PowerProtect: Řada DP a IDPA: Obecné osvědčené postupy pro posílení zabezpečení (verze. 2.7.6)

Před spuštěním kontroly bezpečnostních chyb si přečtěte několik obecných vzorových postupů pro posílení zabezpečení pro software PowerProtect řady Data Protection verze 2.7.6. V případě dalších problémů kontaktujte podporu společnosti Dell Technologies.
 

ALL (volitelné):

Podkomponenty zařízení PowerProtect řady DP zahrnují certifikáty SSL podepsané držitelem, které mohou způsobit, že prohlížeč nahlásí nezabezpečené připojení. Pro maximální zabezpečení zařízení musí zákazník nahradit výchozí certifikáty SSL podepsané držitelem certifikáty SSL podepsanými důvěryhodnou certifikační autoritou (CA). Postupujte podle kroků uvedených v příručce ke konfiguraci zabezpečení zařízení IDPA (k zobrazení dokumentu je nutné přihlášení jako registrovaný uživatel k podpoře společnosti Dell). Podrobný postup je uveden v části "Správa certifikátů".

Nástroj Appliance Configuration Manager (ACM):

Použijte následující články společnosti Dell:

• Zařízení PowerProtect řady DP a IDPA: Při kontrole chyb zabezpečení byl zjištěn parametr "Network Time Protocol (NTP) Mode 6 Scanner" v nástroji ACM/Search.
• Zařízení PowerProtect řady DP a IDPA: Kontrola chyby zabezpečení odhalila chyby zabezpečení DNS nebo BIND v ACM(pro zobrazení článku je nutné přihlášení jako registrovaný uživatel k podpoře Dell)
• Zařízení PowerProtect řady DP a IDPA: Při kontrole chyb zabezpečení bylo zjištěno, že protokol SSH obsahuje v mnoha komponentách IDPA slabé šifry CBC
• Zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909)

Software na ochranu (Avamar):

Použijte nejnovější kumulativní opravu hotfix Avamar 19.9. Například kumulativní oprava hotfix Avamar 19.9 Avamar pro Avamar Server, včetně Avamar Virtual Edition – oprava hotfix 338827, srpen 2024: "v19.9.0.78-workflow-338827.zip"

• Jak nainstalovat opravu hotfix .avp softwaru Avamar pomocí instalačního programu Avamar (AVI)

Použijte nejnovější opravu operačního systému Avamar na systém Avamar a uzly NDMP. Například Avamar Virtual Edition (AVE) a Avamar Data Stores (ADS) Platform Security Rollup 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."

• Avamar: Jak nainstalovat kumulativní aktualizaci zabezpečení Avamar na Avamar Virtual Edition (AVE) a NDMP(pro přečtení článku vyžaduje přihlášení jako registrovaný uživatel k podpoře Dell) 

Použijte nejnovější kumulativní opravu hotfix Avamar Proxy pro všechny proxy servery Avamar, včetně interních serverů AvProxy IDPA a serverů vCenter proxy zákazníka. Kumulativní oprava hotfix Avamar 19.9.100-78 PROXY (oprava hotfix 338844, srpen 2024) "v19.9.100.78-client-338844.zip."

• Postup instalace opravy Proxy Hotfix naleznete v souboru README v souboru .zip.

Použijte opravu operačního systému Avamar Proxy pro všechny servery Avamar proxy, včetně interních serverů IDPA AvProxy a serverů vCenter proxy zákazníka. Například balíček Avamar Proxy 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."

Použijte následující články společnosti Dell:

• Zařízení PowerProtect řady DP a IDPA: Při kontrole chyb zabezpečení bylo zjištěno, že protokol SSH obsahuje v mnoha komponentách IDPA slabé šifry CBC
• Zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909) 
  (Poznámka: Problém by měl být vyřešen po instalaci kumulativní aktualizace zabezpečení Avamar 2024-R2.)

Použijte průvodce konfigurací zabezpečení zařízení PowerProtect řady DP (pro zobrazení dokumentu je nutné přihlášení jako registrovaný uživatel k podpoře společnosti Dell) v částech "Integrace softwaru pro ochranu a úložiště ochrany s protokolem SNMP v3" a "Integrace reportingu a analýzy a úložiště ochrany s protokolem SNMP v3".

OPATRNOST: Pokud je zařízení PowerProtect řady DP nakonfigurováno s cloudovým DR, neintegrujte software pro ochranu (Avamar) a ochranu úložiště (Data Domain) se serverem SNMP v3. Po konfiguraci protokolu SNMP v3 nebude cloudové zotavení po havárii fungovat správně.

Pokud se používá Cloud DR, podporuje se pouze protokol SNMP v2C. Dobře známé "veřejné" a "soukromé" komunitní řetězce by měly být nahrazeny řetězci jako "idpasnmpuser" nebo něco jedinečného pro životní prostředí. Při aktualizaci řetězce komunity SNMP postupujte podle pokynů v příručce konfigurace zabezpečení(pro zobrazení dokumentu vyžaduje přihlášení k podpoře společnosti Dell jako registrovaný uživatel) (výběr možnosti SNMP v2C namísto v3). 

Ochrana úložiště (Data Domain):

Proveďte mimopásmový upgrade na verzi DD OS 7.10.1.20. (Pro IDPA verze 2.7.6-DD OS je podporována verze 7.10.1.20.)

Použijte následující články společnosti Dell:

• Data Domain: Zrušená kryptografická nastavení SSH QID 38739(pro zobrazení článku je nutné přihlásit se jako registrovaný uživatel k podpoře Dell)
• Zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909)
• PowerProtect: Chyba zabezpečení OpenSSH CVE-2024-6387 v zařízení IDPA 2.7.6 a 2.7.7 

Použijte Průvodce konfigurací zabezpečení zařízení PowerProtect řady DP (pro zobrazení dokumentu je nutné se přihlásit jako registrovaný uživatel k podpoře společnosti Dell) v částech "Integrace softwaru pro ochranu a úložiště ochrany se serverem SNMP v3" a "Integrace reportingu, analýzy a ochrany úložiště s protokolem SNMP v3".

OPATRNOST:  Pokud je zařízení PowerProtect řady DP nakonfigurováno s cloudovým DR, neintegrujte software pro ochranu (Avamar) a ochranu úložiště (Data Domain) se serverem SNMP v3. Po konfiguraci protokolu SNMP v3 nebude cloudové zotavení po havárii fungovat správně.

Pokud se používá Cloud DR, podporuje se pouze protokol SNMP v2C. Dobře známé "veřejné" a "soukromé" komunitní řetězce by měly být nahrazeny řetězci jako "idpasnmpuser" nebo něco jedinečného pro životní prostředí. Při aktualizaci řetězce komunity SNMP postupujte podle pokynů v příručce konfigurace zabezpečení(pro zobrazení dokumentu vyžaduje přihlášení k podpoře společnosti Dell jako registrovaný uživatel) (výběr možnosti SNMP v2C namísto v3). 

System Manager (DPC):

• Data Protection Central: Jak nainstalovat aktualizaci operačního systému Data Protection Central(pro zobrazení článku je nutné se přihlásit jako registrovaný uživatel k podpoře Dell) 

Hledání:

• Zařízení PowerProtect řady DP a IDPA: Při kontrole chyb zabezpečení byl zjištěn parametr "Network Time Protocol (NTP) Mode 6 Scanner" v nástroji ACM/Search.
• Při hodnocení bezpečnostní kontroly nástroje DPSearch se může zobrazit výstraha týkající se přístupu k adresáři ldap anonymous-directory-access(pro zobrazení článku vyžaduje přihlášení jako registrovaný uživatel k podpoře Dell). 
• Zařízení PowerProtect řady DP a IDPA: Při kontrole byla zjištěna chyba zabezpečení "SSH vulnerabilities for MD5 or 96-bit HMAC algorithms within the SSH configuration" v systému ESXi, vCenter, Search nebo DPC(pro zobrazení článku je nutné se přihlásit jako registrovaný uživatel k podpoře Dell) 
• Zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909)

Reporting a analýza (DPA):

• Pro DP4400: Stažení binárního souboru serveru(pro přístup k souboru je nutné přihlášení jako registrovaný uživatel k podpoře společnosti Dell) 
• Pro DP5/8x00: Stáhněte binární soubory serveru a agenta(pro přístup k souboru je nutné přihlásit se jako registrovaný uživatel k podpoře Dell)
• Zařízení řady PowerProtect DP a zařízení Integrated Data Protection Appliance: Postup upgradu komponenty DPA nebo Data Protection Advisor mimo pásmo v rámci zařízení

Použijte zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909).

Použijte opravu "Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit" (pro přístup k souboru je nutné se přihlásit jako registrovaný uživatel k podpoře společnosti Dell) na datové úložiště DPA a aplikační servery. Byl testován s nejnovějšími opravami DPA verze 19.9 a 19.10.

• Informace o provedení upgradu JRE naleznete v článku Průvodce instalací a správou nástroje Dell Data Protection Advisor 19.10 .

Použijte průvodce konfigurací zabezpečení zařízení PowerProtect řady DP (pro zobrazení dokumentu je nutné se přihlásit jako registrovaný uživatel k podpoře společnosti Dell) v částech "Integrace softwaru pro ochranu a ochrany úložiště s protokolem SNMP v3" a "Integrace reportingu, analýzy a ochrany úložiště s protokolem SNMP v3".

OPATRNOST: Pokud je zařízení PowerProtect řady DP nakonfigurováno s cloudovým DR, neintegrujte software pro ochranu (Avamar) a ochranu úložiště (Data Domain) se serverem SNMP v3. Po konfiguraci protokolu SNMP v3 nebude cloudové zotavení po havárii fungovat správně.

Pokud se používá Cloud DR, podporuje se pouze protokol SNMP v2C. Dobře známé "veřejné" a "soukromé" komunitní řetězce by měly být nahrazeny řetězci jako "idpasnmpuser" nebo něco jedinečného pro životní prostředí. Při aktualizaci řetězce komunity SNMP postupujte podle pokynů v příručce konfigurace zabezpečení(pro zobrazení dokumentu vyžaduje přihlášení k podpoře společnosti Dell jako registrovaný uživatel) (výběr možnosti SNMP v2C namísto v3). 

Firmware PowerEdge a iDARC:

Postupujte podle kroků uvedených v příručce IDPA Security Configuration Guide(pro zobrazení dokumentu vyžaduje přihlášení jako registrovaný uživatel k podpoře Dell) v části "Change the default SNMP community string for the PowerProtect DP Series Appliance switch and iDRAC" a změňte řetězec komunity SNMP.

Postupujte podle kroků uvedených v Příručce konfigurace zabezpečení(pro zobrazení dokumentu je nutné se přihlásit jako registrovaný uživatel k podpoře Dell)."   Přečtěte si část "Konfigurace protokolu TLS pro řadič iDRAC" a aktualizujte protokol TLS webového serveru řadiče iDRAC na verzi TLS 1.2 a vyšší.

Použijte zařízení PowerProtect řady DP a IDPA hlásí zastaralé nastavení SHA1 pro SSH (QID 38909).

Přepínače PowerEdge (pro DP5/8x00):

Postupujte podle kroků uvedených v Příručce konfigurace zabezpečení(pro zobrazení dokumentu je nutné se přihlásit jako registrovaný uživatel k podpoře Dell)."  Přečtěte si část "Změna výchozího řetězce komunity SNMP pro přepínač zařízení PowerProtect řady DP a řadič iDRAC" a aktualizujte řetězec komunity SNMP.