集群合规性类别
下表描述了 Unified Manager 评估的集群安全合规性参数、Lenovo 建议,以及该参数是否影响关于集群合规还是不合规的整体判断。
在集群上具有不合规的 SVM 将影响集群的合规性值。因此,在某些情况下,可能需要先修复 SVM 安全问题,然后才会将集群安全性视为合规。
请注意,并非所有安装都会显示以下列出的每个参数。例如,如果没有对等集群,或者在集群上禁用了自动支持,则在 UI 页面中将看不到“Cluster Peering(集群对等)”或“AutoSupport HTTPS Transport(自动支持 HTTPS 传输)”项。
| 参数 | 描述 | 建议 | 影响集群合规性 |
|---|---|---|---|
| Global FIPS(全局 FIPS) | 指示启用还是禁用全局 FIPS(联邦信息处理标准)140-2 合规性模式。启用 FIPS 时,将禁用 TLSv1 和 SSLv3,只允许 TLSv1.1 和 TLSv1.2。 | 启用 | 是 |
| Telnet | 指示启用还是禁用对系统的 Telnet 访问。Lenovo 建议使用安全 Shell(SSH)进行安全的远程访问。 | Disabled(已禁用) | 是 |
| Insecure SSH Settings(不安全的 SSH 设置) | 指示 SSH 是否使用不安全的密码,例如以 *cbc 开头的密码。 | 否 | 是 |
| Login Banner(登录横幅) | 指示为访问系统的用户启用还是禁用登录横幅。 | 启用 | 是 |
| Cluster Peering(集群对等) | 指示对等集群之间的通信是加密还是未加密。必须在源集群和目标集群上都配置加密,才能将该参数视为合规。 | 加密 | 是 |
| Network Time Protocol(网络时间协议) | 指示集群是否具有一个或多个已配置的 NTP 服务器。为确保冗余和最佳服务,Lenovo 建议将至少三个 NTP 服务器与集群关联。 | 配置 | 是 |
| OCSP | 指示 ONTAP 中是否有应用程序未配置 OCSP(联机证书状态协议)(因此通信未加密)。列出不合规的应用程序。 | 启用 | 否 |
| Remote Audit Logging(远程审核日志记录) | 指示日志转发(Syslog)是否加密。 | 加密 | 是 |
| AutoSupport HTTPS Transport(自动支持 HTTPS 传输) | 指示 HTTPS 是否用作将自动支持消息发送给 Lenovo 支持机构的默认传输协议。 | Enabled(已启用) | 是 |
| 默认管理员用户 | 指示启用还是禁用默认管理员用户(内置)。Lenovo 建议锁定(禁用)所有不需要的内置帐户。 | 禁用 | 是 |
| SAML Users(SAML 用户) | 指示是否配置 SAML。使用 SAML 可以将多因素认证(MFA)配置为单点登录的登录方法。 | 无建议 | 否 |
| Active Directory 用户 | 指示是否配置 Active Directory。Active Directory 和 LDAP 是访问集群的用户的首选认证机制。 | 无建议 | 否 |
| LDAP 用户 | 指示是否配置 LDAP。Active Directory 和 LDAP 是管理集群的用户的首选认证机制(相对于本地用户)。 | 无建议 | 否 |
| 证书用户 | 指示是否配置证书用户来登录集群。 | 无建议 | 否 |
| 本地用户 | 指示是否配置本地用户来登录集群。 | 无建议 | 否 |
提供反馈