PowerProtect: DP Series 및 IDPA: 일반 보안 강화 모범 사례(버전. 2.7.6)

다음은 보안 취약성 검사를 실행하기 전에 PowerProtect Data Protection Series 소프트웨어 버전 2.7.6에 대한 일반적인 보안 강화 모범 사례입니다. 기타 문제는 Dell Technologies 지원 팀에 문의하십시오.
 

ALL(선택 사항):

PowerProtect DP Series 어플라이언스 하위 구성 요소에는 SSL 자체 서명 인증서가 포함되어 있으며, 이로 인해 브라우저에서 안전하지 않은 연결로 보고될 수 있습니다. 어플라이언스 보안을 최대화하기 위해 고객은 기본 SSL 자체 서명 인증서를 신뢰할 수 있는 CA(Certificate Authority)에서 서명한 SSL 인증서로 교체해야 합니다. IDPA 보안 구성 가이드에 나와 있는 단계를 적용합니다(문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함). 자세한 절차는 "인증서 관리" 섹션에 있습니다.

ACM(Appliance Configuration Manager):

다음 Dell 문서를 적용합니다.

• PowerProtect DP Series 어플라이언스 및 IDPA: ACM/검색에서 보안 취약성 스캔에서 "NTP(Network Time Protocol) 모드 6 스캐너"가 탐지됨
• PowerProtect DP Series 어플라이언스 및 IDPA: 보안 취약성 검사에서 ACM에서 "DNS 또는 BIND" 취약성을 감지했습니다 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함).
• PowerProtect DP Series 어플라이언스 및 IDPA: 보안 취약성 검사에서 SSH에 다수의 IDPA 구성 요소에 취약한 CBC 암호가 포함되어 있음을 감지함
• PowerProtect DP Series 어플라이언스 및 IDPA에서 SSH에 대해 SHA1 설정이 더 이상 사용되지 않음을 보고합니다(QID 38909).

Protection Software(Avamar):

최신 Avamar 19.9 누적 핫픽스를 적용합니다. 예를 들어 Avamar Virtual Edition - Hotfix 338827, 2024년 8월을 포함한 Avamar Server용 Avamar 19.9 Avamar 누적 핫픽스: "v19.9.0.78-workflow-338827.zip"

• AVI(Avamar Installer)를 사용하여 Avamar .avp 핫픽스를 설치하는 방법

Avamar 및 NDMP 노드에 최신 Avamar OS 패치를 적용합니다. 예를 들어 AVE(Avamar Virtual Edition) 및 ADS(Avamar Data Store) 플랫폼 보안 롤업 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."

• Avamar: AVE(Avamar Virtual Edition) 및 NDMP에 Avamar 보안 롤업을 설치하는 방법 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)

IDPA 내부 AvProxy 및 고객의 vCenter 프록시를 포함한 모든 Avamar 프록시에 최신 Avamar 프록시 누적 핫픽스를 적용합니다. 예: Avamar 19.9.100-78 PROXY 누적 핫픽스(핫픽스 338844, 2024년 8월), "v19.9.100.78-client-338844.zip."

• 프록시 핫픽스 설치 절차는 .zip 파일 내의 README 파일에서 찾을 수 있습니다.

IDPA 내부 AvProxy 및 고객의 vCenter 프록시를 포함한 모든 Avamar 프록시에 Avamar 프록시 OS 패치를 적용합니다. 예를 들어 Avamar 프록시 번들 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."

다음 Dell 문서를 적용합니다.

• PowerProtect DP Series 어플라이언스 및 IDPA: 보안 취약성 검사에서 SSH에 다수의 IDPA 구성 요소에 취약한 CBC 암호가 포함되어 있음을 감지함
• PowerProtect DP Series 어플라이언스 및 IDPA에서 SSH에 대해 SHA1 설정이 더 이상 사용되지 않음을 보고합니다(QID 38909). 
  (참고: 이 문제는 Avamar Security Rollup 2024-R2를 적용한 후에 해결해야 합니다.)

"SNMP v3와 Protection Software 및 Protection Storage 통합" 및 "SNMP v3와 보고 및 분석 및 보호 스토리지 통합" 섹션의 PowerProtect DP Series 어플라이언스 보안 구성 가이드 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)를 적용합니다.

주의: PowerProtect DP Series 어플라이언스가 Cloud DR로 구성된 경우 Protection Software(Avamar) 및 Protection Storage(Data Domain)를 SNMP v3과 통합하지 마십시오. SNMP v3 구성 후에는 Cloud DR이 제대로 작동하지 않습니다.

Cloud DR을 사용 중인 경우 SNMP v2C만 지원됩니다. 잘 알려진 "public" 및 "private" 커뮤니티 문자열 은 "idpasnmpuser" 또는 환경에 고유한 것입니다. SNMP 커뮤니티 문자열을 업데이트하려면 보안 구성 가이드 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함) 의 절차(v3 대신 SNMP v2C 선택)를 참조하십시오.

보호 스토리지(Data Domain):

버전 DD OS 7.10.1.20으로 아웃오브밴드 업그레이드를 수행합니다. (IDPA 버전 2.7.6-DD OS 버전 7.10.1.20이 지원됨)

다음 Dell 문서를 적용합니다.

• Data Domain: 더 이상 사용되지 않는 SSH 암호화 설정 QID 38739(문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)
• PowerProtect DP Series 어플라이언스 및 IDPA에서 SSH에 대해 SHA1 설정이 더 이상 사용되지 않음을 보고합니다(QID 38909).
• PowerProtect: IDPA 2.7.6 및 2.7.7의 OpenSSH 취약성 CVE-2024-6387 

"SNMP v3와 보호 소프트웨어 및 보호 스토리지 통합" 및 "SNMP v3와 보고 및 분석 및 보호 스토리지 통합" 섹션 아래에 있는 PowerProtect DP Series 어플라이언스 보안 구성 가이드 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)를 적용합니다.

주의: PowerProtect DP Series 어플라이언스가 Cloud DR로 구성된 경우 Protection Software(Avamar) 및 Protection Storage(Data Domain)를 SNMP v3과 통합하지 마십시오. SNMP v3 구성 후에는 Cloud DR이 제대로 작동하지 않습니다.

Cloud DR을 사용 중인 경우 SNMP v2C만 지원됩니다. 잘 알려진 "public" 및 "private" 커뮤니티 문자열 은 "idpasnmpuser" 또는 환경에 고유한 것입니다. SNMP 커뮤니티 문자열을 업데이트하려면 보안 구성 가이드 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함) 의 절차(v3 대신 SNMP v2C 선택)를 참조하십시오.

시스템 관리자(DPC):

• Data Protection Central: Data Protection Central 운영 체제 업데이트를 설치하는 방법 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)

검색:

• PowerProtect DP Series 어플라이언스 및 IDPA: ACM/검색에서 보안 취약성 스캔에서 "NTP(Network Time Protocol) 모드 6 스캐너"가 탐지됨
• DPSearch의 보안 검사 평가에서 ldap-anonymous-directory-access에 대한 알림을 표시할 수 있음 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)
• PowerProtect DP Series 어플라이언스 및 IDPA: 보안 취약성 검사에서 ESXi, vCenter, Search 또는 DPC에서 "SSH 구성 내 MD5 또는 96비트 HMAC 알고리듬에 대한 SSH 취약성"이 감지되었습니다(문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함) 
• PowerProtect DP Series 어플라이언스 및 IDPA에서 SSH에 대해 SHA1 설정이 더 이상 사용되지 않음을 보고합니다(QID 38909).

보고 및 분석(DPA):

• DP4400의 경우: 서버 바이너리 다운로드(파일에 액세스하려면 Dell 지원 부서에 등록된 사용자로 로그인해야 함) 
• DP5/8x00의 경우: 서버 및 에이전트 바이너리 다운로드(파일에 액세스하려면 Dell 지원에 등록된 사용자로 로그인해야 함)
• PowerProtect DP Series 어플라이언스 및 Integrated Data Protection 어플라이언스: 어플라이언스 내에서 DPA 또는 Data Protection Advisor 구성 요소를 아웃오브밴드로 업그레이드하는 단계

SSH에 PowerProtect DP Series 어플라이언스 및 IDPA 보고서 SHA1 사용 중단 설정을 적용합니다(

QID 38909)."Linux 64비트용 Data Protection Advisor 2024년 4월 JRE 8u411 업그레이드 패치" 패치를 DPA 데이터 저장소 및 애플리케이션 서버에 적용합니다(파일에 액세스하려면 Dell 지원에 등록된 사용자로 로그인해야 함). DPA 19.9 및 19.10 버전의 최신 패치로 테스트되었습니다.

• JRE 업그레이드를 수행하는 방법은 Dell Data Protection Advisor 19.10 설치 및 관리 가이드 문서를 참조하십시오.

"Protection Software 및 Protection StorSage를 SNMP v3와 통합" 및 "보고 및 분석과 보호 스토리지를 SNMP v3와 통합" 섹션 아래에 있는 PowerProtect DP Series 어플라이언스 보안 구성 가이드(문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)를 적용합니다.

주의: PowerProtect DP Series 어플라이언스가 Cloud DR로 구성된 경우 Protection Software(Avamar) 및 Protection Storage(Data Domain)를 SNMP v3과 통합하지 마십시오. SNMP v3 구성 후에는 Cloud DR이 제대로 작동하지 않습니다.

Cloud DR을 사용 중인 경우 SNMP v2C만 지원됩니다. 잘 알려진 "public" 및 "private" 커뮤니티 문자열 은 "idpasnmpuser" 또는 환경에 고유한 것입니다. SNMP 커뮤니티 문자열을 업데이트하려면 보안 구성 가이드 (문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함)의 절차(v3 대신 SNMP v2C 선택)를 참조하십시오.

PowerEdge 펌웨어 및 iDARC:

"PowerProtect DP Series 어플라이언스 스위치 및 iDRAC에 대한 기본 SNMP 커뮤니티 문자열 변경" 섹션의 IDPA 보안 구성 가이드(문서를 보려면 등록된 사용자로 로그인해야 함)에 제공된 단계를 적용합니다. SNMP 커뮤니티 문자열을 변경합니다.

보안 구성 가이드에 제공된 단계를 적용합니다(문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함).   "iDRAC에 대한 TLS 프로토콜 구성" 섹션을 참조하여 iDRAC 웹 서버 TLS 프로토콜을 TLS 1.2 이상으로 업데이트하십시오.

SSH에 PowerProtect DP Series 어플라이언스 및 IDPA 보고서 SHA1 사용 중단 설정을 적용합니다(QID 38909).

PowerEdge 스위치(DP5/8x00용):

보안 구성 가이드에 제공된 단계를 적용합니다(문서를 보려면 Dell 지원에 등록된 사용자로 로그인해야 함).  "PowerProtect DP Series 어플라이언스 스위치 및 iDRAC에 대한 기본 SNMP 커뮤니티 문자열 변경" 섹션을 참조하여 SNMP 커뮤니티 문자열을 업데이트하십시오.