Guia de Configuração de Segurança do EMC AppSync · 2020-06-26 · l Os administradores de recursos e administradores de segurança não podem acessar os aplicativos sob o controle

EMC® AppSync®Versão 3.1

Guia de Configuração de Segurança302-003-514

01

Copyright © -2016 Dell Inc. ou suas subsidiárias. Todos os direitos reservados.

Publicado em Dezembro 2016

A Dell assegura que as informações apresentadas neste documento estão corretas na data da publicação. As informações estão sujeitas a

alterações sem prévio aviso.

AS INFORMAÇÕES CONTIDAS NESTA PUBLICAÇÃO SÃO FORNECIDAS “NO ESTADO EM QUE SE ENCONTRAM”. A DELL NÃO GARANTE

NENHUM TIPO DE INFORMAÇÃO CONTIDA NESTA PUBLICAÇÃO, ASSIM COMO SE ISENTA DE GARANTIAS DE COMERCIALIZAÇÃO OU

ADEQUAÇÃO DE UM PRODUTO A UM PROPÓSITO ESPECÍFICO. O USO, A CÓPIA E A DISTRIBUIÇÃO DE QUALQUER SOFTWARE DA DELL

DESCRITO NESTA PUBLICAÇÃO EXIGE UMA LICENÇA DE SOFTWARE.

Dell, EMC e outras marcas comerciais são marcas comerciais da Dell Inc. ou de suas subsidiárias. Outras marcas comerciais aqui mencionadas

pertencem a seus respectivos proprietários. Publicado no Brasil.

EMC BrasilRua Verbo Divino, 1.488 – 4º andar São Paulo – SP – 04719-002 0800-553622Tel.: (11) 5185-8800 Fax: (11) 5185-8999www.DellEMC.com/pt-br/index.htm

2 EMC AppSync 3.1 Guia de Configuração de Segurança

5

Visão geral da configuração de segurança 7Visão geral da configuração de segurança do AppSync................................ 8Fazendo log-in no AppSync.......................................................................... 8Fazendo logout do console do AppSync ...................................................... 9

Definições de configurações de segurança 11Introdução...................................................................................................12Visão geral do Access Control..................................................................... 12

Permissões e funções do usuário do Access Control...................... 12Alterações de exibição do console com ACLs habilitadas................13Comportamento da ACL com aplicativos e bancos de dados.......... 15Adicionar um usuário para obter privilégios de gerente da lista deAccess Control (gerente de ACL)...................................................18Aplicar uma lista de Access Control (ACL) a um objeto de aplicativo.......................................................................................................18

Configuração de tamanho de arquivo e nível de registro............................. 19Configurações de segurança de comunicação............................................. 19

Requisitos de porta do AppSync.....................................................19certificados LDAP ......................................................................... 21Importar certificados da CA .......................................................... 24

Configurações do sistema de alertas de segurança.....................................26Configurações do AppSync Server ............................................... 26Definição de tempo de expiração para dados e alertas de relatórios..26Definir configurações do servidor para alertas de e-mail................26

Outras configurações de segurança............................................................26Gerenciamento de usuários ...........................................................27Funções e permissões dos usuários................................................27Adicionando usuários .................................................................... 28Modificando um usuário ................................................................29Redefinindo a senha do usuário .....................................................29Removendo um usuário..................................................................29Alterando a função de um usuário..................................................30

Manutenção segura 31Backup e restauração de AppSync usando a ferramenta Backup Assistant....32Argumentos e ações do Backup Assistant do AppSync...............................32Restaurar um backup automatizado............................................................32

Controles de segurança física 35Controles de segurança física.....................................................................36

Tabelas

Capítulo 1

Capítulo 2

Capítulo 3

Capítulo 4

CONTEÚDO

EMC AppSync 3.1 Guia de Configuração de Segurança 3

CONTEÚDO


Exibições de usuário no painel de controle.................................................................. 13Exibições de usuário do console de plano de serviço................................................... 14Operações de gerenciamento de cópias do administrador de dados ........................... 14Comportamento da ACL com bancos de dados do SQL Server................................... 16Comportamento da ACL com o Exchange................................................................... 16Regras de ACL para Oracle......................................................................................... 16Regras de ACL para datastores do VMWare................................................................17Comportamento da ACL com file systems .................................................................. 17Requisitos de porta..................................................................................................... 19Configurações do servidor LDAP................................................................................ 22Configurações de usuários e grupos........................................................................... 23Funções e permissões.................................................................................................27Ações e argumentos da ferramenta de backup do AppSync....................................... 32

12345678910111213

TABELAS

EMC AppSync 3.1 Guia de Configuração de Segurança 5

TABELAS


CAPÍTULO 1

Visão geral da configuração de segurança

Este capítulo contém os seguintes tópicos:

l Visão geral da configuração de segurança do AppSync........................................ 8l Fazendo log-in no AppSync..................................................................................8l Fazendo logout do console do AppSync .............................................................. 9

Visão geral da configuração de segurança 7

Visão geral da configuração de segurança do AppSyncAnalise esta seção para obter noções básicas das definições da configuração desegurança disponíveis no AppSync.

A EMC usa uma estratégia de segurança para o AppSync que protege suainfraestrutura de informações contra possíveis ameaças internas e externas.

Embora o software de gerenciamento de armazenamento não seja diretamenteconsumido pelo público em geral, ele tem um papel essencial na infraestrutura deinformações de uma organização e precisa ser protegido contra abuso praticado poradversários internos ou externos. Este documento apresenta informações sobre comoa EMC criou o AppSync para atender a esse requisito crítico.

A EMC protege os dados dos clientes e respeita os ambientes nos quais os produtosEMC são implementados. As credenciais necessárias para acessar os dispositivos sãoarmazenadas com segurança. Somente usuários e componentes do sistemaautorizados podem acessar os recursos do sistema. A estratégia de segurança da EMCpode ser resumida por estes principais recursos:

l Desenvolvimento seguro do produto

l O produto no campo dispõe de suporte seguro

l A infraestrutura e os controles de segurança do cliente são integrados ao produto

l Somente usuários e componentes do sistema autorizados podem acessar osrecursos do sistema

l Portas padrão para evitar forçar a reconfiguração do firewall

Fazendo log-in no AppSyncFaça log-in com as credenciais fornecidas pelo administrador, ou use o nome de contade administrador padrão (o padrão é admin) com a senha que foi criada durante ainstalação do servidor do AppSync.

Dependendo das configurações de segurança, você pode ser solicitado a aceitar oscertificados para as conexões de servidor do AppSync ao fazer log-in pela primeiravez:

l https://appsync_server: 8444/cas-server/

l https://appsync_server: 8445/appsync

Você deve aceitar os certificados permanentemente. Para o Internet Explorer, sigaestas etapas:

1. Conecte-se ao servidor do AppSync.

2. Quando a mensagem a seguir for exibida: There is a problem with thiswebsite's security certificate selecione Continue to this website (notrecommended).

3. Clique em Certificate Error à direita da barra de endereços e selecione Viewcertificates.

4. Clique em Install Certificate e, no assistente, clique em Next.

5. Selecione Place all certificates in the following store.



https://appsync_server:8444/cas-server/

https://appsync_server:8445/appsync

6. Clique em Browse, selecione Trusted Root Certification Authorities e depoisclique em OK.

Fazendo logout do console do AppSyncFaça logout do console para se desconectar do servidor do AppSync e encerrar asessão.

Procedimento

1. Clique em Log out na parte superior do console do AppSync.

Observe que o AppSync faz o logout automático de um usuário ocioso após umahora.


Fazendo logout do console do AppSync 9



CAPÍTULO 2

Definições de configurações de segurança

Este capítulo inclui os seguintes tópicos:

l Introdução.......................................................................................................... 12l Visão geral do Access Control.............................................................................12l Configuração de tamanho de arquivo e nível de registro..................................... 19l Configurações de segurança de comunicação.....................................................19l Configurações do sistema de alertas de segurança............................................ 26l Outras configurações de segurança................................................................... 26

Definições de configurações de segurança 11

IntroduçãoEsta seção apresenta uma visão geral das configurações disponíveis no produto paragarantir uma operação segura do produto.

As configurações de segurança estão divididas nas seguintes categorias:

l A configuração do Access Control descreve as configurações disponíveis paralimitar o acesso dos usuários finais ou de componentes externos do produto.

l As configurações de segurança de comunicação descrevem as configuraçõesrelacionadas às comunicações de rede do produto.

l As configurações de segurança descrevem as configurações disponíveis paragarantir a proteção dos dados manipulados pelo produto.

l As configurações de registro descrevem as configurações relacionadas ao registrode eventos.

l As configurações de segurança do sistema de alerta descrevem as configuraçõesrelacionadas ao envio de alertas e notificações de segurança para os eventosrelacionados à segurança.

l Outras considerações sobre segurança descrevem as configurações de segurançaque podem não se enquadrar em uma das seções anteriores.

Visão geral do Access ControlSaiba como usar o Access Control para gerenciar o contato do usuário com todos osaplicativos no AppSync. Entenda como usar uma lista do Access Control (ACL) pararestringir o acesso do usuário a aplicativos específicos.

Quando você criar uma ACL para um aplicativo e, depois, atribuir usuários à lista deacesso, você concederá a esses usuários acesso ao aplicativo no AppSync. Um usuáriopoderá inscrever o aplicativo em um plano de serviço e realizar várias operações, comoexibir, gerar, montar, desmontar e restaurar cópias.

Alguns aplicativos têm um relacionamento de pai/filho, por exemplo, a instância doSQL Server (pai) e os bancos de dados do SQL Server (filhos). Objetos do aplicativofilho herdam qualquer ACL aplicada ao pai.

Permissões e funções do usuário do Access ControlAnalise as funções e permissões de usuário da ACL, incluindo a habilitação de usuários,restrições de funções e regras de usuários de ACL pai/filho.

Exceto para administradores de planos de serviço e de dados que têm uma função degerente de ACL (atribuída por um administrador de serviço), apenas usuários listadosna ACL podem acessar ou visualizar o aplicativo no console do AppSync. Os usuárioscom acesso à ACL não recebem referências para o aplicativo, como eventos e alertas.

A lista a seguir descreve as funções e permissões para ACLs no AppSync:

l Um administrador de segurança habilita a função de gerente de ACL a umadministrador de dados.

l Administradores de dados designados como gerentes de ACL podem conceder erevogar aos usuários o acesso a uma ACL.



l Os administradores de recursos e administradores de segurança não podemacessar os aplicativos sob o controle da ACL. No entanto, poderão visualizar osdados de relatório gerados a partir de aplicativos aos quais podem acessar.

l As ACLs não afetam os administradores de planos de serviço, que podem executartodas as operações permitidas por essa função.

l Objetos do aplicativo filho herdam qualquer ACL aplicada ao pai. Analise ocomportamento do modelo de ACL pai/filho a seguir:

n Quando os filhos são detectados, eles herdarão a ACL pai.

n Os usuários podem ser adicionados à ACL de um filho específico.

n Um usuário filho pode ver o pai, mesmo que esse usuário não esteja na ACL pai.O usuário filho não pode executar qualquer operação no pai além da navegação(acesso somente leitura).

l Somente os administradores de dados que têm a função de gerente de ACL têmautoridade para conceder ou remover ACLs.

l Os administradores de dados sem privilégios de gerente de ACL só podemvisualizar um plano de serviço para aplicativos aos quais podem acessar.

l As funções são cumulativas. Você recebe todos os direitos para cada função à qualvocê pertence.

Alterações de exibição do console com ACLs habilitadasSaiba como sua exibição do console do AppSync se altera quando listas ACL sãoadicionadas a um aplicativo.

Depois que um administrador com privilégios gerenciador de ACL aplica uma ACL a umaplicativo, a página Copy Management do console exibe um botão ACL Settings.Somente os administradores de dados com as permissões de gerenciamento de ACLpodem ver este botão. Eles são os únicos usuários que podem criar e gerenciar a ACL.

Depois que é criada uma ACL para um aplicativo, o acesso ao aplicativo no console étransferido de todos os usuários para os usuários designados na ACL. Os usuários quepodem visualizar o aplicativo não podem visualizá-lo em seu console.

Exibições do painel de controleO console do painel de controle é a página inicial de aplicativos protegidos. Ele refletedados gerados a partir de execuções do plano de serviço em relação a essesaplicativos. Como consequência, as informações exibidas no painel de controlederivam apenas de aplicativos aos quais você tem acesso.

A tabela a seguir lista o conteúdo que você pode exibir no painel de controle,dependendo de sua função.

Tabela 1 Exibições de usuário no painel de controle

Função Exibição do painel de controle

Administrador de segurança Não há dados do relatório ou alertas paraqualquer aplicativo sob o controle da ACL.

Administrador de recursos Mesma exibição que a do administrador desegurança.

Administrador de plano de serviço Visualize todos os dados do relatório e todosos alertas. As ACLs não afetam a função.


Alterações de exibição do console com ACLs habilitadas 13

Tabela 1 Exibições de usuário no painel de controle (continuação)

Função Exibição do painel de controle

Administrador de dados, além de função degerente de ACL

Mesma exibição que a do usuárioadministrador de planos de serviço.

Administrador de dados Seus aplicativos acessíveis exibem apenascálculos de relatórios, alertas e eventos dealerta.

Exibições do console de plano de serviçoOs administradores de dados podem exibir o console do plano de serviço e navegarpelas guias. Se um usuário é somente um administrador de dados, o sistema não exibea guia Events. No entanto, os administradores de dados com o recurso de gerenciadorde ACL podem ver a guia Events.

Tabela 2 Exibições de usuário do console de plano de serviço

Guia Afeta

Inscrições Você pode ver apenas os aplicativos para osquais estão autorizados.

Cópias Você pode ver apenas essas cópias paraaplicativos aos quais você tem autorização.

Eventos Você não pode ver qualquer aplicativo.

Reutilização de exibições de monitoramentoOs usuários podem visualizar aplicativos que estão sendo reutilizados apenas setiverem acesso a esses aplicativos.

Exibições do console de gerenciamento de cópias

A tabela a seguir lista as operações possíveis que um administrador de dados podeexecutar na guia Copy Management do console.

Tabela 3 Operações de gerenciamento de cópias do administrador de dados

Operação Abreviatura Descrição

Executar/assinar/cancelar ainscrição

SUB Realizar essas operações decópia

Montagem MNT Montar cópia

Desmontar UMNT Desmontar cópia: Em algunscasos, você não podeexecutar as operações dedesmontagem quando umplano de serviço executadoanteriormente protege osaplicativos aos quais você nãotem acesso. Essa situaçãoaciona uma exceção nãoautorizada 403.



Tabela 3 Operações de gerenciamento de cópias do administrador de dados (continuação)

Operação Abreviatura Descrição

Expirar EXP Expirar a cópia: remove-a doconsole

Restaurar RST Restaurar cópia: Asoperações de restauraçãopodem também resultar emuma exceção não autorizada403 quando você executauma operação de restauraçãoque afeta outros aplicativosque você não pode acessar.

Reutilizar RPP Reutilizar a cópia

Detectar DSC Detectar armazenamento

Definir alertas ALTS Definir alertas de relatórios

Exibir/navegar EXIBIR Exibir o e navegar no console

Comportamento da ACL com aplicativos e bancos de dadosO comportamento da ACL pode variar dependendo do banco de dados do aplicativo,file system ou datastore.

O comportamento da ACL com os seguintes aplicativos é discutido:

l Bancos de dados SQL Server

l Exchange

l Bancos de dados Oracle

l Datastores VMware

l File systems

Comportamento da ACL com bancos de dados do SQL ServerSaiba o comportamento da ACL quando usada com bancos de dados do SQL Server,incluindo o acesso de pai/filho e as operações permitidas.

O SQL Server tem um nó único do banco de dados de usuários que permite ACLs. Issoo afetará apenas se você tiver acesso a um banco de dados contido que também écoberto por uma inscrição no banco de dados do usuário. Embora você possa exibir umbanco de dados e sua assinatura, você não poderá executar o plano se a assinatura dobanco de dados tiver sido feita no nível de banco de dados do usuário.

Isso ocorre porque uma assinatura de plano de serviço naquele nível se comporta demaneira diferente. Por exemplo, a execução detecta e protege os novos bancos dedados e, como esses bancos de dados herdam as ACLs pais, os usuários que podemexecutar o plano de serviço pai devem também ser incluídos na ACL da instância doSQL Server.


Comportamento da ACL com aplicativos e bancos de dados 15

Tabela 4 Comportamento da ACL com bancos de dados do SQL Server

Aplicativo Acesso pai Acesso filho Operaçõespermitidas

Instância do SQLServer

Sim Sim SUB, ALTS, DSC


Não Sim EXIBIR


Não Não NENHUM

Banco de dados SQLServer

Sim Sim SUB, MNT, UMNT,EXP, RST, DSC

Banco de dados SQLServer

Não Sim SUB, aMNT, UMNT,EXP, RST

a. O usuário não pode executar o plano de serviço inscrito no nível do "bancos de dados deusuário".

Comportamento da ACL com o ExchangeA tabela a seguir resume o acesso do pai/filho e as operações permitidas quando umaACL com o Exchange é usada.

Tabela 5 Comportamento da ACL com o Exchange

Aplicativo Usuário comacesso pai

Usuário comacesso filho

Operaçõespermitidas

Exchange Server Sim Sim ALTS, DSC

Exchange Server Não Sim Visualizar

Exchange Server Não Não Nenhuma

Banco de dados doExchange

Sim Sim SUB, MNT, UMNT,EXP, RST, DSC

Banco de dados doExchange

Não Sim SUB, MNT, UMNT,EXP, RST

Comportamento da ACL com datastores OracleAnalise esta tabela para saber mais sobre o comportamento da ACL com bancos dedados Oracle, incluindo o acesso do usuário e as operações permitidas.

Tabela 6 Regras de ACL para Oracle

Aplicativo Acesso de usuários Operações permitidas

Usuário da ACL do banco dedados Oracle

Sim SUB, MNT, UMNT, EXP,RST, RPP, DSC

Banco de dados Oracle semusuário na ACL

Não Nenhuma



Comportamento da ACL com datastores do VMwareSaiba mais sobre o comportamento da ACL com datastores do Vmware, inclusiveacesso de pai/filho e operações permitidas.

A guia "Protected Virtual Machines" para datastores mostra uma máquina virtualprotegida somente se o usuário tiver acesso a pelo menos um datastore associado àmáquina virtual. Como imagens de máquina virtual têm um relacionamento um paramuitos com datastores, os usuários precisam ter acesso a apenas um dos datastoresda imagem para acessar a imagem. Caso contrário, o usuário não pode visualizar aimagem.

Tabela 7 Regras de ACL para datastores do VMWare

Aplicativo Acesso de usuários Operações permitidas

Datastores de máquina virtual Sim SUB, MNT, UMNT, EXP,RST, DSC

Datastores de máquina virtual Não NENHUM

Comportamento da ACL com file systemsSaiba mais sobre o comportamento da ACL com file systems, inclusive acesso em nívelde host, acesso de pai/filho e operações de permissão.

Com file systems, relacionamentos de pais/filhos se comportam diferentemente deExchange e SQL Server. A ACL pai do file system (nível de host) refere-se apenas àcoleta de file systems em um host. A ACL não será aplicada no host e, portanto, nãoimpede as operações que um usuário pode realizar em um host. O uso de pai-filho serefere a uma ACL de file system como um grupo sem precisar selecionar file systemsindividuais.

Uma vez que as ACLs não se aplicam ao host, os administradores de dados podemvisualizá-las sempre, mesmo que o administrador de dados navegue até uma páginavazia.

Tabela 8 Comportamento da ACL com file systems

Aplicativo Acesso no nível dehost

Acesso filho Operaçõespermitidas

Nível de host sim sim DSC

Nível de host Não sim VIEW, DSC, ALRT

Nível de host Não Não EXIBIR

File system Sim Sim SUB, MNT, UMNT,EXP, RST, DSC

File system Não Sim SUB, MNT, UMNT,EXP, RST, DSC


Comportamento da ACL com aplicativos e bancos de dados 17

Adicionar um usuário para obter privilégios de gerente da lista de AccessControl (gerente de ACL)

Saiba como atribuir um usuário e você mesmo como um gerente de ACL.

Antes de você começar

O AppSync exige o privilégio de administrador de segurança para atribuir um usuáriocomo um gerente de ACL.

Procedimento

1. Selecione Settings > User Administration > Users e, em seguida, clique emAdd.

2. No botão de seleção User Authentication, selecione Local e, em seguida, digiteo nome de usuário, a senha e a confirmação da senha.

3. Para adicionar uma função de gerente de ACL a um usuário, selecione DataAdministrator e, em seguida, clique em Enable ACL Manager.

Os gerentes de ACL também devem receber a função de administrador dedados.

4. Para atribuir a você mesmo a função de gerente de ACL, execute as seguintesetapas:

a. Faça o logout.

b. Faça log-in novamente.

c. Selecione Settings > User Administration > Users e, em seguida, clique emModify.

d. Clique em Enable ACL Manager.

Aplicar uma lista de Access Control (ACL) a um objeto de aplicativoSaiba mais sobre os privilégios necessários, as restrições e as etapas para adicionarusuários a uma lista de Access Control para um objeto de aplicativo.


Você deve ter um privilégio de administrador de dados com o gerente de ACLhabilitado para adicionar usuários a uma ACL de aplicativos.

Procedimento

1. No console, acesse Applications > Copy Management, onde as listas deobjetos de aplicativos disponíveis são exibidas, por exemplo, instâncias do SQLServer.

2. Clique em ACL Settings para abrir a caixa de diálogo do ACL Settings, ondevocê pode especificar o acesso de usuário ou grupo ao objeto do aplicativodesejado.

A caixa de diálogo de configurações de ACL lista os usuários qualificados e osusuários já atribuídos a uma ACL.

3. Selecione os usuários desejados (eles não têm marcas de seleção ao seu lado),selecione Enable ACL support e, em seguida, clique em OK.

Resultado

A ACL é aplicada ao objeto desejado. Se a ACL tiver sido aplicada a, por exemplo, umainstância de banco de dados do SQL Server, a ACL será propagada aos bancos de



dados filhos do banco de dados do SQL Server. Se você abrir a caixa de diálogo nobanco de dados filho, os usuários herdados aplicados à instância do SQL Server paiserão exibidos. Você não pode remover usuários herdados de uma ACL filha. Noentanto, pode adicionar novos usuários a uma ACL filha.

Configuração de tamanho de arquivo e nível de registroUse os níveis de registro para controlar o tamanho dos registros do servidor doAppSync, seu número e a severidade das mensagens registradas.


Essa operação requer a função de administrador de recursos em AppSync

Os arquivos de registros são armazenados na pasta do jboss\logs, no local onde oAppSync Server foi instalado. Esse local não pode ser alterado.

Procedimento

1. Selecione Settings > AppSync Server Settings.

2. Selecione uma contagem de rodízio de arquivos de registros.

O padrão é 20.

3. Selecione um tamanho máximo do registro.

Os tamanhos de arquivo variam de 1 MB a 999 GB. O padrão é 20 MB.

4. Selecione um nível de registro: Normal ou Debug.

O padrão é Normal.

Configurações de segurança de comunicaçãoAs configurações de segurança de comunicação permitem estabelecer canais decomunicação seguros entre componentes do produto; e entre componentes deproduto e sistemas ou componentes externos.

Requisitos de porta do AppSyncQuando houver um firewall, as portas específicas precisarão estar abertas para aoperação correta do AppSync.

Tabela 9 Requisitos de porta

IP de origem IP de destino Porta de destino

AppSync Server Host de produção ou montagemexecutando o plug-in do host doWindows para o AppSync

Obs.

Forçar a inicialização do plug-inde host do AppSync em um hostWindows exige o acesso CIFS(portas TCP 139 e TCP 445)como porta de destino.

l 10004 (padrão)

l 1024-49151(intervalo válido)

l Protocolo: TCP


Configuração de tamanho de arquivo e nível de registro 19

Tabela 9 Requisitos de porta (continuação)


Array VNX l 80/443 (padrão)

l 1 (212) 999-9999

l Protocolo: Portade destino deTCP

XMS (XtremIO ManagementServer)

l 443


Appliance RecoverPoint l 7225


Servidor LDAP l 389

l 636 (LDAPS)


SMI-S Provider l 5989


ViPR Controller l 443

l Protocolo: https

Host de produção ou montagemexecutando o plug-in de host doAppSync UNIX

l 22 (porta SSH)

l TCP

VPLEX l 443

l Protocolo: https

VMware vCenter Server l 443 (padrão)

l Protocolo: https

VNXe l 443


Unity l 443



Tabela 9 Requisitos de porta (continuação)



Camada 4.1.1 e posterior do RESTdo RecoverPoint

l 443


Host de produção ou montagemexecutando o plug-in de host doWindows para AppSync

AppSync Server l 10004


Computador do usuárioexecutando o console do AppSync(interface do usuário) - Padrão

Obs.

Se você configurou diferentesportas para o AppSync Serverdurante a instalação, essas portaspodem ser alteradas.

AppSync Server l 8015, 8085,8444, 8445


Host de produção ou montagemexecutando o plug-in de host doAppSync UNIX

AppSync Server l 135

l Porta: TCP

l Protocolo: SSH

certificados LDAPPara que ocorram comunicações seguras entre duas entidades em rede, como oAppSync e um servidor LDAP, uma deve confiar na (ou seja, aceitar o certificado da)outra.

Entidades em rede que trocam dados usam certificados para se autenticarmutuamente.

Quando o certificado de um servidor LDAP é aceito ou validado, o AppSync registra ocertificado como confiável. Isso garante que o AppSync confia no servidor LDAP paraconexões subsequentes.

Você pode escolher ignorar a verificação do certificado; entretanto, deve fazê-losomente quando tiver certeza de que o AppSync está se conectando com o servidorLDAP correto. Se você ignorar o processo de verificação de certificado, o AppSyncnão poderá garantir uma conexão segura com o servidor LDAP.


certificados LDAP 21

Configurando o acesso ao LDAPAntes de poder adicionar um usuário do LDAP, você precisa configurar o acesso a umservidor de diretórios LDAP.


Essa operação requer a função de administrador de segurança em AppSyncProcedimento

1. Selecione Settings > User Administration.

2. Selecione LDAP Settings.

3. Os valores são necessários para o nome, porta, nome distinto, senha, caminhode pesquisa de usuário e caminho de pesquisa de grupo. Consulte LDAP serversettings

4. Para as configurações de grupo e usuário, os valores são necessários para ocaminho de pesquisa de usuário e o caminho de pesquisa de grupo. Consulte User and group settings

5. Clique em Apply.

Configurações do servidor LDAPConfigurações específicas são necessárias para configurar o acesso ao LDAP.

Tabela 10 Configurações do servidor LDAP

Definição Descrição

Nome deautoridade

Nome de domínio plenamente qualificado que representa a root daárvore do diretório LDAP. Use um formato separado por ponto, similarao utilizado no DNS. Esse formato pode ser convertido para o formatoX.509. Por exemplo, ldap.emc.com é convertido para o formato X.509dc=ldap,dc=emc,dc=com.

Obs.

O nome do domínio não deve conter caracteres especiais. Consulte oartigo da base de conhecimento 90380 disponível no site de suporte daEMC. Além disso, as exceções para a regra de caracteres especiaiscontidas no artigo da Microsoft 909264 "Nomenclatura no ActiveDirectory para computadores, domínios, locais e unidadesorganizacionais" não se aplicam como mencionado neste artigo e nãodevem ser usadas em nomes de host. Um valor apenas.

Servidor LDAP O endereço IP, o nome do host ou FQDN do servidor de diretórioprincipal que será usado para autenticação. O valor especificadodepende do formato do campo de assunto inserido no certificado doservidor de diretório e, geralmente, requer um nome de host. Um valorapenas.

Porta Número de porta usada pelo servidor de diretórios para comunicaçõesLDAP. Por padrão, o LDAP utiliza a porta 389 e o LDAPS SSL, a porta636.

Usar protocoloLDAPS

Selecione esta opção para usar LDAPS para garantir a segurança decomunicação.



Tabela 10 Configurações do servidor LDAP (continuação)

Definição Descrição

Nome diferenciado Indica que o usuário administrador com privilégios para se conectar aoLDAP para autenticação. O DN pode ser expresso no formato RDN, UserPrinciple Name ou nome de log-on de nível inferior. Por exemplo, se onome do domínio completo for mycompany.com, o DN pode serexpresso como mycompany\administrator,[email protected] oucn=administrator,cn=users,dc=mycompany,dc=com.

Senha Especifique a senha da conta (a credencial de vinculação usada paraautenticar a conta).

Arquivo decertificado

Arquivo contendo o certificado SSL emitido no servidor AD, necessáriopara habilitar comunicações SSL para o servidor AD.

Configurações de usuários e gruposConfigurações específicas são necessárias para configurar o acesso ao LDAP.

Tabela 11 Configurações de usuários e grupos

Configuração Descrição

Atributo do ID deusuário

Nome do atributo de LDAP cujo valor indica o ID de usuário (porexemplo, sAMAccountName).

Classe de objeto dousuário

Classe de objeto LDAP de usuários (por exemplo, user). No ActiveDirectory, os grupos e usuários são armazenados no mesmo caminho dediretório da hierarquia e a classe é chamada de grupo.

Caminho depesquisa de usuário

Caminho para pesquisar usuários no servidor de diretório, por exemplo,cn=users, dc=mycompany, dc=com

Atributo domembro de grupo

Nome do atributo LDAP cujo valor contém nomes de membros do grupoem um grupo (por exemplo, membro).

Atributo do nomede grupo

Nome do atributo de LDAP cujo valor contém nomes de grupos (porexemplo, grupo).

Classe de objeto dogrupo

Classe de objeto LDAP para grupos. No Active Directory, os grupos e osusuários são armazenados no mesmo caminho de diretório e a classe échamada de grupo.

Caminho depesquisa de grupo

Caminho para pesquisar grupos no servidor de diretórios, por exemplo,cn=users, dc=mycompany, dc=com. Em um Active Directory Server, umcaminho de pesquisa padrão é utilizado.

Obs.

l Os usuários do LDAP devem estar registrados no AppSync.

l Os grupos do LDAP não são compatíveis com suporte.


certificados LDAP 23

Importar certificados da CAAntes de você começar

Você precisa ter privilégios de administrador para executar os comandos.

Obs.

l <key_file> é o nome do arquivo de chave usado pelo AppSync.

l <password> é a senha do certificado do arquivo de chave que é copiado para ohost.

l <certificate_file> é o nome do arquivo de certificado assinado pela CAusado pelo AppSync.

l <AppSyncInstallation> é o local onde o AppSync é instalado. O local padrãoé C:\EMC\AppSync.

l <jks_password> é a senha do keystore do Java.

Procedimento

1. Verifique se o CN (Common Name, nome comum) de certificado no certificadoassinado pela CA tem o mesmo nome do host onde o AppSync está instalado. Omesmo nome também precisa ser mencionado no arquivo standalone.xmlcom a propriedade do sistema como appsync.server.

2. Faça backup dos seguintes arquivos de configuração e do certificado existente:

l <AppSyncInstallation>\jboss\standalone\configutation\cas.crt

l <AppSyncInstallation>\jboss\standalone\configutation\cas.jks

l <AppSyncInstallation>\jboss\standalone\configutation\standalone.xml

l <AppSyncInstallation>\apache-tomcat\conf\server.xml

3. Desligue o serviço do servidor do AppSync e o serviço de segurança doAppSync do aplicativo Serviços do Windows.

4. Copie o arquivo de chave e o arquivo de certificado obtido pela CA para oseguinte local:

<AppSyncInstallation>\jboss\standalone\configutation\5. No prompt de comando, digite o seguinte comando para excluir o certificado

existente no keystore do Java JRE:

<AppSyncInstallation>\jboss\_jre\bin\keytool -delete –keystore <AppSyncInstallation>\jboss\_jre\lib\security\cacerts -v -storepass <jks_password> -alias appsync

6. Modifique a configuração do servidor do AppSync para usar o certificado da CA.Abra o arquivo standalone.xml localizado em <AppSyncInstallation>



\jboss\standalone\configutation\standalone.xml, localize a tagxml <subsystem> e edite da seguinte maneira:

<subsystem xmlns="urn:jboss:domain:web:1.1" default-virtual-server="default-host" native="true"> <connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http" redirect-port="8445"/> <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true"> <ssl name="ssl" password="<password>" certificate-key-file="${jboss.server.config.dir}\<key_file>"protocol="TLSv1,TLSv1.1,TLSv1.2" verify-client="false" certificate-file="${jboss.server.config.dir}\<certificate_file>"/> </connector> <virtual-server name="default-host" enable-welcome-root="false"> <alias name="localhost"/> <alias name="example.com"/> </virtual-server> </subsystem>

7. Modifique a configuração do AppSync CAS (Central Authentication Service).Abra o arquivo server.xml localizado em <AppSyncinstallation>\apache-tomcat\conf\server.xml, localize a tag XML <Connector> eedite da seguinte maneira:

<Connector SSLEnabled="true" clientAuth="false" SSLCertificateFile=" <AppSyncInstallation>\jboss\standalone\configutation\<certificate_file>" SSLCertificateKeyFile="<AppSyncInstallation>\jboss\standalone\configutation\<key_file>" SSLVerifyClient="optional" SSLPassword="<password>" maxThreads="150" port="8444" protocol="org.apache.coyote.http11.Http11AprProtocol" scheme="https" secure="true" sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"/>

8. No prompt de comando, digite os seguintes comandos para importar ocertificado da CA para o JRE:

<AppSyncinstallation>jboss\_jre\bin\keytool exe -importcert -file<AppSyncInstallation>\jboss\standalone\configutation\<certificate_file> -keystore <AppsyncInstallation>\jboss\_jre\lib\security\cacerts -storepass <jks_password> -alias appsync

9. Reinicie o serviço de segurança do AppSync e o serviço do servidor doAppSync.

10. Se a importação apresentar falha, faça o seguinte:

a. Copie para o local original os arquivos cas.crt e cas.jks que tiveram obackup feito.

b. Copie para seus respectivos locais os arquivos standalone.xml eserver.xml que tiveram o backup feito.


Importar certificados da CA 25

c. Repita a etapa 8 com o arquivo cas.jks.

Configurações do sistema de alertas de segurança

Configurações do AppSync ServerUse as configurações do servidor do AppSync para configurações de registro, de e-mail e de expiração para alertas e relatórios.

Definição de tempo de expiração para dados e alertas de relatóriosPor padrão, os alertas são excluídos após 30 dias. Por padrão, os dados que sãousados em relatórios são excluídos depois de 120 dias. Você pode alterar esses valoresnas configurações do servidor.


Essa operação requer a função de administrador de recursos em AppSyncProcedimento


2. Especifique a quantidade de tempo para manter os dados dos alertas erelatórios ou selecione Insert Default Values.

3. Clique em Apply.

Definir configurações do servidor para alertas de e-mailConfigurar os serviços de SMTP em uma máquina que o servidor do AppSync possaacessar.


Essa operação requer a função de administrador de recursos em AppSyncConsulte os procedimentos de configuração na documentação de SMTP.

Procedimento


2. Nas configurações de Send Mail, digite valores para o servidor de SMTP, aporta e o remetente.

Use Test para validar as configurações. Digite o endereço de um destinatário edepois marque a caixa de entrada do destinatário. Você também pode selecionarInsert Default Values.

3. Clique em Apply.

Outras configurações de segurançaObtenha as configurações de segurança adicionais que podem não aparecer nasseções anteriores deste guia.

Essas considerações de segurança incluem:

l Gerenciando a segurança do usuário

l Gerenciando licenças



Gerenciamento de usuáriosVocê pode configurar o AppSync para ter vários usuários. Cada usuário pode receberuma ou mais funções que correspondam a suas responsabilidades e necessidades.

Você pode criar usuários locais para o AppSync e, opcionalmente, adicionar usuáriosLDAP.

Funções e permissões dos usuáriosAs funções determinam as operações que um usuário pode realizar.

Um usuário pode ter várias funções. As funções são cumulativas, não hierárquicas.

Tabela 12 Funções e permissões

Função Permissões

Administrador desegurança

l Configurar servidores LDAP

l Adicionar usuários

l Modificar usuários, inclusive alterando senhas de outrosusuários

l Remover usuários

l Adicionar funções a usuários

l Remover funções de usuários

l Atribuir uma função de gerente de ACL (Access Control List,lista de recursos de armazenamento) a um administrador dedados

Administrador derecursos

l Adicionar, modificar ou remover qualquer tipo de array dearmazenamento

l Adicionar, modificar ou remover um local do RecoverPoint

l Adicionar um host; exige credenciais de host

l Modificar ou excluir um host

l Adicionar um vCenter Server

l Modificar ou excluir um vCenter Server

l Obter e carregar licenças

l Modificar configurações de servidor

Administrador de planode serviço

l Adicionar plano de serviço

l Modificar plano de serviço (exceto substituições e seleção deservidor de membro do DAG e cópia do DAG a ser protegida)

l Excluir um plano de serviço

l Executar um plano de serviço

Administrador de dados l Configurar aplicativos em um host

l Detectar bancos de dados do aplicativo em um host

l Detectar datastores VMware


Gerenciamento de usuários 27

Tabela 12 Funções e permissões (continuação)

Função Permissões

l Inscrever dados em um plano de serviço

l Remover aplicativos de uma assinatura de plano de serviço

l Especificar a substituição de aplicativos de configuraçõesinscritos em um plano de serviço

l Selecionar servidor de membros do DAG e cópia para proteção

l Reutilizar uma cópia

l Criar uma cópia sob demanda

l Executar um plano de serviço sob demanda

l Montar uma cópia sob demanda

l Restaurar uma cópia sob demanda

Gerente de ACL (AccessControl List, lista derecursos dearmazenamento)

l Atribuir um aplicativo a uma ACL

l Conceder e revogar usuários de uma ACL

l Adicionar novos usuários à ACL de um filho.

l Exibir aplicativos na ACL

l Exibir dados do relatório para aplicativos na ACL

l Um administrador de segurança habilita a função de gerente deACL a um administrador de dados.

l Consulte o guia de segurança para o AppSync para obterinformações completas sobre o Access Control.

Adicionando usuáriosSe você deseja configurar o AppSync para ter vários usuários, você precisa adicioná-los no servidor do AppSync.


Essa operação requer a função de administrador de segurança em AppSyncVocê deve configurar o servidor de LDAP antes de criar um usuário de LDAP.

Procedimento

1. Selecione Settings > User Administration > Users e, em seguida, clique emAdd.

2. Selecione um tipo de usuário: local ou LDAP.

l Se você selecionar usuário local, digite o nome de usuário, a senha e aconfirmação de senha. Com essa opção, você está criando um usuário que éconhecido apenas no AppSync.

l Se você selecionar LDAP, digite um usuário. Look Up valida a entrada.

l Se você deseja atribuir uma função de gerente de ACL a outro usuário,selecione Data Administrator e, em seguida, clique em Enable ACLManager. Os gerentes de ACL também devem receber a função deadministrador de dados.



Obs.

Se você deseja atribuir a você mesmo a função de gerente de ACL, atribua afunção de administrador de dados primeiro, faça logout e faça log-innovamente.

3. Selecione uma ou mais funções do AppSync.

As funções são locais apenas para o AppSync.

Modificando um usuárioVocê pode adicionar ou remover um usuário e alterar a função e a senha do usuário.



1. Selecione Settings > User Administration > Users.

2. Selecione o nome de usuário para modificar e escolha uma ação nos botõesdisponíveis: Add, Remove, Reset Password ou Change Role.

Se você quiser alterar sua função para habilitar a verificação de função degerente de ACL, selecione Enable ACL Manager na página Change Role.Certifique-se de marcar também a função de administrador de dados, uma vezque você deve ser um administrador de dados para obter permissões de gerentede ACL.

Redefinindo a senha do usuárioVocê pode alterar a senha de um usuário local do AppSync.




2. Selecione um usuário e clique em Reset Password.

3. Digite e confirme a nova senha.

4. Clique em OK.

O usuário não poderá mais fazer log-in com a senha anterior.

Removendo um usuárioRemover um usuário remove a conta do banco de dados do AppSync. Remover umusuário de LDAP do AppSync não tem efeito sobre o servidor LDAP.




2. Selecione os usuários que deseja mover.

3. Clique em Remove e verifique.


Modificando um usuário 29

Alterando a função de um usuárioAlterar as funções atribuídas a um usuário altera os recursos do usuário para gerenciardados no AppSync.


Essa operação requer a função de administrador de segurança em AppSync

Procedimento

1. Selecione Settings > User Administration.

2. Selecione o usuário cujas permissões você deseja alterar.

3. Selecione Change Role.

4. Selecione ou desmarque uma ou mais funções, e clique em OK.

Depois que você terminar

Obs.

Se você remover a função de administrador de dados de um usuário, ele não terá maisdireitos ao gerenciamento de ACL.



CAPÍTULO 3

Manutenção segura

O capítulo contém os seguintes tópicos:

l Backup e restauração de AppSync usando a ferramenta Backup Assistant........ 32l Argumentos e ações do Backup Assistant do AppSync...................................... 32l Restaurar um backup automatizado................................................................... 32

Manutenção segura 31

Backup e restauração de AppSync usando a ferramentaBackup Assistant

Instalada com o servidor do AppSync, é uma ferramenta que pode ser aproveitadapara backup e restauração do banco de dados local do AppSync. A ferramenta échamada de Backup Assistant.

Argumentos e ações do Backup Assistant do AppSyncSaiba como fazer backup e restaurar o banco de dados do AppSync selecionando osargumentos apropriados para o Backup Assistant do AppSync, appsync-backup.bat, localizado no diretório do \AppSync\backup-assistant.

Certifique-se de que você tem um backup válido antes de tentar uma restauração debanco de dados.Para criar um backup, execute o appsync-backup.bat no prompt de comando doadministrador usando a seguinte sintaxe:

appsync-backup.bat[-o, -out "<path>"] [-d, -debug] [-h, -help]

Tabela 13 Ações e argumentos da ferramenta de backup do AppSync

Argumento Ação

-o, -out Permite que você especifique o diretório base para salvar o backup. O backup é colocado em umsubdiretório que faz referência à data e à hora atuais. (Default ='$SystemDrive\AppSyncBackup\<DateTimeStamp>')

-d, -debug Permite a exibição de mensagens DEBUG.

-h, -help Imprime a mensagem de ajuda.

-i, -import Permite que você especifique um backup que deseja restaurar no host atual. (Se esse argumento não forusado, um backup será usado.)

Um exemplo de um comando de exportação.appsync-backup.bat -o C:\AppSyncBackupDir -d

Restaurar um backup automatizadoA ferramenta Backup Assistant permite que você restaure um backup criadoanteriormente com essa ferramenta. Saiba mais sobre o processo e as restrições dobackup automatizado. Certifique-se de restaurar um backup em um período de baixaatividade no servidor.


Para restaurar um backup a partir de uma versão antiga do AppSync certifique-se deinstalar a versão mais recente de AppSync antes de tentar usar a restauraçãoautomatizada.

A restauração automatizada é compatível com backups feitos com a ferramentaBackup Assistant do AppSync 2.0 e superior.

Manutenção segura


Obs.

A restauração automatizada é compatível com backups feitos com a ferramentaBackup Assistant do AppSync 2.0 e superior. No entanto, a restauração de uma versãoanterior do banco de dados do AppSync em backup em uma nova versão do servidordo AppSync não é compatível. Certifique-se de que a versão do servidor do AppSyncinstalada no host é a mesma versão que a do backup que foi criado.

Backups feitos a partir do AppSync 1.6 ainda são compatíveis, mas você deve seguir oprocesso de restauração manual.

Procedimento

1. Execute a ferramenta Backup Assistant com o argumento -i,-import, porexemplo: C:\AppSyncBackup\2100_BACKUP\2015_06_17_06_34_32\base.tar.gzAo executar essa restauração, os serviços do AppSync serão interrompidos.

Manutenção segura

Restaurar um backup automatizado 33

Manutenção segura


CAPÍTULO 4

Controles de segurança física

Este capítulo contém os seguintes tópicos:

l Controles de segurança física............................................................................ 36

Controles de segurança física 35

Controles de segurança físicaComo o AppSync é um produto de software, não há controles físicos de hardware.Certifique-se sempre de que seus bancos de dados físicos, servidores, dispositivos derede e outros componentes estão fisicamente seguros antes de instalar o software doAppSync.

Controles de segurança física


Documents

Guia de Configuração de Segurança do EMC AppSync · 2020-06-26 · l Os administradores de recursos e administradores de segurança não podem acessar os aplicativos sob o controle