des utilisateurs Oracle et
des mots de passe utilisés par le portail.
Tableau 3-1 Propriétés du portail avec description.
Propriété du portail Description
db.driver Cette valeur est personnalisée par le programme d'installation du portail
et ne doit pas être modifiée.
db.url Ceci est l'adresse où la base de données NetBackup IT Analytics réside.
Dépend de ce qui a été entré lors de l'installation. Elle peut devoir être
modifiée en cas de changement de nom d'hôte.
DB.user Utilisez cette propriété pour modifier l'ID d’utilisateur de base de données
pour la connexion afin d'accéder à la base de données. La valeur par
défaut est portail.
db.password Saisissez un mot de passe à utiliser avec l'utilisateur de base de données.
La valeur par défaut est portail. Le mot de passe est initialement stocké
db.password.encrypted=
en texte clair, mais après le redémarrage des services du portail Tomcat,
le mot de passe est enregistré au format chiffré et le mot de passe en texte
clair est supprimé de portal.properties.
db.connection.max Utilisez cette propriété pour spécifier le nombre maximal de connexions à
la base de données autorisées. La valeur par défaut est 25.
db.connection.min Utilisez cette propriété pour spécifier le nombre minimum de connexions
à la base de données que le portail peut avoir. La valeur par défaut est
25.
db.connection.expiration Lorsqu'un rapport de portail lance une requête de base de données longue,
cette valeur (en minutes) établit le délai d'expiration du rapport si la requête
prend trop de temps. La valeur par défaut est 5.Sécurité et chiffrement des données 22
Sécurité de la base de données de rapports
Propriété du portail Description
db.ro_user_password Entrez un mot de passe à utiliser avec l'utilisateur de base de données en
lecture seule. La valeur par défaut est aptaresoftware123. Le mot de
db.ro_user_password.encrypted=
passe est initialement stocké en texte clair, mais après le redémarrage
des services du portail Tomcat, le mot de passe est enregistré au format
chiffré et le mot de passe en texte clair est supprimé de portal.properties.
db.ro_user_password Mot de passe utilisateur en lecture seule de la base de données Oracle
pour les tables de base de données NetBackup IT Analytics. La valeur
db.ro_user_password.encrypted=
prédéfinie est aptaresoftware123.
db.sysdba_user Nom DBA (administrateur de base de données) du système de base de
données Oracle des tables de base de données NetBackup IT Analytics.
La valeur prédéfinie est le système.
Modification des mots de passe utilisateur de la base de données
Oracle
Les utilitaires suivants vous permettent de modifier les mots de passe des utilisateurs
aptare_ro et portal de la base de données Oracle. Ces instructions s’appliquent
uniquement aux utilisateurs portal et aptare_ro.
■ Linux : /opt/aptare/utils/changeDBPassword.sh
■ Windows : C:\opt\aptare\utils\changeDBPassword.sh
Les caractères suivants ne sont pas autorisés dans le nouveau mot de passe :
■ Guillemets doubles ("")
■ Barre oblique inverse (/)
■ Espace vide ( )
■ Accent grave (`)
Remarque : Si la fonction CyberArk est activée, ne modifiez pas le mot de passe
de la base de données Oracle.
Suivez ces étapes pour modifier les mots de passe utilisateur de la base de
données Oracle. Ces instructions s'appliquent aux utilisateurs du portail et
d'aptare_ro.
1 Connectez-vous avec un accès racine sous Linux ou avec accès administrateur
sous Windows.
2 Arrêtez les services Portal Tomcat, Agent Tomcat et Anomaly Tomcat.Sécurité et chiffrement des données 23
Chiffrement dans les communications de sous-système avec les collecteurs de données
3 Modifiez le mot de passe utilisateur :
Sous Linux :
/opt/aptare/utils/changeDBPassword.sh -user
Sous Windows :
C:\opt\aptare\utils\changeDBPassword.bat -user
Cette modification met à jour le mot de passe de l'utilisateur spécifié dans la
configuration Oracle ainsi que les fichiers de propriétés tels que
portal.properties et datrarcvrproperties.xml.
4 Redémarrez les services File Analytics immédiatement après avoir changé le
mot de passe.
Chiffrement dans les communications de
sous-système avec les collecteurs de données
Consultez le tableau suivant pour vérifier si le collecteur de données utilise des
communications chiffrées pour communiquer avec le sous-système cible.Sécurité et chiffrement des données 24
Chiffrement dans les communications de sous-système avec les collecteurs de données
Tableau 3-2 Communications entre le sous-système et le collecteur de
données
Module Sous-système Communications Protocole Port
Dell Compellent Chiffré SMI-S via https 5989
Stockage Dell Chiffré HTTPS 4443
EMC Elastic
Cloud (ECS)
Dell EMC Unity Chiffré HTTPS 443, 8443
Stockage de Chiffré SSH 22
Data Domain
EMC
EMC Isilon Chiffré SSH 22
EMC Symmetrix Basé sur FC - -
EMC VNX Chiffré HTTPS 443
(CLARiiON)
EMC VNX Chiffré HTTPS 443
(Celerra)
EMC VPLEX Chiffré HTTPS 443
Stockage
EMC XtremIO Non chiffré http 80
HP 3PAR Chiffré SSH 22
HP EVA Chiffré HTTPS 443
HPE Nimble Chiffré HTTPS configurable
Storage
Hitachi Block Non chiffré TCP 2001
Storage
HitachiContentPlatform Chiffré HTTPS 9090
(HCP)
Hitachi NAS Chiffré ssc 206
Stockage Chiffré HTTPS 23451, 22016
Hitachi Vantara
All-Flash et
stockage Hybrid
FlashSécurité et chiffrement des données 25
Chiffrement dans les communications de sous-système avec les collecteurs de données
Module Sous-système Communications Protocole Port
Huawei Chiffré HTTPS 8088
OceanStor
IBM Cloud Chiffré HTTPS 443
Object Storage
IBM Enterprise Non chiffré TCP 1751, 1750,
1718
IBM SVC Chiffré SSH 22
IBM XIV Chiffré SSH 22
Infinidat InfiniBox Chiffré HTTPS 443
MicrosoftWindowsServer Chiffré WMI NTLM/
Kerberos/
PktPrivacy
NetApp Chiffré HTTPS 443
Mode cluster Chiffré HTTPS 443
NetApp
NetApp E-Series Chiffré SMCli -
PureStorageFlashArray Chiffré HTTPS 443
Appliance Chiffré Proxy WMI -
VeritasNetBackupSécurité et chiffrement des données 26
Chiffrement dans les communications de sous-système avec les collecteurs de données
Module Sous-système Communications Protocole Port
Cohesity Chiffré HTTPS 443
DataProtect
CommvaultSimpana Chiffré Proxy WMI -
DE
elMCneW
t orkeB
rackup&Recovery Chiffré HTTPS 9090
EMC Avamar Chiffré SSH 22
Sauvegarde de SSH SSH 22
Data Domain
EMC
EMC Networker SSH SSH 22
HPDataProtector SSH SSH 22
IBMSpectrumProtect Non chiffré TCP 1500
Protection des
(TSM)
données
IBMSpectrumProtectPlus Chiffré HTTPS 443
NAKIVOBackup&Repcilao
tin Chiffré HTTPS 443
OracleRecoveryManager Non chiffré jdbc 1521
(RMAN)
RubrkiCo
ludDataManagement Chiffré HTTPS 443
VeeamBackup&Repcilato
i n Chiffré wmi NTLM/
Kerberos/
PktPrivacy
VeritasNetBackup Configurable SSH 22
VeritasSaaSBackup Chiffré HTTPS 443
Commutateur Chiffré HTTPS 443(configurable)
Brocade
Alias de zone Chiffré HTTPS 443(configurable)
Réseau et Brocade
Fabrics
CommutateurCisco Chiffré HTTPS 5989
Alias de zone Chiffré HTTPS 5989
CiscoSécurité et chiffrement des données 27
Chiffrement transparent des données (TDE) ou chiffrement des données statiques
Module Sous-système Communications Protocole Port
IBM VIO Chiffré SSH 22
Telnet 23
MicrosoftHyper-V Chiffré WMI NTLM/
Virtualisation
Kerberos/
PktPrivacy
VMware Chiffré HTTPS 443
File Analytics File Analytics Chiffré NTLM 443
Réplication NetApp Chiffré HTTPS 137 et 139
AmazonWebServices Chiffré HTTPS 443
Microsoft Azure Chiffré HTTPS 443
OpenStackCeilometer Chiffré HTTPS 35357
Cloud
OpenStack Swift Chiffré HTTPS 35357 (port
d’administration)
5000 (port
public par
défaut)
Chiffrement transparent des données (TDE) ou
chiffrement des données statiques
Veritas recommande d’utiliser Oracle Enterprise Edition pour le chiffrement
transparent des données (TDE) ou de chiffrer les données statiques. Ce produit
bloque l’accès non autorisé aux données résidant dans des bases de données
Oracle à partir du système d’exploitation sans empêcher les applications autorisées
d’accéder aux données à l’aide de SQL. Les étapes d’activation du TDE sont
décrites dans la section suivante.
Activer la fonction TDE d’Oracle
Cette fonction Oracle n’est disponible que lorsque vous utilisez
Oracle Enterprise Edition avec l’option supplémentaire Oracle Advanced Security
sous licence.Sécurité et chiffrement des données 28
Chiffrement transparent des données (TDE) ou chiffrement des données statiques
Oracle prend en charge la fonction TDE avec
Oracle Database Enterprise Edition. Pour utiliser la fonction TDE avec
NetBackup IT Analytics sur une plate-forme Linux, procédez comme suit :
1 Créez un chemin de keystore. Par exemple : /opt/aptare/oracle/wallet
# su - aptare
# mkdir /opt/aptare/oracle/wallet
2 Modifiez/créez le fichier sqlnet.ora dans l’installation Oracle. L’emplacement
par défaut est /oracle/network/admin avec le
contenu suivant :
--------------------------------
#cat /opt/aptare/oracle/network/admin/sqlnet.ora
ENCRYPTION_WALLET_LOCATION=
(SOURCE=
(METHOD=FILE)
(METHOD_DATA=
(DIRECTORY=)))
--------------------------------
3 Copiez le contenu ISO du logiciel de portail NetBackup IT Analytics dans un
répertoire du système où le portail sera installé.
4 Modifiez le fichier SQL de création d’espace de stockage pour prendre en
charge TDE :
■ Copiez le fichier database_release_10XXX.tar.gz du contenu ISO dans un
répertoire temporaire :
# cp /portal/aptare/linux/database_release_10XXX.tar.gz
/tmp/oracle_ee_tde/
■ Extrayez le fichier tar :
#cd /tmp/oracle_ee_tde
# tar -xzvf database_release_10XXX.tar.gz
■ Remplacez le fichier ora_scripts/create_tablespaces_encrypt.sql par
ora_scripts/create_tablespaces.sql :
#cp ora_scripts/create_tablespaces_encrypt.sql
ora_scripts/create_tablespaces.sqlSécurité et chiffrement des données 29
Chiffrement transparent des données (TDE) ou chiffrement des données statiques
■ Modifiez les lignes suivantes dans le fichier
ora_scripts/create_tablespaces_encrypt.sql pour remplacer les chaînes
d’espace réservé pour le mot de passe du keystore, le chemin du keystore
(par exemple /opt/aptare/oracle/wallet/) et la norme de chiffrement (par
exemple AES256) :
PROMPT Creating keystore
ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '' IDENTIFIED BY ;
PROMPT Checking wallet status
select WRL_PARAMETER,STATUS,WALLET_TYPE from
v$encryption_wallet;
PROMPT Opening Wallet...
administer key management set keystore open identified by
;
PROMPT Checking wallet status
select WRL_PARAMETER,STATUS,WALLET_TYPE from
v$encryption_wallet;
PROMPT Setting Master key
ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY WITH BACKUP USING 'aptare_scdb';
PROMPT Setting Auto login
ADMINISTER KEY MANAGEMENT CREATE LOCAL AUTO_LOGIN KEYSTORE
FROM KEYSTORE ''
IDENTIFIED BY ;
CREATE TABLESPACE aptare_tbs_data_1m
DATAFILE
'/data01/oradata/scdb/aptare_tbs_data_1m_01.dbf' SIZE 256M
REUSE AUTOEXTEND ON NEXT 64M MAXSIZE 20G
EXTENT MANAGEMENT LOCAL UNIFORM SIZE 1M
ENCRYPTION USING ‘’ DEFAULT STORAGE
(ENCRYPT); ->
Remarque : Chaque espace de stockage du fichier présente une à remplacer. Elle doivent toutes être modifiées.Sécurité et chiffrement des données 30
Chiffrement transparent des données (TDE) ou chiffrement des données statiques
5 Créez le fichier tar à l’aide du fichier modifié et remplacez-le dans le contenu
ISO.
#cd /tmp/test
# rm -f database_release_10XXX.tar.gz
# tar -cvf /tmp/database_release_10XXX.tar *
# gzip /tmp/database_release_10XXX.tar
#cp /tmp/database_release_10XXX.tar.gz /portal/aptare/linux/
6 Exécutez le script de création de schéma create_aptare_database.sh
#su - aptare /portal/ create_aptare_database.shAnnexe A
Forum aux questions
Cette annexe traite des sujets suivants :
■ Forum aux questions et solutions
Forum aux questions et solutions
Q : Comment les mots de passe sont-ils chiffrés et quel algorithme de chiffrement
est utilisé pour le chiffrement ?
R : Si l’intégration SSO est utilisée pour accéder au portail, les mots de passe
utilisateur sont stockés dans le fournisseur d’identité SSO externe. Sinon, les mots
de passe sont stockés dans une base de données Oracle chiffrée en AES128.
Q : Quelles sont les valeurs de délai d’expiration de session inactive et absolue ?
R : Le délai d’expiration de session inactive par défaut est de 15 jours, mais il peut
être personnalisé par l’administrateur.
Q : Comment la session utilisateur est-elle gérée ?
R : Une session utilisateur est gérée à l’aide de cookies.
Q : Comment le mot de passe de base de données Oracle est-il chiffré dans les
fichiers plats ? Y a-t-il des données en transit chiffrées ?
R : Si Oracle et le portail sont installés sur des serveurs distincts, l’administrateur
peut configurer cette connexion pour utiliser TLS pour chiffrer cette connexion.
Lorsqu’Oracle et le portail sont installés sur le même serveur, les données ne sont
pas chiffrées entre le portail et Oracle.Vous pouvez aussi lire
