PowerProtect: DP Serie und IDPA: Allgemeine Best Practices für die Sicherheitshärtung (Version. 2.7.6)

摘要: Dieser Artikel enthält allgemeine Best Practices zur Sicherheitshärtung für Integrated Data Protection Appliance (IDPA) Version 2.7.6, bevor ein Sicherheitslückenscan durchgeführt wird. ...

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

HINWEIS: PowerProtect Data Protection (DP) Series Software oder IDPA Version 2.7.7 wurde veröffentlicht. Es wird empfohlen, ein Upgrade auf die IDPA-Version 2.7.7 durchzuführen.


Bevor Sie einen Sicherheitslückenscan durchführen, finden Sie hier einige allgemeine Best Practices zur Sicherheitsverstärkung für die PowerProtect Data Protection Series-Softwareversion 2.7.6. Wenden Sie sich bei weiteren Problemen an den Dell Technologies Support.
 

ALLE (optional):

Die Unterkomponenten der PowerProtect DP Series Appliance umfassen selbstsignierte SSL-Zertifikate, die dazu führen können, dass der Browser eine ungesicherte Verbindung meldet. Für maximale Appliance-Sicherheit muss der Kunde die selbstsignierten SSL-Standardzertifikate durch SSL-Zertifikate ersetzen, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurden. Führen Sie die Schritte im IDPA-Sicherheitskonfigurationsleitfaden aus (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen). Die detaillierte Vorgehensweise finden Sie im Abschnitt "Zertifikatsverwaltung".


HINWEIS: Vom Kunden importierte CA-signierte Zertifikate werden während des Appliance-Upgrades durch selbstsignierte Zertifikate ersetzt. Daher muss der Kunde das von der Zertifizierungsstelle signierte Zertifikat nach einem Upgrade erneut hinzufügen.


Appliance Configuration Manager (ACM):

Wenden Sie die folgenden Dell Artikel an:


Schutzsoftware (Avamar):

Wenden Sie den neuesten kumulativen Hotfix für Avamar 19.9 an. Beispiel: Avamar 19.9 Avamar Cumulative Hotfix for Avamar Server, including Avamar Virtual Edition – Hotfix 338827, August 2024: "v19.9.0.78-workflow-338827.zip"

Wenden Sie den neuesten Avamar-BS-Patch auf Avamar- und NDMP-Nodes an. Beispiel: Avamar Virtual Edition (AVE) und Avamar Data Stores (ADS) Platform Security Rollup 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."

Wenden Sie den neuesten kumulativen Avamar Proxy-Hotfix auf alle Avamar-Proxys an, einschließlich IDPA-internem AvProxy und den vCenter-Proxys des Kunden. Beispiel: Avamar 19.9.100-78 PROXY Cumulative Hotfix (Hotfix 338844, August 2024), "v19.9.100.78-client-338844.zip."

  • Das Installationsverfahren für den Proxy-Hotfix finden Sie in der README-Datei innerhalb der .zip Datei.

Anwenden des Avamar Proxy-BS-Patches auf alle Avamar-Proxys, einschließlich IDPA-internem AvProxy und vCenter-Proxys des Kunden. Beispiel: Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."

Wenden Sie die folgenden Dell Artikel an:

Wenden Sie den PowerProtect DP Series Appliance Security Configuration Guide (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) unter den Abschnitten "Integration von Schutzsoftware und Datenschutzspeicher in SNMP v3" und "Integrieren von Reporting und Analysen und Datenschutzspeicher in SNMP v3" an.

VORSICHT: Wenn die Appliance der PowerProtect DP Serie mit Cloud DR konfiguriert ist, integrieren Sie keine Schutzsoftware (Avamar) und keinen Datenschutzspeicher (Data Domain) mit SNMP v3. Cloud DR funktioniert nach der SNMP v3-Konfiguration nicht ordnungsgemäß.

Wenn Cloud DR verwendet wird, wird nur SNMP v2C unterstützt. Die bekannten "öffentlichen" und "privaten" Community-Zeichenfolgen sollten durch Zeichenfolgen wie "idpasnmpuser" oder etwas Einzigartiges in der Umgebung. Informationen zum Aktualisieren des SNMP-Communitystrings finden Sie im Verfahren im Sicherheitskonfigurationsleitfaden(Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) (Auswahl von SNMP v2C anstelle von v3). 


Protection Storage (Data Domain):

Führen Sie ein bandexternes Upgrade auf Version DD OS 7.10.1.20 durch. (Für IDPA Version 2.7.6 wird DD OS Version 7.10.1.20 unterstützt.)

Wenden Sie die folgenden Dell Artikel an:

Wenden Sie den Sicherheitskonfigurationsleitfaden für die PowerProtect DP Series Appliance an (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) unter den Abschnitten "Integration von Schutzsoftware und Datenschutzspeicher mit SNMP v3" und "Integrieren von Reporting und Analysen und Datenschutzspeicher mit SNMP v3".

VORSICHT:  Wenn die Appliance der PowerProtect DP Serie mit Cloud DR konfiguriert ist, integrieren Sie keine Schutzsoftware (Avamar) und keinen Datenschutzspeicher (Data Domain) mit SNMP v3. Cloud DR funktioniert nach der SNMP v3-Konfiguration nicht ordnungsgemäß.

Wenn Cloud DR verwendet wird, wird nur SNMP v2C unterstützt. Die bekannten "öffentlichen" und "privaten" Community-Zeichenfolgen sollten durch Zeichenfolgen wie "idpasnmpuser" oder etwas Einzigartiges in der Umgebung. Informationen zum Aktualisieren des SNMP-Communitystrings finden Sie im Verfahren im Sicherheitskonfigurationsleitfaden(Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) (Auswahl von SNMP v2C anstelle von v3). 


System Manager (DPC):

HINWEIS: DPC ist eine optionale Komponente, Kunden können entscheiden, ob sie sie behalten möchten. Das Entfernen von DPC aus ACM hat keine Auswirkungen auf die Backupfunktion.

Wenden Sie das neueste Update für das Betriebssystem Data Protection Central an. Laden Sie z. B. das Betriebssystemupdate herunter dpc-osupdate-1.1.19-1.jar (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um auf die Datei zugreifen zu können) 


Suchen:

HINWEIS: Die Suche ist eine optionale Komponente, Kunden können entscheiden, ob sie sie behalten möchten. Das Entfernen der Suche aus ACM hat keine Auswirkungen auf die Backupfunktion.

VORSICHT: Die Suche ist nicht mehr in den Neuinstallationen von Version 2.7.6 enthalten. Wenn für die Appliance ein Upgrade von einer älteren Version auf Version 2.7.6 durchgeführt wurde, wird die Suche auf Version 19.6.3 aktualisiert und ist verfügbar, bis sie aus der ACM-Benutzeroberfläche entfernt wird. Wenn die Suche aus ACM entfernt wird, gibt es kein Verfahren zur Neuinstallation.

Wenden Sie die folgenden Dell Artikel an, um zusätzliche Sicherheitslücken zu beheben:

 

Reporting und Analysen (DPA):

HINWEIS: DPA ist eine optionale Komponente, Kunden können entscheiden, ob sie sie behalten möchten. Das Entfernen von DPA aus ACM hat keine Auswirkungen auf die Backupfunktion.

Führen Sie ein Upgrade des DPA auf Version 19.10 Build 22 durch:

Anwendung der Appliances der PowerProtect DP Serie und IDPA meldet SHA1 veraltete Einstellung für SSH (QID 38909).

Wenden Sie den Patch "Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit" (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um auf die Datei zuzugreifen) auf dem DPA-Datenspeicher und den Anwendungsservern an. Es wurde mit den neuesten Patches der DPA-Versionen 19.9 und 19.10 getestet.

Wenden Sie den Sicherheitskonfigurationsleitfaden für die PowerProtect DP Series Appliance an (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) unter den Abschnitten "Integration von Schutzsoftware und Schutzspeicher in SNMP v3" und "Integration von Reporting und Analysen sowie Datenschutzspeicher in SNMP v3".

VORSICHT: Wenn die Appliance der PowerProtect DP Serie mit Cloud DR konfiguriert ist, integrieren Sie keine Schutzsoftware (Avamar) und keinen Datenschutzspeicher (Data Domain) mit SNMP v3. Cloud DR funktioniert nach der SNMP v3-Konfiguration nicht ordnungsgemäß.

Wenn Cloud DR verwendet wird, wird nur SNMP v2C unterstützt. Die bekannten "öffentlichen" und "privaten" Community-Zeichenfolgen sollten durch Zeichenfolgen wie "idpasnmpuser" oder etwas Einzigartiges in der Umgebung. Informationen zum Aktualisieren des SNMP-Communitystrings finden Sie im Verfahren im Sicherheitskonfigurationsleitfaden(Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) (Auswahl von SNMP v2C anstelle von v3). 


PowerEdge-Firmware und iDARC:

Wenden Sie die Schritte im IDPA-Sicherheitskonfigurationsleitfadenan (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen) im Abschnitt "Ändern der standardmäßigen SNMP-Communityzeichenfolge für den Switch und iDRAC der PowerProtect DP Series Appliance" und ändern Sie die SNMP-Communityzeichenfolge.

Führen Sie die Schritte im Sicherheitskonfigurationsleitfaden aus (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen).   Lesen Sie den Abschnitt "TLS-Protokollkonfiguration für iDRAC" und aktualisieren Sie das TLS-Protokoll des iDRAC-Webservers auf TLS 1.2 und höher.

Anwendung der Appliances der PowerProtect DP Serie und IDPA meldet SHA1 veraltete Einstellung für SSH (QID 38909).


PowerEdge-Switches (für DP5/8x00):

Führen Sie die Schritte im Sicherheitskonfigurationsleitfaden aus (Anmeldung als registrierter Nutzer beim Dell Support erforderlich, um das Dokument anzuzeigen).  Lesen Sie den Abschnitt "Ändern des standardmäßigen SNMP-Communitystrings für den Switch und den iDRAC der PowerProtect DP Series Appliance" und aktualisieren Sie den SNMP-Communitystring.

受影响的产品

PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本:  13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。