EMC VNXe Version 2 Guide de configuration de la sécurité RÉF. 300-012-190 Rev 05 EMC Computer Systems France River Ouest 80 quai Voltaire CS 21002 95876 Bezons Cedex Tél. : +33 1 39 96 90 00 Fax : +33 1 39 96 99 99
Copyright 2011-2013 EMC Corporation. Tous droits réservés. Publié en January 2013 EMC estime que les informations figurant dans cette publication sont exactes à la date de parution. Ces informations sont sujettes à modification sans préavis. LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES "EN L' ÉTAT". EMC CORPORATION NE FOURNIT AUCUNE DÉCLARATION NI GARANTIE CONCERNANT LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION ET REJETTE PLUS SPÉCIALEMENT TOUTE GARANTIE DE VALEUR MARCHANDE OU D ADÉQUATION IMPLICITE À UN BESOIN SPÉCIFIQUE. L'utilisation, la copie et la distribution de tout logiciel EMC décrit dans cette publication exigent une licence logicielle en cours de validité. Pour obtenir les documents réglementaires les plus récents pour votre produit, consultez la section Documentations et conseils techniques sur EMC Powerlink. Pour obtenir la liste actualisée des noms de produits, consultez la rubrique des marques EMC via le lien Législation sur le site http://france.emc.com. Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteurs respectifs. 2 Guide de configuration de la sécurité pour EMC VNXe
Sommaire Préface...5 Chapitre 1: Introduction...9 Présentation...10 Documentation associée...10 Chapitre 2: Contrôle d accès...13 Méthodes d'accès...14 Comptes de maintenance et de gestion par défaut du VNXe...16 Gestion des comptes VNXe...16 Unisphere for VNXe...17 Interface de ligne de commande VNXe Unisphere...18 Interface de maintenance VNXe SSH...20 Interface de maintenance VNXe sur port série...21 Chapitre 3: Consignation...23 Consignation...24 Options de consignation à distance...25 Chapitre 4: Sécurité des communications...27 Utilisation des ports...28 Ports réseau VNXe...28 Ports pouvant être contactés par le système VNXe...32 Certificat VNXe...35 Configuration de l interface de gestion à l aide de DHCP...35 Attribution automatique d une adresse IP au système VNXe...36 Guide de configuration de la sécurité pour EMC VNXe 3
Sommaire Fonctions, services et interfaces VNXe prenant en charge le protocole IPv6...37 Accès à l interface de gestion du système VNXe à l aide d IPv6...39 Exécution de Connection Utility...40 Cryptage CIFS...41 Chapitre 5: Paramètres de sécurité des données...43 Paramètres de sécurité des données...44 Chiffrement des données inactives...45 Chapitre 6: Maintenance de sécurité...49 Maintenance sécurisée...50 Mise à jour des licences...50 Mise à niveau des logiciels...50 Chapitre 7: Paramètres d'alerte de sécurité...53 Paramètres d alerte...54 Configuration des paramètres d'alerte...55 Chapitre 8: Autres paramètres de sécurité...57 Effacement des données...58 Contrôles de sécurité physique...58 Protection antivirus...58 4 Guide de configuration de la sécurité pour EMC VNXe
Préface Afin d améliorer et de développer les performances et les fonctionnalités de ses gammes de produits, EMC publie régulièrement des révisions de ses matériels et logiciels. C est pourquoi certaines des fonctions décrites dans ce document peuvent ne pas être prises en charge par toutes les versions des produits matériels ou logiciels actuellement utilisés. Pour obtenir les informations les plus récentes sur les fonctions de votre produit, consultez ses notes de mise à jour. Si un produit ne fonctionne pas correctement ou qu il fonctionne différemment de ce qui est décrit dans ce document, veuillez contacter un responsable de compte EMC. Guide de configuration de la sécurité pour EMC VNXe 5
Préface Conventions sur certains points particuliers EMC utilise les conventions suivantes pour attirer l'attention du lecteur sur certains points particuliers : Remarque : met l'accent sur un contenu dont l'importance ou l'intérêt est capital, mais qui n'implique ni blessure ni perte de données ou d'activité. Identifie un contenu signalant une perte éventuelle de données ou d'activité. Indique une situation dangereuse qui, si elle n'est pas évitée, risque d'entraîner des blessures mineures ou modérées. Indique une situation dangereuse qui, si elle n'est pas évitée, risque d'entraîner des blessures graves voire mortelles. Indique une situation dangereuse qui, si elle n'est pas évitée, entraînera des blessures graves voire mortelles. Obtenir de l aide Pour obtenir des informations sur le support, les produits et les licences VNXe, procédez comme suit : Informations relatives au produit : pour obtenir de la documentation, des notes de mise à jour, des mises à jour logicielles ou des informations sur les produits, licences et services EMC, consultez le site Web du Support en ligne EMC (enregistrement obligatoire) à l'adresse : http://www.emc.com/vnxesupport. Support technique : pour adresser des demandes liées à la maintenance et au support technique, rendez-vous sur le site Web du Support en ligne EMC. Sous Centre de services, plusieurs options sont disponibles, notamment pour créer une demande de service. Notez que pour pouvoir ouvrir une demande de service, vous devez disposer d un contrat de support valide. Contactez le responsable de compte EMC pour savoir comment obtenir un contrat de support valide ou si vous avez des questions concernant votre compte. Remarque : vous n'êtes pas autorisé à demander l'aide d'un responsable de compte particulier sauf si un responsable de compte a été affecté spécialement à votre problème système. Vos commentaires Vos suggestions contribuent à améliorer la précision, l organisation et la qualité d ensemble des publications destinées à nos utilisateurs. Merci d envoyer vos commentaires relatifs à ce document à l adresse suivante : 6 Guide de configuration de la sécurité pour EMC VNXe
Préface techpubcomments@emc.com Guide de configuration de la sécurité pour EMC VNXe 7
Préface 8 Guide de configuration de la sécurité pour EMC VNXe
1 Introduction Ce chapitre décrit brièvement diverses fonctions de sécurité implémentées sur le système VNXe. Les rubriques sont les suivantes : Présentation à la page 10 Documentation associée à la page 10 Guide de configuration de la sécurité pour EMC VNXe 9
Introduction Présentation EMC VNXe utilise diverses fonctions de sécurité pour contrôler les accès utilisateur et réseau, surveiller l'accès au système et son utilisation, et prendre en charge la transmission des données de stockage. Ce document décrit les fonctions de sécurité VNXe disponibles. Ce document s'adresse aux administrateurs responsables de la configuration et du fonctionnement du système VNXe. Ce guide examine les paramètres de sécurité des catégories présentées dans le Tableau 1 à la page 10 : Tableau 1. Catégories de paramètre de sécurité Catégories de sécurité Contrôle des accès Journaux Sécurité des communications Sécurité des données Facilité de service Système d'alerte Autres paramètres de sécurité Description Restriction de l accès par l utilisateur ou d autres entités pour protéger les fonctions matérielles, logicielles ou de produits spécifiques. Gestion de la consignation des événements. Sécurisation des communications réseau du produit. Protection des données du produit. Contrôle continu des interventions de maintenance sur le produit effectuées par EMC ou ses partenaires spécialisés. Génération de notifications et d'alertes de sécurité pour les événements en rapport avec la sécurité. Paramètres de sécurité n'appartenant à aucune des précédentes catégories, comme l'effacement des données et la sécurité physique. Documentation associée Pour obtenir des instructions de configuration spécifiques, consultez la documentation du système VNXe disponible sur le site Web du Support en ligne EMC, à l'adresse http://www.emc.com/vnxesupport. Ce guide comporte des références aux documents suivants le cas échéant. Installation de votre matériel VNXe Aide en ligne d'unisphere for VNXe Utilisation du système VNXe avec des dossiers partagés CIFS Utilisation du système VNXe avec des dossiers partagés NFS Utilisation du système VNXe avec Microsoft Exchange Utilisation d'un système EMC VNXe avec du stockage iscsi générique Utilisation d'un système EMC VNXe avec du stockage VMware 10 Guide de configuration de la sécurité pour EMC VNXe
Introduction Guide d'utilisation de la CLI VNXe Documentation associée 11
Introduction 12 Guide de configuration de la sécurité pour EMC VNXe
2 Contrôle d accès Ce chapitre décrit diverses fonctions de contrôle d'accès implémentées sur le système VNXe. Les rubriques sont les suivantes : Méthodes d'accès à la page 14 Comptes de maintenance et de gestion par défaut du VNXe à la page 16 Gestion des comptes VNXe à la page 16 Unisphere for VNXe à la page 17 Interface de ligne de commande VNXe Unisphere à la page 18 Interface de maintenance VNXe SSH à la page 20 Interface de maintenance VNXe sur port série à la page 21 Guide de configuration de la sécurité pour EMC VNXe 13
Contrôle d accès Méthodes d'accès VNXe prend en charge les méthodes d'accès présentées dans le Tableau 2 à la page 14. Tableau 2. Méthodes d'accès Type Comptes de gestion Description Ces comptes disposent de privilèges (voir le Tableau 6 à la page 18) qui les autorisent à effectuer des tâches de gestion et de surveillance sur le système VNXe et ses ressources de stockage. Les mots de passe sont créés et gérés via les interfaces de gestion du système VNXe et peuvent être utilisés pour accéder à toutes les interfaces de gestion suivantes : EMC Unisphere : Interface graphique Web accessible via HTTPS qui fournit des outils dédiés à la configuration, à la gestion et à la surveillance du stockage VNXe et des paramètres du système. CLI VNXe Unisphere : La CLI VNXe Unisphere offre un sous-ensemble des fonctions disponibles via Unisphere. 14 Guide de configuration de la sécurité pour EMC VNXe
Contrôle d accès Tableau 2. Méthodes d'accès (suite) Type Compte de maintenance Description Ce compte sert à exécuter des fonctions de maintenance spécialisées. Un seul compte permet d accéder aux interfaces de maintenance via une connexion SSH ou par port série. Les interfaces de maintenance du VNXe sont les suivantes : Unisphere for VNXe : À l aide d un compte de gestion, entrez le mot de passe de maintenance permettant d accéder à la page de maintenance d Unisphere à partir de laquelle vous pourrez effectuer les opérations suivantes : Collecter les informations du service de maintenance du système : Collecter des informations relatives au système et les enregistrer dans un fichier. Le personnel de maintenance EMC peut ensuite utiliser les informations collectées pour analyser votre système. Réinitialiser le système : Rétablir les valeurs par défaut du système VNXe. Pour pouvoir exécuter cette intervention, les deux processeurs de stockage (SP) doivent être installés, fonctionner normalement et être en mode maintenance. Remarque : le mode maintenance est un mode de fonctionnement réduit conçu pour la maintenance et le dépannage. Un système VNXe démarré dans ce mode est contraint à une interface limitée via Unisphere, ainsi qu à une interface CLI spécifique permettant la résolution d un problème isolé. Changer le mot de passe du service de maintenance du système: Modifiez le mot de passe de maintenance permettant d'accéder à la page Maintenance du système. CLI VNXe Unisphere : L'interface de ligne de commande (CLI) VNXe Unisphere offre les mêmes fonctions que celles disponibles via Unisphere. Interface de script de maintenance VNXe SSH : Cette interface de ligne de commande est accessible via un client SSH et offre des fonctions de maintenance permettant de diagnostiquer, d'analyser et de résoudre les problèmes que rencontre le système VNXe. Interface de maintenance VNXe sur port série : Cette interface offre les mêmes fonctions de diagnostic et de dépannage que l'interface de maintenance SSH, à ceci près que l'accès s'effectue via un port série. Méthodes d'accès 15
Contrôle d accès Comptes de maintenance et de gestion par défaut du VNXe Le système VNXe est configuré avec des paramètres de compte utilisateur par défaut que vous devez utiliser la première fois que vous accédez au système VNXe et que vous le configurez. Consultez le Tableau 3 à la page 16. Tableau 3. Paramètres de compte utilisateur par défaut Type de compte Nom d'utilisateur Mot de passe Privilèges Gestion (Unisphere) admin Password123# Privilèges d administrateur permettant de réinitialiser les mots de passe par défaut, configurer les paramètres système par défaut, créer des comptes utilisateur et allouer du stockage. Maintenance service service Exécution d'interventions de maintenance. Remarque : lors du processus de configuration initiale, vous devez modifier le mot de passe des comptes de maintenance et d'administrateur par défaut. Gestion des comptes VNXe Le Tableau 4 à la page 16 illustre les différentes méthodes de gestion des comptes VNXe. Tableau 4. Méthodes de gestion des comptes Rôles des comptes Gestion Maintenance Description Au terme du processus de configuration initiale du système VNXe, vous pouvez gérer les comptes de gestion VNXe à l'aide de la CLI VNXe Unisphere ou d'unisphere. Il vous est ainsi possible de créer, modifier et supprimer des comptes locaux VNXe, de réinitialiser leurs paramètres de mot de passe et de leur attribuer des rôles ou de modifier ces derniers, les rôles déterminant les privilèges accordés aux utilisateurs qui les emploient. Vous n'êtes autorisé ni à créer ni à supprimer des comptes de maintenance VNXe. Vous pouvez réinitialiser le mot de passe du compte de maintenance au moyen de la fonction Changer le mot de passe du service de la page de maintenance d'unisphere. Remarque : vous pouvez réinitialiser les mots de passe par défaut des comptes du système VNXe en appuyant sur le bouton de réinitialisation des mots de passe situé sur le châssis du système VNXe. L'aide en ligne d'unisphere fournit des informations complémentaires à ce sujet. 16 Guide de configuration de la sécurité pour EMC VNXe
Contrôle d accès Unisphere for VNXe Dans le cadre de l accès à Unisphere, l authentification s effectue sur la base des informations d identification du compte (local ou LDAP) utilisateur. Les comptes utilisateur sont créés puis gérés via la page Gérer l administration d Unisphere. Les autorisations applicables à Unisphere sont fonction du rôle associé au compte utilisateur. Règles des sessions Les sessions Unisphere présentent les caractéristiques suivantes : Expiration après une heure Délai d'expiration de la session non configurable Identifiants de session générés pendant l'authentification et utilisés pendant toute la durée de la session Utilisation des mots de passe Les noms d'utilisateur et les mots de passe des comptes Unisphere doivent respecter les conditions décrites dans le Tableau 5 à la page 17 ci-dessous. Tableau 5. Conditions requises pour les comptes Unisphere Restriction Nombre minimal de caractères Nombre minimal de caractères majuscules Nombre minimal de caractères minuscules Nombre minimal de caractères numériques Nombre minimal de caractères spéciaux Caractères spéciaux pris en charge : Exigences en matière de mots de passe 8 1 1 1 1!,@#$%^*_~? Nombre maximal de caractères 40 Remarque : vous pouvez modifier les mots de passe des comptes dans Unisphere en cliquant sur Paramètres > Configuration supplémentaire > Gérer l administration. Lors de la modification d un mot de passe, vous ne pouvez pas réutiliser l un des trois derniers mots de passe. L'aide en ligne d'unisphere fournit des informations complémentaires à ce sujet. Unisphere for VNXe 17
Contrôle d accès Autorisation Le Tableau 6 à la page 18 montre les rôles que vous pouvez attribuer aux utilisateurs locaux VNXe, ainsi que les privilèges qui y sont associés. Vous pouvez en outre attribuer ces rôles à des utilisateurs et groupes LDAP. Tableau 6. Rôles et privilèges des utilisateurs locaux Tâche Opérateur Administrateurde stockage Administrateur Modifier son propre mot de passe de connexion local x x x Ajouter des hôtes x Créer un stockage x x Supprimer un stockage x x Ajouter des objets de stockage à des ressources de stockage (disques virtuels, partages, pools de stockage, etc.) x x Afficher la configuration et l'état du stockage x x x Afficher les comptes utilisateur VNXe x x Ajouter, supprimer ou modifier des comptes utilisateur VNXe x Afficher l'état actuel du logiciel ou de la licence x x x Exécuter une mise à niveau de logiciel ou de licence x Procéder à la configuration initiale x Modifier une configuration de serveur de stockage x Modifier les paramètres système VNXe x Modifier les paramètres réseau VNXe x Modifier la langue de l'interface de gestion x x x Remarque : vous pouvez modifier les rôles des comptes dans Unisphere en cliquant sur Paramètres > Configuration supplémentaire > Gérer l administration. L'aide en ligne d'unisphere fournit des informations complémentaires à ce sujet. Interface de ligne de commande VNXe Unisphere L'interface de ligne de commande (CLI) VNXe Unisphere offre les mêmes fonctions que celles disponibles via Unisphere. 18 Guide de configuration de la sécurité pour EMC VNXe
Contrôle d accès L exécution de la CLI Unisphere nécessite un logiciel de ligne de commande VNXe spécial. Vous pouvez télécharger ce logiciel depuis le site Web du Support en ligne EMC, à l adresse http://www.emc.com/vnxesupport. Règles des sessions Le client CLI Unisphere ne prend pas en charge les sessions. Vous devez utiliser la syntaxe de ligne de commande pour spécifier le nom d'utilisateur et le mot de passe du compte à chaque commande que vous exécutez. Vous pouvez utiliser la commande saveuser de la CLI Unisphere pour enregistrer les informations d'authentification (nom d'utilisateur et mot de passe) d'un compte particulier dans un fichier local. Après avoir enregistré les informations d'identification d'accès, la CLI les applique automatiquement au port et à la destination VNXe spécifiés chaque fois que vous exécutez une commande. Utilisation des mots de passe L'authentification auprès de la CLI Unisphere s'effectue sur la base des comptes de gestion créés et gérés via Unisphere. Les autorisations qui s'appliquent à Unisphere s'appliquent également aux commandes spécifiques en fonction du rôle associé au compte de connexion actif. Enregistrement des paramètres Vous pouvez enregistrer les paramètres suivants sur l'hôte sur lequel vous exécutez la CLI Unisphere : Informations d'identification d'utilisateur, telles que votre nom d'utilisateur et votre mot de passe, pour chaque système de stockage auquel vous accédez. Certificats SSL importés du système de stockage. Informations relatives au système par défaut accessible via la CLI Unisphere, telles que le nom ou l'adresse IP du système et son numéro de port. La CLI Unisphere enregistre les paramètres dans un lockbox sécurisé résidant localement sur l'hôte sur lequel la CLI Unisphere est installée. Les données stockées ne sont disponibles que sur l'hôte sur lequel elles ont été enregistrées et pour l'utilisateur qui les a enregistrées. Le lockbox réside aux emplacements suivants : Sous Windows XP : C:\Documents and Settings\<account_name>\Local Settings\ApplicationData\EMC\UEM CLI\ Sous Windows 7 : C :\Users\${user_name}\AppData\Local\.EMC\UEM CLI\ Sous UNIX/Linux : Interface de ligne de commande VNXe Unisphere 19
Contrôle d accès <home_directory>/emc/uem CLI Recherchez les fichiers config.xml et config.key. Si vous désinstallez la CLI Unisphere, ces répertoires et fichiers ne sont pas supprimés, ce qui vous donne la possibilité de les conserver. Cependant, pour des raisons de sécurité, vous souhaiterez peut-être supprimer ces fichiers. Interface de maintenance VNXe SSH L'interface de maintenance VNXe SSH est une interface de ligne de commande qui donne accès à un sous-ensemble des fonctions disponibles via la page de maintenance d'unisphere (Configurer le système > Maintenance du système). Le compte de maintenance permet aux utilisateurs d'effectuer les tâches suivantes : Exécuter des commandes de maintenance VNXe spécialisées pour contrôler les paramètres système et les opérations du VNXe ainsi que pour résoudre les problèmes rencontrés. Exécuter des commandes Linux standard au moyen d'un compte utilisateur Linux dépourvu de privilèges. Ce compte n'a accès ni aux fichiers système propriétaires, ni aux fichiers de configuration, ni aux données des utilisateurs/clients. Sessions Les sessions de l'interface de maintenance VNXe SSH sont gérées sur la base des paramètres établis par le client SSH. Leurs caractéristiques sont déterminées par les paramètres de configuration du client SSH. Utilisation des mots de passe Le compte de maintenance est un compte que le personnel de maintenance EMC peut utiliser pour exécuter des commandes Linux de base. Le mot de passe par défaut de l'interface de maintenance VNXe est «service». Lors de la configuration initiale du système VNXe, vous devez modifier le mot de passe du service de maintenance par défaut. Les restrictions relatives au mot de passe sont les mêmes que celles qui s'appliquent aux comptes de gestion Unisphere (reportez_vous au le Tableau 5 à la page 17). Pour plus d informations sur la commande de maintenance du VNXe, svc_service_password, utilisée pour gérer les paramètres de mot de passe du compte de maintenance du VNXe, consultez les notes techniques Commandes de maintenance VNXe. Autorisation Comme indiqué dans le Tableau 7 à la page 21, les autorisations du compte de maintenance sont définies de deux façons. 20 Guide de configuration de la sécurité pour EMC VNXe
Contrôle d accès Tableau 7. Définition des autorisations du compte de maintenance Type d'autorisation Autorisations du système de fichiers Linux Listes de contrôle d accès Description Les autorisations du système de fichiers déterminent la plupart des tâches que le compte de maintenance peut et ne peut pas effectuer sur le système VNXe. Par exemple, la majorité des outils et utilitaires Linux qui modifient le fonctionnement du système d une quelconque façon nécessitent des privilèges de compte de superutilisateur. Étant donné que le compte de maintenance ne dispose pas de tels privilèges d'accès, il ne peut pas utiliser ces outils et utilitaires Linux. Le mécanisme de listes de contrôle d'accès (ACL) du VNXe utilise une liste de règles très spécifiques pour octroyer ou refuser de manière explicite l'accès aux ressources du système par le compte de maintenance. Les règles contenues dans l'acl déterminent les autorisations dont bénéficie le compte de maintenance sur d'autres fonctions du système VNXe non couvertes par les autorisations du système de fichiers Linux standard. Commandes de maintenance VNXe Un ensemble de commandes de restauration du système, de configuration du système et de diagnostic des problèmes est installé sur l'environnement d'exploitation VNXe. Ces commandes offrent un niveau d'informations approfondi et un contrôle de système de niveau inférieur à celui disponible via Unisphere. Les notes techniques Commandes de maintenance VNXe fournissent une description de ces commandes, ainsi que des exemples d utilisation courants. Interface de maintenance VNXe sur port série L'interface de maintenance VNXe sur port série fournit les mêmes fonctions que l'interface de maintenance SSH et est soumise aux mêmes restrictions. Elle diffère néanmoins de celle-ci par le fait que les utilisateurs y accèdent via une connexion par port série plutôt qu'au moyen d'un client SSH. Pour obtenir la liste des commandes de maintenance, consultez le document Notes techniques sur les commandes de maintenance VNXe. Interface de maintenance VNXe sur port série 21
Contrôle d accès 22 Guide de configuration de la sécurité pour EMC VNXe
3 Consignation Ce chapitre décrit diverses fonctions de consignation implémentées sur le système VNXe. Les rubriques sont les suivantes : Consignation à la page 24 Options de consignation à distance à la page 25 Guide de configuration de la sécurité pour EMC VNXe 23
Consignation Consignation Le système VNXe conserve les types de journaux suivants pour le suivi des événements qui surviennent sur le système. Consultez le Tableau 8 à la page 24. Tableau 8. Journaux Type de journal Journal système Alerte système Description Informations affichées dans Unisphere pour signaler aux utilisateurs des événements VNXe exploitables par l'utilisateur. Ces enregistrements sont consignés dans la langue configurée par défaut pour le système. Notez que les «événements exploitables par l'utilisateur» incluent les événements d'audit. Toutefois, tous les événements consignés ne s affichent pas dans l interface utilisateur graphique. Ces entrées de journal d'audit ne répondant pas à un certain seuil de gravité sont consignées par le système, mais ne s'affichent pas dans l'interface utilisateur. Informations utilisées par le personnel de maintenance pour diagnostiquer ou surveiller l'état ou le comportement du système VNXe. Ces enregistrements sont consignés en anglais uniquement. Affichage et gestion des journaux Les fonctions de consignation suivantes sont disponibles pour les systèmes VNXe. Consultez le Tableau 9 à la page 24. Tableau 9. Fonctions de consignation Fonctions Vidage du journal Niveaux de consignation Description Lorsque le journal système du VNXe atteint deux millions d'entrées, les 500 000 entrées les plus anciennes sont supprimées (compte tenu de leurs date et heure d'enregistrement dans le journal) de façon à ce qu'il n'en comporte plus que 1,5 million. Vous pouvez activer la consignation à distance de manière à ce que les entrées du journal soient téléchargées sur un nœud réseau distant pour y être archivées ou sauvegardées. La rubrique dctm://esa/37000001802cb89f?dms_object_spec=relation_id&dms_an- CHOR=#R18780 fournit des informations supplémentaires. Les niveaux de consignation ne sont pas configurables pour le système VNXe. Vous ne pouvez les configurer que pour les journaux exportés, comme le décrit la rubrique dctm://esa/37000001802cb8a0?dms_object_spec=relation_id&dms_an- CHOR=#R18780. 24 Guide de configuration de la sécurité pour EMC VNXe
Consignation Tableau 9. Fonctions de consignation (suite) Fonctions Intégration des alertes Description Il est possible d'afficher les informations d'alerte VNXe de différentes façons : Affichage des alertes uniquement : Dans Unisphere, accédez à Système > Alertes système. Affichage de tous les événements du journal : Dans la CLI VNXe Unisphere, entrez la commande cemcli list event. Gestion externe du journal Synchronisation de l'heure Vous pouvez activer la consignation à distance de manière à ce que les entrées du journal soient téléchargées sur un nœud réseau distant pour y être archivées ou sauvegardées. Sur ce nœud, vous pouvez utiliser des outils tels que syslog pour filtrer et analyser les résultats du journal. La rubrique dctm://esa/37000001802cb8a1?dms_object_spec=rela- TION_ID&DMS_ANCHOR=#R18780 fournit des informations supplémentaires. L'heure de consignation est enregistrée au format GMT d'après l'heure du système VNXe (laquelle peut être synchronisée sur l'heure réseau locale via un serveur NTP). Options de consignation à distance Le système VNXe prend en charge la consignation des messages utilisateur/d'audit vers une adresse réseau distante. Par défaut, le VNXe peut transférer les informations du log sur le port 514 à l'aide du protocole UDP. Les paramètres de consignation à distance suivants peuvent être définis au moyen d'unisphere. Connectez-vous à Unisphere, cliquez sur Paramètres > Paramètres de gestion, puis sélectionnez l'onglet Réseau. Adresse ou nom de réseau où le système VNXe doit envoyer les informations de log distantes Type de messages de log de niveau utilisateur à envoyer. Utilisez le champ Site pour définir le type de messages du log. EMC vous recommande de sélectionner les options Messages au niveau utilisateur. Numéro et type de port (UDP ou ) à utiliser pour la transmission du log Paramètre de langue à utiliser pour le texte des messages du log Configuration de l'hôte qui recevra les messages de log VNXe Avant de configurer la connexion à distante pour un système VNXe, vous devez configurer un système distant exécutant syslog qui recevra les messages de consignation provenant du système VNXe. Dans de nombreux scénarios, un utilisateur root/administrateur sur l'ordinateur récepteur peut configurer le serveur syslog distant Options de consignation à distance 25
Consignation pour la réception des informations du log en modifiant le fichier syslog-ng.conf sur le système distant. Remarque : Pour plus d'informations sur la configuration et l'exécution d'un serveur syslog distant, consultez la documentation du système d'exploitation utilisé sur le système distant. 26 Guide de configuration de la sécurité pour EMC VNXe
4 Sécurité des communications Ce chapitre décrit diverses fonctions de sécurité des communications implémentées sur le système VNXe. Les rubriques sont les suivantes : Utilisation des ports à la page 28 Certificat VNXe à la page 35 Configuration de l interface de gestion à l aide de DHCP à la page 35 Fonctions, services et interfaces VNXe prenant en charge le protocole IPv6 à la page 37 Accès à l interface de gestion du système VNXe à l aide d IPv6 à la page 39 Exécution de Connection Utility à la page 40 Cryptage CIFS à la page 41 Guide de configuration de la sécurité pour EMC VNXe 27
Sécurité des communications Utilisation des ports Les communications avec l'interface Unisphere et la CLI s'effectuent par HTTPS sur le port 443. Les tentatives d'accès à Unisphere sur le port 80 (par HTTP) sont automatiquement redirigées sur le port 443. Ports réseau VNXe Le Tableau 10 à la page 33 présente l'ensemble des services réseau (et les ports correspondants) disponibles sur le système VNXe. Tableau 10. Ports réseau VNXe Service Protocole Port Description SSH/SSHD/SFTP 22 Permet un accès SSH (si activé) et SFTP (FTP over SSH). SFTP est un protocole client/serveur. Les utilisateurs peuvent effectuer des transferts de fichiers sur un système VNXe situé sur le sous-réseau local, via SFTP. S'il est fermé, les connexions de gestion utilisant SSH ne sont pas disponibles. Mise à jour DNS dynamique UDP 53 Est utilisé pour l envoi des requêtes DNS au serveur DNS, en conjonction avec le protocole DHCP. S'il est fermé, la résolution de noms DNS ne fonctionne pas. Client DHCP UDP 67 Permet au système VNXe de faire office de client DHCP au cours du processus de configuration initiale et est utilisé pour l envoi des messages du client (VNXe) au serveur DHCP dans le cadre de l obtention automatique des informations relatives à l interface de gestion. Est également utilisé pour configurer DHCP pour l interface de gestion d un système VNXe ayant déjà fait l objet d un déploiement. S il est fermé, les adresses IP dynamiques ne sont pas attribuées à l aide de DHCP. 28 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications Tableau 10. Ports réseau VNXe (suite) Service Protocole Port Description Client DHCP UDP 68 Permet au système VNXe de faire office de client DHCP au cours du processus de configuration initiale et est utilisé pour la réception des messages envoyés par le serveur DHCP au client (VNXe) dans le cadre de l obtention automatique des informations relatives à l interface de gestion. Est également utilisé pour configurer DHCP pour l interface de gestion d un système VNXe ayant déjà fait l objet d un déploiement. S il est fermé, les adresses IP dynamiques ne sont pas attribuées à l aide de DHCP. HTTP 80 Redirection du trafic HTTP vers Unisphere et la CLI VNXe Unisphere. S'il est fermé, le trafic de gestion vers le port HTTP par défaut n'est pas disponible. rpcbind (Infrastructure réseau) /UDP 111 Ouvert par le service portmapper ou rpcbind standard, il s'agit d'un service réseau VNXe auxiliaire. Il ne peut pas être arrêté. Par définition, si un système client dispose d'une connectivité réseau vers le port, il peut l'interroger. Aucune authentification n'est effectuée. NTP UDP 123 Synchronisation de l'heure NTP. S'il est fermé, l'heure n'est pas synchronisée entre les baies. Service de session NETBIOS (CIFS) 139 Le service de session NETBIOS est associé aux services de partage de fichiers CIFS VNXe et constitue l'un des principaux composants de cette fonction. Si les services CIFS sont activés, ce port est ouvert. Cela est particulièrement nécessaire pour les versions antérieures du système d'exploitation Windows (avant Windows 2000). Les clients autorisés à accéder aux services CIFS VNXe doivent disposer d'une connectivité réseau vers le port pour assurer la continuité des opérations. Utilisation des ports 29
Sécurité des communications Tableau 10. Ports réseau VNXe (suite) Service Protocole Port Description SNMP UDP 161, 162 Communications SNMP. S'il est fermé, les mécanismes d'alerte VNXe reposant sur SNMP ne sont pas envoyés. HTTPS 443 Trafic HTTP sécurisé vers Unisphere et la CLI VNXe Unisphere. S'il est fermé, la communication avec la baie n'est pas possible. CIFS 445 Port de connectivité CIFS pour les clients Windows 2000 et versions ultérieures. Les clients autorisés à accéder aux services CIFS VNXe doivent disposer d'une connectivité réseau vers le port pour assurer la continuité des opérations. Mise à jour DNS dynamique UDP Port alloué de manière dynamique (supérieur à 1024) Est utilisé pour la réception des réponses aux requêtes DNS émanant du serveur DNS, en conjonction avec le protocole DHCP. S'il est fermé, la résolution de noms DNS ne fonctionne pas. mountd (NFS) 1234 Utilisé pour le service mount, l'un des principaux composants du service NFS (versions 2 et 3). NFS 2049 Utilisé pour fournir des services NFS. PAX (Portable Archive Interchange) 4658 PAX est un protocole d'archivage VNXe qui utilise les formats de bande UNIX standard. (services de sauvegarde) Ce service doit être lié à plusieurs interfaces réseau internes ; en conséquence, il est également lié à l interface externe. Les requêtes entrantes via le réseau externe sont néanmoins rejetées. Les informations générales sur PAX figurent dans la documentation EMC correspondante relative aux sauvegardes et à NDMP. Cette rubrique contient plusieurs modules techniques qui présentent différents outils de sauvegarde. 30 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications Tableau 10. Ports réseau VNXe (suite) Service Protocole Port Description NBS (Network Block Service) 5033 Protocole propre à EMC similaire à (et précurseur de) iscsi. Le service NBS qui ouvre ce port est l'un des principaux services de VNXe et ne peut pas être arrêté. Extérieurement, NBS est utilisé pour les fonctions de contrôle de réplication et de snapshot. Services de réplication 5081 Commandes de réplication Data Mover vers Data Mover. Services de réplication 5083 Associé aux services de réplication. Services de réplication 5084 Associé aux services de réplication. Services de réplication 5085 Associé aux services de réplication. Service de surveillance des statiques 7777 Service de surveillance des statiques RCP (services de réplication) 8888 Utilisé par le réplicateur (sur le côté secondaire). Le réplicateur le laisse ouvert dès lors que certaines données doivent être répliquées. Une fois démarré, ce service ne peut pas être arrêté. NDMP 10000 Vous permet de contrôler la restauration et la sauvegarde d'un serveur NDMP via une application de sauvegarde réseau, sans nécessiter l'installation d'un logiciel tiers sur le serveur. Dans un système VNXe, le Data Mover fonctionne comme un serveur NDMP. Le service NDMP peut être désactivé si la sauvegarde sur bande NDMP n'est pas utilisée. Le service NDMP est authentifié à l'aide d'un nom d'utilisateur et d'un mot de passe. Le nom d'utilisateur peut être configuré. La documentation NDMP décrit comment configurer le mot de passe pour différents environnements. Utilisation des ports 31
Sécurité des communications Tableau 10. Ports réseau VNXe (suite) Service Protocole Port Description usermapper CIFS 12345 Le service usermapper ouvre ce port. Il s'agit d'un service principal associé aux services CIFS VNXe et, dans certains environnements, il ne doit pas être arrêté. Cette méthode est utilisée pour mapper les informations d'authentification Windows (qui sont fondées sur SID) aux valeurs UID et GID fondées sur UNIX. IWD UDP Alloué de manière dynamique Processus de configuration initiale IWD. S'il est fermé, l'initialisation de la baie n'est pas disponible via le réseau. rquotad Alloué de manière dynamique Le processus rquotad fournit des informations de quota aux clients NFS qui ont monté un système de fichiers. nlockmgr Alloué de manière dynamique Utilisé pour le verrouillage des fichiers NFS. Il traite les demandes de verrouillage issues des clients NFS et fonctionne conjointement avec le service status. status Alloué de manière dynamique Le vérificateur d'état de verrouillage des fichiers NFS fonctionne conjointement avec le service nlockmgr pour offrir des fonctions de restauration après sinistre pour NFS (qui est, par nature, un protocole sans état). Ports pouvant être contactés par le système VNXe Le système VNXe fonctionne comme un client réseau dans de nombreuses situations, par exemple lorsqu'il communique avec un serveur LDAP. Dans ces cas, le VNXe initie la communication et l'infrastructure réseau doit prendre en charge ces connexions.le Tableau 10 à la page 33 décrit les ports auxquels un système VNXe doit pouvoir accéder pour que le service correspondant fonctionne correctement. Cela inclut l'interface de ligne de commande VNXe Unisphere. 32 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications Tableau 11. Connexions réseau pouvant être initiées par le système VNXe Maintenance Protocole Port Description SMTP 25 Permet au système d envoyer des e-mails. S il est fermé, les notifications par e-mail ne sont pas disponibles. DNS UDP 53 Requêtes DNS. S'il est fermé, la résolution de noms DNS ne fonctionne pas. DHCP UDP 67-68 Permet au système VNXe de faire office de client DHCP. S il est fermé, les adresses IP dynamiques ne sont pas attribuées à l aide de DHCP. HTTP 80 Redirection du trafic HTTP vers Unisphere et la CLI VNXe Unisphere. S'il est fermé, le trafic de gestion vers le port HTTP par défaut n'est pas disponible. NTP UDP 123 Synchronisation de l'heure NTP. S'il est fermé, l'heure n'est pas synchronisée entre les baies. SNMP UDP 161, 162* Communications SNMP. S'il est fermé, les mécanismes d'alerte VNXe reposant sur SNMP ne sont pas envoyés. LDAP 389* Requêtes LDAP non sécurisées. S'il est fermé, les requêtes d'authentification LDAP non sécurisées ne sont pas disponibles. La configuration du service LDAP sécurisé est une solution alternative. HTTPS 443 Trafic HTTPS vers Unisphere et la CLI VNXe Unisphere. S'il est fermé, la communication avec la baie n'est pas possible. CIFS 445 Tous les contrôleurs de domaine Windows NT. CIFS 445 Tous les contrôleurs de domaine Windows. Utilisation des ports 33
Sécurité des communications Tableau 11. Connexions réseau pouvant être initiées par le système VNXe (suite) Maintenance Protocole Port Description Syslog distant UDP ou 514* Consigner des messages du système sur un hôte distant. Vous pouvez configurer la méthode de transmission du log (UDP ou ), ainsi que le port hôte utilisé par le système. LDAPS 639* Requêtes LDAP sécurisées. S'il est fermé, l'authentification LDAP sécurisée n'est pas disponible. CIM XML 5989 Utilisé pour différentes tâches internes liées à la réplication système/système. L'authentification et l'autorisation sont requises pour tous les appels effectuées à l'aide de CIM-XML. IWD UDP Alloué de manière dynamique Processus de configuration initiale IWD. S'il est fermé, l'initialisation de la baie n'est pas disponible via le réseau. rquotad Alloué de manière dynamique Le processus rquotad fournit des informations de quota aux clients NFS qui ont monté un système de fichiers. nlockmgr Alloué de manière dynamique Utilisé pour le verrouillage des fichiers NFS. Il traite les demandes de verrouillage issues des clients NFS et fonctionne conjointement avec le service status. status Alloué de manière dynamique Le vérificateur d'état de verrouillage des fichiers NFS fonctionne conjointement avec le service nlockmgr pour offrir des fonctions de restauration après sinistre pour NFS (qui est, par nature, un protocole sans état). Remarque : les numéros de port LDAP et LDAPS peuvent être remplacés à partir d'unisphere lors de la configuration des services d'annuaire. Le numéro de port par défaut s affiche dans une zone de saisie et peut être remplacé par l utilisateur. De même, les numéros de port du serveur Syslog distant et de SNMP peuvent être remplacés à partir d'unisphere. 34 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications Certificat VNXe Lors de sa première initialisation, le système VNXe utilise OpenSSL pour générer automatiquement un certificat auto-signé. Le certificat est conservé dans NVRAM, ainsi que sur l unité logique back-end. Par la suite, lorsqu un client tente de se connecter au système VNXe via le port de gestion, il se voit présenter ce certificat par le système VNXe. Le certificat est configuré pour expirer après 3 ans ; toutefois, le système VNXe régénère le certificat un mois avant sa date d expiration. Vous avez également la possibilité de télécharger un nouveau certificat à l aide de la commande de maintenance svc_custom_cert. Cette commande permet d installer un certificat SSL donné au format PEM pour une utilisation avec l interface de gestion Unisphere. Pour plus d informations sur cette commande de maintenance, consultez le document VNXe Service Commands Technical Notes. Vous ne pouvez pas afficher le certificat via Unisphere ou la CLI VNXe Unisphere ; toutefois, le certificat peut être affiché au moyen d un client navigateur ou d un outil Web qui tente de se connecter au port de gestion. Configuration de l interface de gestion à l aide de DHCP Une adresse IP doit être attribuée à l interface de gestion du système VNXe une fois le système installé, raccordé et mis sous tension. Si votre système VNXe se trouve sur un réseau dynamique comportant un serveur DHCP et un serveur DNS, l attribution de l adresse IP de gestion peut s effectuer automatiquement. Remarque : si votre système VNXe ne se trouve pas dans un environnement réseau dynamique ou si vous préférez attribuer une adresse IP statique, vous devez installer et exécuter VNXe Connection Utility (voir Exécution de Connection Utility à la page 40). Pour une configuration réseau adéquate, il est nécessaire de définir la plage d adresses IP disponibles, les masques de sous-réseau corrects, ainsi que les adresses du serveur de noms et de la passerelle. Pour plus d informations sur la procédure de configuration des serveurs DHCP et DNS, consultez la documentation relative à votre réseau. Le protocole DHCP est utilisé pour attribuer des adresses IP dynamiques aux périphériques d un réseau. DHCP permet de contrôler les adresses IP à partir d un serveur centralisé et d attribuer automatiquement une nouvelle adresse IP unique à un système VNXe lors de son raccordement au réseau de l entreprise. Cet adressage dynamique simplifie l administration du réseau, le suivi des adresses IP étant assuré par le logiciel plutôt qu un administrateur. Un serveur DNS est un serveur basé sur IP qui permet de résoudre les noms de domaine en adresses IP. Contrairement aux adresses IP, composées de caractères numériques, les noms de domaine sont constitués de caractères alphabétiques et sont généralement plus faciles à retenir. Sachant qu un réseau IP s appuie sur des adresses IP, tout nom de domaine utilisé doit être résolu en adresse IP par le serveur DNS. Par exemple, l adresse IP correspondant au nom de domaine www.emc.com est 10.250.16.87. Certificat VNXe 35
Sécurité des communications Les échanges via le protocole DHCP ne sont pas par nature sécurisés et l on ne peut exclure l éventualité d une communication avec un serveur malveillant ; néanmoins, votre réseau IP de gestion doit être suffisamment sûr d un point de vue physique pour permettre le contrôle de l accès et éviter tout échange DHCP non autorisé. Par ailleurs, aucune information administrative (noms d utilisateur, mots de passe, etc.) n est échangée au cours de la configuration DHCP/DNS dynamique. La configuration des éléments IP de gestion (configuration des préférences DHCP et des serveurs DNS et NTP) s inscrit dans le cadre du framework Unisphere existant relatif à la sécurité. Les événements DNS et DHCP, y compris l obtention d une nouvelle adresse IP à l expiration du bail, sont consignés dans des journaux d audit VNXe. Si DHCP n est pas utilisé pour la configuration IP de gestion du système VNXe, aucun port réseau supplémentaire n est ouvert. Attribution automatique d une adresse IP au système VNXe Avant de commencer Assurez-vous de disposer d une connexion réseau entre le système VNXe, un serveur DHCP et un serveur DNS. Procédure Une fois votre réseau DHCP configuré, vous pouvez attribuer automatiquement une adresse IP à votre système VNXe : 1. Mettez le système VNXe sous tension. Le voyant de défaillance du SP situé à l arrière du système VNXe s allume (en bleu, avec clignotement orange toutes les trois secondes), indiquant que le système n est pas initialisé et qu aucune adresse IP de gestion n a été attribuée. Le logiciel client DHCP exécuté sur le système VNXe demande une adresse IP sur le réseau local. Le serveur DHCP attribue une adresse IP au système VNXe de manière dynamique et envoie cette information au serveur DNS. L adresse IP de gestion du système VNXe est enregistrée au sein du domaine réseau. Une fois l adresse attribuée, le voyant de défaillance du SP s éteint ; vous pouvez alors vous connecter à Unisphere pour configurer votre système VNXe comme il convient. Si vous le souhaitez, vous pouvez toujours configurer manuellement l adresse IP de gestion du système VNXe sous forme d adresse IP statique, y compris après l attribution automatique de l adresse IP et la désactivation du voyant de défaillance du SP. Néanmoins, vous devez le faire avant d accepter les termes du contrat de licence utilisateur (CLUF) de l Assistant de configuration. 2. Ouvrez un navigateur Web et accédez à l interface de gestion à l aide de la syntaxe suivante : serial_number.domain Où : 36 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications serial_number correspond au numéro de série de votre système VNXe. Ce numéro est indiqué sur l emballage du système VNXe. domain correspond au domaine réseau sur lequel le système VNXe est installé. Ainsi, FM100000000017.mylab.emc.com. Si une erreur de certificat apparaît, suivez les instructions affichées dans votre navigateur pour la contourner. 3. Connectez-vous au système VNXe avec le nom d utilisateur par défaut (admin) et le mot de passe par défaut (Password123#). Lors de l ouverture initiale d Unisphere, l Assistant de configuration démarre pour vous aider à configurer les mots de passe, les serveurs DNS et NTP, les pools de stockage, les paramètres du serveur de stockage et les fonctions ESRS et ConnectEMC. 4. Parcourez l Assistant de configuration jusqu à ce que le volet relatif au serveur DNS s affiche. 5. Dans le volet relatif au serveur DNS, sélectionnez Obtain default DNS server addresses automatically. 6. Poursuivez l exécution de l assistant, en vous reportant aux informations indiquées sur l affiche VNXe - QuickStart ou dans l aide en ligne. Fonctions, services et interfaces VNXe prenant en charge le protocole IPv6 Vous pouvez configurer les interfaces d un système et utiliser des adresses IPv6 pour configurer divers services et fonctions. La liste ci-après répertorie les fonctions prenant en charge le protocole IPv6 : Interfaces (SF, iscsi), pour l attribution statique d une adresse IPv4 ou IPv6 à une interface Hôtes, pour la saisie du nom de réseau, de l adresse IPv4 ou de l adresse IPv6 d un hôte Routes, pour la configuration d une route pour le protocole IPv4 ou IPv6 Diagnostics, pour l exécution d une commande CLI ping de diagnostic à l aide d une adresse de destination IPv4 ou IPv6. Les adresses de destination de type IPv6 sont également prises en charge dans l écran Unisphere Ping sur la destination. Tous les composants VNXe prennent en charge IPv4 ; la plupart d entre eux assurent également une prise en charge d IPv6. Le tableau suivant indique les types de paramètre et les composants compatibles IPv6 : Fonctions, services et interfaces VNXe prenant en charge le protocole IPv6 37
Sécurité des communications Type de paramètre Paramètres de gestion Unisphere Paramètre de configuration hôte Unisphere Paramètre d alerte Unisphere Paramètre de serveur de stockage Autre Component Port de gestion Serveur DNS Serveur NTP Serveur de consignation à distance Microsoft Exchange Datastore VMware (NFS) Datastore VMware (VMFS) Datastore Hyper-V Destinations de trap SNMP Serveur SMTP ConnectEMC ESRS (EMC Secure Remote Support) Serveur iscsi Serveur de dossiers partagés Serveur NIS (pour les serveurs de dossiers partagés NFS) Serveur Active Directory (pour les serveurs de dossiers partagés CIFS) Serveur isns Destinations PING Consignation à distance LDAP Unisphere Remote Réplication IPv6 pris en charge Oui Oui Oui Oui Oui Oui Oui Oui Oui Oui Non Non Oui Oui Oui Oui Oui Oui Oui Oui Non Non 38 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications Norme d adresses IPv6 IPv6 est une norme d adresses IP développée par l IETF (Internet Engineering Task Force) dans le but de compléter et, au final, de remplacer la norme d adresses IPv4 actuellement utilisée par la plupart des services Internet. IPv4 utilise des adresses IP codées sur 32 bits, ce qui permet d obtenir environ 4,3 milliards d adresses possibles. Face à l augmentation vertigineuse du nombre d internautes et de périphériques connectés à Internet, l espace d adresses IPv4 disponible se révèle insuffisant. En ayant recours à des adresses codées sur 128 bits, IPv6 permet de disposer de près de 340 trillions d adresses et ainsi, de combler cette pénurie. IPv6 résout également d autres problèmes liés à IPv4, notamment en ce qui concerne la mobilité, la configuration automatique et la capacité globale d extension. Une adresse IPv6 est une valeur hexadécimale qui contient huit champs de 16 bits, séparés par deux-points : hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh Chaque caractère d une adresse IPv6 peut correspondre à un chiffre compris entre 0 et 9 ou une lettre comprise entre A et F. Pour plus d informations sur la norme IPv6, consultez le document RFC 2460 qui lui est consacré sur le site Web de l IETF (http://www.ietf.org). Accès à l interface de gestion du système VNXe à l aide d IPv6 Lorsque vous configurez des connexions de gestion sur le système VNXe, vous pouvez faire en sorte que le système accepte les adresses IP suivantes : Adresses IPv6 statiques, adresses IPv4 obtenues via DHCP et adresses IPv4 statiques Adresses IPv4 uniquement Vous pouvez attribuer les adresses IPv6 à l interface de gestion de manière statique. Les adresses IPv6 de l interface de gestion peuvent être définies sur l un des deux modes disponibles, à savoir manuel/statique ou désactivé. Lorsque vous désactivez IPv6, la liaison entre le protocole et l interface n est pas annulée. La commande de désactivation supprime les adresses IPv6 unicast attribuées à l interface de gestion et le système VNXe n est plus en mesure de répondre aux requêtes envoyées via IPv6. Par défaut, IPv6 est désactivé. Une adresse IP doit être attribuée à l interface de gestion du système VNXe une fois le système installé, raccordé et mis sous tension. Si le système VNXe ne se trouve pas sur un réseau dynamique ou si vous préférez attribuer manuellement une adresse IP statique, vous devez télécharger, installer et exécuter VNXe Connection Utility. Pour plus d informations sur Connection Utility, reportez-vous à la rubrique Exécution de Connection Utility à la page 40. Les requêtes entrantes faisant appel à IPv6 et envoyées au système VNXe via l interface de gestion sont prises en charge. Vous pouvez configurer l interface de gestion d un système VNXe de telle sorte qu elle fonctionne dans un environnement utilisant uniquement IPv4, Accès à l interface de gestion du système VNXe à l aide d IPv6 39
Sécurité des communications IPv6 ou une combinaison de ces deux protocoles ; vous avez également la possibilité de gérer le système VNXe via l interface utilisateur et la CLI Unisphere. Les services sortants tels que NTP et DNS prennent en charge l adressage IPv6, au travers de l utilisation d adresses IPv6 explicites ou de noms DNS. Si un nom DNS peut être résolu à la fois en adresse IPv6 et IPv4, le système VNXe communique avec le serveur via IPv6. Les commandes CLI «set» et «show» de gestion des interfaces réseau utilisées pour gérer les interfaces de gestion incluent des attributs liés à IPv6. Pour plus d informations sur ces commandes de gestion des interfaces réseau et leurs attributs, consultez le Guide d utilisation de la CLI Unisphere. Exécution de Connection Utility Remarque : si vous exécutez le système VNXe dans un environnement réseau dynamique comportant un serveur DHCP et un serveur DNS, vous n avez pas besoin d utiliser VNXe Connection Utility ; en effet, il est possible d attribuer automatiquement une adresse IP dynamique (IPv4 uniquement) à l interface de gestion VNXe (voir Configuration de l interface de gestion à l aide de DHCP à la page 35). Lorsqu un système VNXe utilise une adresse IP statique, il est configuré manuellement au moyen de Connection Utility de manière à utiliser une adresse IP spécifique. L attribution d une adresse statique devient problématique lorsque deux systèmes VNXe sont configurés avec la même adresse IP de gestion, suite à une erreur ou une faute d inattention. Ce conflit d'adresse peut entraîner une perte de connectivité réseau. L utilisation de DHCP pour l attribution dynamique des adresses IP permet de limiter considérablement ces types de conflit. Les systèmes VNXe configurés de telle sorte que l attribution des adresses IP s effectue via DHCP n ont pas besoin d utiliser des adresses IP attribuées de manière statique. Le programme d installation de Connection Utility est disponible sur le site Web du Support en ligne EMC. Une fois téléchargé, installez le logiciel sur un hôte Windows. Lorsque vous exécutez Connection Utility à partir d un ordinateur situé sur le même sous-réseau que le système VNXe, Connection Utility découvre automatiquement tout système VNXe non configuré. Si vous exécutez Connection Utility sur un autre sous-réseau, vous pouvez enregistrer la configuration sur un lecteur USB, puis la transférer vers le système VNXe. Remarque : Vous ne pouvez pas modifier l'adresse IP de gestion lorsque les deux processeurs de stockage sont en mode maintenance. Après avoir exécuté Connection Utility et transféré la configuration vers votre système VNXe, vous pouvez vous connecter au système VNXe via un navigateur Web, à l aide de l adresse IP que vous avez attribuée à l interface de gestion du VNXe. Lorsque vous vous connectez au système VNXe pour la première fois, l Assistant de configuration VNXe démarre. L Assistant de configuration vous permet de procéder à la configuration initiale du système VNXe afin de pouvoir créer des ressources de stockage. 40 Guide de configuration de la sécurité pour EMC VNXe
Sécurité des communications Cryptage CIFS La prise en charge de SMB 3.0 et de Windows 2012 sur le système VNXe permet aux hôtes en mesure d utiliser un système CIFS de bénéficier d une fonction de cryptage CIFS. Le cryptage CIFS permet un accès sécurisé aux données figurant dans des partages de fichiers CIFS. Il assure la sécurité des données sur des réseaux non approuvés. Ainsi, dans le cadre de ce cryptage, les données SMB circulant entre la baie et l hôte sont cryptées de bout en bout. Les données sont donc protégées contre les tentatives d écoute/d espionnage sur des réseaux non fiables. Le chiffrement CIFS peut être configuré pour chaque partage. Dès lors qu un partage est crypté, toutes les requêtes liées à ce partage et émanant d un client SMB3 quelconque doivent faire l objet d un cryptage, faute de quoi l accès au partage est refusé. Pour activer le cryptage CIFS, vous devez définir l option de cryptage CIFS Encryption, soit lors de l ajout d un serveur CIFS, soit au moyen des commandes «create» et «set» applicables aux partages CIFS. Vous pouvez également définir l option de cryptage CIFS Encryption lors de la création d un dossier partagé CIFS. Le client SMB n exige aucun paramétrage particulier. Remarque : Pour plus d informations sur la configuration du cryptage CIFS, consultez l aide en ligne d Unisphere for VNXe, ainsi que le Guide d utilisation de la CLI VNXe Unisphere. Cryptage CIFS 41
Sécurité des communications 42 Guide de configuration de la sécurité pour EMC VNXe
5 Paramètres de sécurité des données Ce chapitre décrit les fonctions de sécurité disponibles sur le système VNXe pour les types de stockage pris en charge. Les rubriques sont les suivantes : Paramètres de sécurité des données à la page 44 Chiffrement des données inactives à la page 45 Guide de configuration de la sécurité pour EMC VNXe 43
Paramètres de sécurité des données Paramètres de sécurité des données Le Tableau 12 à la page 44 présente les fonctions de sécurité disponibles pour les types de stockage VNXe pris en charge. Tableau 12. Fonctions de sécurité Type de stockage Port Protocole Paramètres de sécurité Stockage iscsi 3260 Un contrôle d'accès au niveau de l'hôte iscsi (initiateur) est disponible via Unisphere (et permet aux clients d'accéder au stockage principal, aux snapshots ou aux deux). L'authentification CHAP est prise en charge de sorte que les serveurs VNXe iscsi (cibles) puissent authentifier les hôtes iscsi (initiateurs) qui tentent d'accéder au stockage iscsi. L'authentification CHAP mutuel est également prise en charge et ce, afin que les hôtes iscsi (initiateurs) puissent authentifier les serveurs iscsi VNXe. Stockage CIFS 445, UDP L'authentification pour les actions de domaine et d'administration est assurée via les comptes d'utilisateur et de groupe Active Directory. Les contrôles d'accès aux fichiers et aux partages sont assurés par l'intermédiaire des services d'annuaire Windows. Les signatures de sécurité sont prises en charge au moyen de la fonction de signature SMB. Le chiffrement CIFS est fourni via SMB 3.0 et Windows 2012 pour les hôtes compatibles CIFS. Reportez-vous à la section dctm://esa/37000001802cb8b0?dms_object_spec=re- LATION_ID&DMS_ANCHOR=#R18780 pour obtenir des informations sur le chiffrement CIFS. La prise en charge des services de rétention au niveau des fichiers (en option) est assurée via un module complémentaire. Stockage NFS 2049 Le contrôle d'accès aux partages s'effectue au moyen d'unisphere. Prise en charge des méthodes de contrôle d'accès et d'authentification NFS identifiées dans NFS versions 2 et 3. La prise en charge des services de rétention au niveau des fichiers (en option) est assurée via un module complémentaire. Sauvegarde et restauration La sécurité NDMP peut être mise en œuvre sur la base de secrets partagés NDMP. 44 Guide de configuration de la sécurité pour EMC VNXe
Paramètres de sécurité des données Chiffrement des données inactives Le chiffrement est un processus de transformation des données qui permet de les rendre illisibles, sauf pour les personnes ayant des connaissances spécialisées. Les disques à chiffrement automatique (SED) d un système VNXe utilisent le standard de chiffrement AES 256 bits. Le chiffrement est effectué sur chaque disque avant que les données ne soient écrites sur le support. Elles sont ainsi protégées en cas de vol, de perte du matériel et de tentative de lecture par démontage du disque et utilisation de méthodes de restauration des données. Le chiffrement fournit également un moyen rapide et sûr d effacer des informations contenues sur un disque. Plus besoin d écraser les informations plusieurs fois pour s assurer qu elles ne sont plus récupérables. Pour pouvoir lire les données, l utilisateur doit déverrouiller le disque au moyen d une clé d authentification SED. Seuls les disques SED authentifiés sont accessibles et peuvent être déverrouillés. Une fois le disque déverrouillé, le disque SED déchiffre les données et rétablit leur état d origine. Disques à chiffrement automatique Les systèmes VNXe prennent en charge le chiffrement des données inactives via l utilisation de disques à chiffrement automatique (SED). Toutes les données présentes sur un disque SED sont chiffrées par la clé de chiffrement des données enregistrée sur le disque. Le chiffrement est défini en usine avant l expédition du système et ne peut pas être annulé ultérieurement. Entièrement transparent et automatique, le processus de chiffrement/déchiffrement SED n a aucune incidence sur les performances. Le contrôle d accès aux disques SED est appliqué par le biais d une clé d authentification. La clé d authentification est utilisée pour verrouiller/déverrouiller le disque et pour chiffrer/déchiffrer la clé de chiffrement des données enregistrée sur le disque. Dans un cycle de marche/arrêt, un disque SED faisant d un pool de stockage défini par l utilisateur est verrouillé et inaccessible lorsqu il est expédié. La clé d authentification est utilisée pour déverrouiller le disque et accéder aux données utilisateur. Un gestionnaire de clés intégré sur le processeur de stockage (SP) assure la gestion des clés pour la clé d authentification. Voici certains aspects de la gestion des clés : Génération de clés d authentification Stockage sécurisé des clés Autogestion du cycle de vie des clés Synchronisation des copies de clés redondantes Un système VNXe contient soit uniquement des disques SED soit uniquement des disques non SED. Vous ne pouvez pas ajouter de disque non SED à un système VNXe SED. Le système renverrait une erreur. Vous ne pouvez pas non plus ajouter de disque SED à système VNXe non SED. Chiffrement des données inactives 45
Paramètres de sécurité des données Baie sécurisée Une baie sécurisée ne peut contenir que des disques SED. Vous ne pouvez pas mélanger des disques SED et des disques non chiffrés dans un système VNXe. Tous les disques SED du système VNXe sont déverrouillés par défaut et ne sont verrouillés qu une fois associés à un pool de stockage. Une clé d autorisation est créée et appliquée à tous les disques pendant leur verrouillage et est nécessaire pour toute interaction future. Inversement, si tous les pools de stockage associés à un disque sont détruits, le chiffrement des données sur le disque est détruit (la clé d autorisation est supprimée, rendant les données irrécupérables) et le disque est déverrouillé. Une fois un disque SED inclus dans un pool de stockage, le contrôle d accès est activé et la clé d authentification est définie. Le disque peut ensuite être utilisé grâce à la clé d authentification stockée sur la baie. Les données utilisateur stockées sur le disque ne sont alors accessibles ni à partir d une autre baie ni depuis l extérieur. Un disque peut être réaffecté à une autre baie en détruisant le pool de stockage auquel il appartient. Cela ne s applique toutefois pas aux quatre premiers disques du boîtier DPE. Détruire le pool de stockage aura pour effet de supprimer le chiffrement de toutes les données utilisateur présentes sur le disque, de désactiver le contrôle d accès sur ces disques et de réinitialiser tous les mots de passe en fonction de l identifiant de sécurité du fabricant. Les disques n appartenant pas à un pool de stockage ne contiennent pas de données utilisateur et n ont pas de restrictions d accès. Ces disques peuvent être déplacés sans problème. Si vous supprimez par inadvertance un pool de stockage dans lequel un disque manque, ce disque reste inaccessible jusqu à ce que ses paramètres par défaut soient réinitialisés. La restauration d un disque efface le chiffrement des données présentes sur ce disque et désactive l authentification. Pour réinitialiser les paramètres par défaut d un disque SED, utilisez la commande de maintenance svc_key_restore. Pour plus d informations sur cette commande de maintenance, consultez les notes techniques Commandes de maintenance VNXe. Pour plus d informations sur la restauration des paramètres par défaut d un disque SED et pour obtenir de l aide, contactez votre fournisseur de services. Lorsqu un nouveau disque SED est ajouté au système VNXe, soit en remplacement d un disque existant soit dans le but d agrandir une baie, il est automatiquement détecté et inclus dans la baie. Si le nouveau disque remplace un ancien disque qui faisait partie d un pool de stockage, le contrôle d accès est activé et la clé d authentification est définie sur le nouveau disque. Remarque : Le retrait de disques peut dégrader les pools de stockage et réduire la redondance de ce pool de stockage. Le remplacement de certaines pièces matérielles peut affecter les opérations du disque SED : Il n est pas possible de remplacer en même temps les deux processeurs de stockage et le châssis. Sinon la clé d authentification devient inaccessible. 46 Guide de configuration de la sécurité pour EMC VNXe
Paramètres de sécurité des données Il est vivement recommandé d effectuer cette opération dès que la clé est créée. L absence ou la corruption de la copie principale de la clé d authentification peut rendre inaccessibles les données stockées sur le système. Pour obtenir des instructions concernant la sauvegarde de la clé d authentification, consultez l aide en ligne d Unisphere for VNXe ou le Guide d utilisation de la CLI VNXe Unisphere. La conversion d une baie, dont tous les disques ont été supprimés et insérés dans une nouvelle baie, n est pas prise en charge. Clé d authentification La clé d authentification des disques SED est générée automatiquement par le gestionnaire de clé la première fois que vous créez un pool de stockage sur un système VNXe utilisant des disques SED. Cette clé s applique à tous les disques du système VNXe, y compris ceux ajoutés par la suite au système. Le système VNXe chiffre la clé d authentification et la stocke en lieu sûr sur le disque selon un modèle de redondance en miroir triple. Vous pouvez sauvegarder la clé d authentification sur un périphérique externe en utilisant soit une option d interface utilisateur Unisphere soit une commande CLI Unisphere. Il est vivement recommandé d effectuer cette opération dès que la clé est créée. L absence ou la corruption de la copie principale de la clé d authentification peut rendre inaccessibles les données stockées sur le système. Pour obtenir des instructions concernant la sauvegarde de la clé d authentification, consultez l aide en ligne d Unisphere for VNXe ou le Guide d utilisation de la CLI VNXe Unisphere. Si vous recevez une alerte vous informant que la clé d authentification est corrompue, vous devez restaurer la clé. Placez les deux processeurs de stockage du système VNXe en mode maintenance et exécutez la commande de maintenance svc_key_restore sur l un d eux. Remarque : Pour obtenir des instructions sur la manière de mettre les processeurs de stockage en mode maintenance, consultez l aide en ligne d Unisphere for VNXe. Pour plus d informations sur la commande de maintenance svc_key_restore, consultez le document Notes techniques sur les commandes de maintenance VNXe. À l exception suivante près, si tous les pools de stockage sur le système VNXe sont supprimés, la copie principale de la clé d authentification est également supprimée. Toutefois, si vous réinitialisez un système contenant des pools de stockage, la clé d authentification sera toujours valable lors du redémarrage du système, même si les pools de stockage ont été supprimés. Les sauvegardes de clés d authentification sont inutilisables après la suppression de tous les pools de stockage sur le système VNXe (sauf s il s agit d un système contenant des pools de stockage). Lorsque le premier nouveau pool de stockage est créé, une nouvelle copie principale de la clé d authentification est automatiquement générée. Dans ce cas, toutes les sauvegardes existantes de la clé d authentification précédente ne sont plus valides et une nouvelle sauvegarde de la clé d authentification doit être créée. Chiffrement des données inactives 47
Paramètres de sécurité des données 48 Guide de configuration de la sécurité pour EMC VNXe
6 Maintenance de sécurité Ce chapitre décrit diverses fonctions de maintenance de sécurité implémentées sur le système VNXe. Les rubriques sont les suivantes : Maintenance sécurisée à la page 50 Guide de configuration de la sécurité pour EMC VNXe 49
Maintenance de sécurité Maintenance sécurisée Le système VNXe offre les fonctions de sécurité ci-après pour les tâches de maintenance et de mise à jour à distance : Activation de licence VNXe Mise à niveau des logiciels VNXe Correctifs des logiciels VNXe Mise à jour des licences La fonction de mise à jour des licences VNXe permet aux utilisateurs d'obtenir et d'installer des licences pour des fonctions VNXe spécifiques, comme la rétention au niveau des fichiers ou la réplication RepliStor. Le Tableau 13 à la page 50 présente les fonctions de sécurité associées à la fonction de mise à jour des licences VNXe. Tableau 13. Fonctions de sécurité associées à la mise à jour des licences VNXe Traitement Obtention de licences via le site Web du Support en ligne EMC Réception des fichiers de licence Sécurité L acquisition de licences s effectue au sein d une session authentifiée sur le site Web du Support en ligne EMC (http://www.emc.com/vnxesupport). Les licences sont envoyées à une adresse e-mail spécifiée au sein d une transaction authentifiée sur le site Web du Support en ligne EMC (http://www.emc.com/vnxesupport). Téléchargement et installation de licences sur le système VNXe par l'intermédiaire du client Unisphere Les téléchargements de fichiers de licence sur le système VNXe s'effectuent au sein de sessions Unisphere authentifiées par HTTPS. Le système VNXe valide les fichiers de licence reçus au moyen de signatures numériques. Chaque fonction sous licence est validée par une signature unique au sein du fichier de licence. Mise à niveau des logiciels La fonction de mise à niveau des logiciels VNXe permet aux utilisateurs d'obtenir et d'installer des mises à jour/mises à niveau des logiciels exécutés sur le système VNXe. Le Tableau 14 à la page 51 présente les fonctions de sécurité associées à la fonction de mise à niveau des logiciels VNXe. 50 Guide de configuration de la sécurité pour EMC VNXe
Maintenance de sécurité Tableau 14. Fonctions de sécurité associées à la mise à niveau logicielle Traitement Téléchargement de logiciels VNXe à partir du site Web du Support en ligne EMC Téléchargement de logiciels VNXe Description L acquisition de licences s effectue au sein d une session authentifiée sur le site Web du Support en ligne EMC (http://www.emc.com/vnxesupport). Le téléchargement de logiciels sur le système VNXe s'exécute au sein d'une session Unisphere authentifiée par HTTPS. Maintenance sécurisée 51
Maintenance de sécurité 52 Guide de configuration de la sécurité pour EMC VNXe
7 Paramètres d'alerte de sécurité Ce chapitre décrit les différentes méthodes disponibles pour avertir les administrateurs des alertes survenues sur le système VNXe. Les rubriques sont les suivantes : Paramètres d alerte à la page 54 Guide de configuration de la sécurité pour EMC VNXe 53
Paramètres d'alerte de sécurité Paramètres d alerte Les alertes VNXe signalent aux administrateurs les événements exploitables survenant sur le système VNXe. Les événements VNXe peuvent être signalés par différentes méthodes, décrites dans le Tableau 15 à la page 54. Tableau 15. Paramètres d alerte Type d'alerte Notification visuelle Description Affiche des messages contextuels à caractère informatif dans l'interface et en temps réel pour indiquer l'existence de conditions d'alerte. Ces messages fournissent des informations de base sur la condition d'alerte. Pour obtenir des informations complémentaires, vous pouvez accéder à la page Système > Alertes système. Remarque : les notifications d'alerte visuelles VNXe ne sont pas configurables. Notification par e-mail Vous permet de spécifier une ou plusieurs adresses e-mail auxquelles envoyer les messages d alerte. Les paramètres suivants peuvent être configurés : Adresses e-mail auxquelles envoyer les alertes du système VNXe. Niveau de gravité (urgence, erreur ou information) qui déclenche la notification par e- mail. Remarque : pour que la fonction de notification d alerte VNXe par e-mail soit opérationnelle, vous devez configurer un serveur SMTP cible pour le système VNXe. Traps SNMP Transfère les informations d alerte à des hôtes désignés (destinations de trap) qui jouent le rôle de référentiels des informations d alerte générées par le système réseau VNXe. Vous pouvez configurer les traps SNMP à l'aide d'unisphere. Les paramètres sont notamment les suivants : Adresse IP d'une destination de trap SNMP réseau Numéro du port sur lequel la destination de trap reçoit les traps Paramètres de sécurité facultatifs pour la transmission de données de trap Protocole d'authentification : algorithme de hachage utilisé pour les traps SNMP (SHA ou MD5) Protocole de confidentialité : algorithme de cryptage utilisé pour les traps SNMP (DES, AES, AES192 ou AES256) L'aide en ligne d'unisphere fournit des informations complémentaires à ce sujet. 54 Guide de configuration de la sécurité pour EMC VNXe
Paramètres d'alerte de sécurité Tableau 15. Paramètres d alerte (suite) Type d'alerte ConnectEMC, Description Envoie automatiquement des notifications d'alerte à EMC pour aider au diagnostic des problèmes rencontrés. Remarque : pour que la fonction de notification ConnectEMC soit opérationnelle, vous devez configurer un serveur SMTP cible pour le système VNXe. ESRS (EMC Secure Remote Support) ESRS fournit une connexion IP permettant au Support EMC de recevoir les messages d alerte et les fichiers d erreur en provenance de votre système VNXe, et d effectuer un dépannage à distance, offrant ainsi une résolution rapide et efficace des problèmes. Remarque : Disponible avec un environnement d'exploitation VNXe version 2 ou supérieure. Pour qu ESRS fonctionne, vous devez l activer sur le système VNXe. Configuration des paramètres d'alerte Vous pouvez configurer les paramètres d alerte utilisés par le système VNXe pour la notification par e-mail et les traps SNMP. Configuration des paramètres d'alerte de notification par e-mail Dans Unisphere : 1. Sélectionnez Paramètres > Configuration supplémentaire > Paramètres d alerte. 2. Dans la rubrique Alertes par e-mail, choisissez l'une des options suivantes pour définir le niveau de gravité auquel un événement doit correspondre pour que des e-mails d'alerte soient générés : Informations Avertissement Erreurs Critique Urgence Remarque : pour que le mécanisme d'alerte par e-mail VNXe fonctionne, un serveur SMTP cible doit être configuré pour le système VNXe. Paramètres d alerte 55
Paramètres d'alerte de sécurité Configuration des paramètres d'alerte sous forme de traps SNMP Dans Unisphere : 1. Sélectionnez Paramètres > Configuration supplémentaire > Paramètres d alerte. 2. Dans la rubrique Paramètres d'alerte, choisissez l'une des options suivantes pour définir le niveau de gravité auquel un événement doit correspondre pour que des traps SNMP soient générées : Informations Avertissement Erreurs Critique Urgence 56 Guide de configuration de la sécurité pour EMC VNXe
8 Autres paramètres de sécurité Ce chapitre contient des informations supplémentaires permettant de garantir un fonctionnement sécurisé du système VNXe. Les rubriques sont les suivantes : Effacement des données à la page 58 Contrôles de sécurité physique à la page 58 Protection antivirus à la page 58 Guide de configuration de la sécurité pour EMC VNXe 57
Autres paramètres de sécurité Effacement des données Les objets supprimés ne peuvent être reconstruits. Néanmoins, en cas de nécessité dans l'environnement, EMC propose des services d'effacement des données. Contrôles de sécurité physique Le lieu d'installation du système VNXe doit être choisi et si nécessaire adapté de manière à ce que sa sécurité physique soit garantie. Il convient notamment de veiller à ce que les portes et verrous soient en nombre suffisant, à limiter l'accès physique au système aux seules personnes autorisées et à contrôler cet accès, à doter le système d'une source d'alimentation fiable, et à respecter les meilleures pratiques en matière de câblage. En outre, les éléments et composants suivants du système VNXe nécessitent une vigilance particulière : Bouton de réinitialisation des mots de passe : réinitialise temporairement les mots de passe par défaut du compte de maintenance et du compte administrateur par défaut du système VNXe jusqu'à ce qu'un administrateur réinitialise le mot de passe. Connecteur de port série : permet l'accès authentifié via une connexion par port série. Protection antivirus VNXe prend en charge EMC Common AntiVirus Agent (CAVA). CAVA, composant de VNX Event Enabler (VEE) 4.9.3.0, offre une solution antivirus aux clients utilisant un système VNXe. Ce composant utilise un protocole CIFS standard dans l'environnement Microsoft Windows Server. CAVA tire parti de logiciels antivirus tiers afin d'identifier et d'éliminer les virus connus avant qu'ils n'infectent les fichiers du système VNXe. Le programme d'installation de VEE (qui contient celui de CAVA) et les notes de mise à jour de VEE peuvent être téléchargés sur la page Téléchargements > Prise en charge des produits VNXe du site Web du Support en ligne EMC. 58 Guide de configuration de la sécurité pour EMC VNXe
2011-2013 EMC Corporation. All Rights Reserved. EMC believes the information in this publication is accurate as of its publication date. The information is subject to change without notice. THE INFORMATION IN THIS PUBLICATION IS PROVIDED AS IS. EMC CORPORATION MAKES NO REPRESENTATIONS OR WARRANTIES OF ANY KIND WITH RESPECT TO THE INFORMATION IN THIS PUBLICATION, AND SPECIFICALLY DISCLAIMS IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Use, copying, and distribution of any EMC software described in this publication requires an applicable software license. EMC2, EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United State and other countries. All other trademarks used herein are the property of their respective owners.