PowerProtect: Serie DP e IDPA: Prácticas recomendadas generales de reforzamiento de la seguridad (versión 2.7.6)
摘要: Este artículo tiene como objetivo proporcionar prácticas recomendadas generales de reforzamiento de la seguridad para Integrated Data Protection Appliance (IDPA) versión 2.7.6 antes de ejecutar un análisis de vulnerabilidades de seguridad. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
NOTA: Se lanzó el software PowerProtect Data Protection (DP) Series o IDPA versión 2.7.7. Se recomienda actualizar a la versión 2.7.7 de IDPA.
Antes de ejecutar un análisis de vulnerabilidades de seguridad, estas son algunas prácticas recomendadas generales de reforzamiento de seguridad para el software de la serie PowerProtect Data Protection versión 2.7.6. Comuníquese con el soporte de Dell Technologies ante cualquier otro problema.
TODOS (opcional):
Los subcomponentes del dispositivo PowerProtect serie DP incluyen certificados SSL autofirmados, lo que puede provocar que el navegador informe que hay una conexión no segura. Para obtener la máxima seguridad del dispositivo, el cliente debe reemplazar los certificados SSL autofirmados predeterminados por certificados SSL firmados por una autoridad de certificación (CA) de confianza. Aplique los pasos que se proporcionan en la Guía de configuración de seguridad deIDPA (es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el documento). El procedimiento detallado se encuentra en la sección "Administración de certificados".
NOTA: Los certificados firmados por CA importados por el cliente se reemplazan por certificados autofirmados durante la actualización del dispositivo. Por lo tanto, el cliente debe volver a agregar el certificado firmado por la CA después de una actualización.
Administrador de configuración del dispositivo (ACM):
Aplique los siguientes artículos de Dell:
- Dispositivos de PowerProtect de serie DP e IDPA: Se detectó un análisis de vulnerabilidades de seguridad "Escáner de modo 6 de Network Time Protocol (NTP)" en ACM/búsqueda
- Dispositivos de PowerProtect de serie DP e IDPA: El análisis de vulnerabilidades de seguridad detectó vulnerabilidades "DNS o BIND" en ACM(es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el artículo)
- Dispositivos de PowerProtect de serie DP e IDPA: El análisis de vulnerabilidades de seguridad detectó que SSH contiene cifrados CBC débiles en muchos componentes de IDPA
- Los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909)
Software de protección (Avamar):
Aplique la revisión acumulativa más reciente de Avamar 19.9. Por ejemplo, revisión acumulativa de Avamar 19.9 para Avamar Server, incluido Avamar Virtual Edition: revisión 338827, agosto de 2024: "v19.9.0.78-workflow-338827.zip"
Aplique el parche más reciente del SO de Avamar en Avamar y los nodos de NDMP. Por ejemplo, el paquete acumulativo de seguridad 2024-R2 de la plataforma Avamar Virtual Edition (AVE) y Avamar Data Store (ADS), "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar: Cómo instalar el paquete acumulativo de seguridad de Avamar en Avamar Virtual Edition (AVE) y NDMP(es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el artículo)
Aplique la revisión acumulativa más reciente del proxy de Avamar para todos los proxies de Avamar, incluidos el AvProxy interno de IDPA y los proxies de vCenter del cliente. Por ejemplo, Avamar 19.9.100-78 PROXY Cumulative Hotfix (revisión 338844, agosto de 2024), "v19.9.100.78-client-338844.zip."
- El procedimiento de instalación de Proxy Hotfix se puede encontrar en el archivo README dentro del archivo .zip.
Aplique el parche del sistema operativo proxy de Avamar para todos los proxies de Avamar, incluidos AvProxy interno de IDPA y vCenter Proxies del cliente. Por ejemplo, paquete de proxy de Avamar 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Aplique los siguientes artículos de Dell:
- Dispositivos de PowerProtect de serie DP e IDPA: El análisis de vulnerabilidades de seguridad detectó que SSH contiene cifrados CBC débiles en muchos componentes de IDPA
- Los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909)
(Nota: El problema se debe resolver después de aplicar el paquete acumulativo de seguridad de Avamar 2024-R2).
Aplique la Guía de configuración de seguridad del dispositivo PowerProtect serie DP (es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) en las secciones "Integrar software de protección y almacenamiento con protección con SNMP v3" e "Integrar generación de informes y análisis y almacenamiento con protección con SNMP v3".
CAUTELA: Si PowerProtect DP Series Appliance está configurado con Cloud DR, no integre Protection Software (Avamar) ni Protection Storage (Data Domain) con SNMP v3. Cloud DR no funcionará correctamente después de la configuración de SNMP v3.
Si DR en la nube está en uso, solo se admite SNMP v2C. Las conocidas cadenas de comunidad "públicas" y "privadas" deben reemplazarse por cadenas como "idpasnmpuser" o algo único en el medio ambiente. Consulte el procedimiento de la Guía de configuración de seguridad(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) (selección de SNMP v2C en lugar de v3) para actualizar la cadena de comunidad SNMP.
Almacenamiento con protección (Data Domain):
Realice una actualización fuera de banda a la versión 7.10.1.20 de DD OS. (Para IDPA versión 2.7.6-DD OS, se admite la versión 7.10.1.20).
Aplique los siguientes artículos de Dell:
- Data Domain: Configuración criptográfica SSH obsoleta QID 38739(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el artículo)
- Los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909)
- PowerProtect: Vulnerabilidad CVE-2024-6387 de OpenSSH en IDPA 2.7.6 y 2.7.7
Aplique la Guía de configuración de seguridad del dispositivo PowerProtect serie DP (requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) en las secciones "Integrar software de protección y almacenamiento con protección con SNMP v3" e "Integrar generación de informes y análisis y almacenamiento con protección con SNMP v3".
CAUTELA: Si PowerProtect DP Series Appliance está configurado con Cloud DR, no integre Protection Software (Avamar) ni Protection Storage (Data Domain) con SNMP v3. Cloud DR no funcionará correctamente después de la configuración de SNMP v3.
Si DR en la nube está en uso, solo se admite SNMP v2C. Las conocidas cadenas de comunidad "públicas" y "privadas" deben reemplazarse por cadenas como "idpasnmpuser" o algo único en el medio ambiente. Consulte el procedimiento de la Guía de configuración de seguridad(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) (selección de SNMP v2C en lugar de v3) para actualizar la cadena de comunidad SNMP.
Administrador del sistema (DPC):
NOTA: DPC es un componente opcional, los clientes pueden decidir si lo conservan. La eliminación de DPC de ACM no afectaría la funcionalidad de respaldo.
Aplique la actualización más reciente del sistema operativo de Data Protection Central. Por ejemplo, descargar la actualización del sistema operativo
Aplique la actualización más reciente del sistema operativo de Data Protection Central. Por ejemplo, descargar la actualización del sistema operativo
dpc-osupdate-1.1.19-1.jar (requiere iniciar sesión como usuario registrado en el soporte de Dell para acceder al archivo)
- Central de Protección de Datos: Cómo instalar la actualización del sistema operativo de Data Protection Central(es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el artículo)
Buscar:
NOTA: La búsqueda es un componente opcional, los clientes pueden decidir si la conservan. La eliminación de la búsqueda de ACM no afectaría la funcionalidad de respaldo.
CAUTELA: La búsqueda ya no está en las instalaciones nuevas de la versión 2.7.6. Si el dispositivo se actualizó a la versión 2.7.6 desde una versión anterior, la búsqueda se actualiza a la versión 19.6.3 y está disponible hasta que se elimina de la interfaz del usuario de ACM. Si se elimina la búsqueda de ACM, no hay ningún procedimiento de reinstalación.
Aplique los siguientes artículos de Dell para aplicar la corrección de vulnerabilidades de seguridad adicionales:
CAUTELA: La búsqueda ya no está en las instalaciones nuevas de la versión 2.7.6. Si el dispositivo se actualizó a la versión 2.7.6 desde una versión anterior, la búsqueda se actualiza a la versión 19.6.3 y está disponible hasta que se elimina de la interfaz del usuario de ACM. Si se elimina la búsqueda de ACM, no hay ningún procedimiento de reinstalación.
Aplique los siguientes artículos de Dell para aplicar la corrección de vulnerabilidades de seguridad adicionales:
- Dispositivos de PowerProtect de serie DP e IDPA: Se detectó un análisis de vulnerabilidades de seguridad "Escáner de modo 6 de Network Time Protocol (NTP)" en ACM/búsqueda
- La evaluación del análisis de seguridad de DPSearch puede mostrar una alerta para ldap-anonymous-directory-access(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el artículo)
- Dispositivos de PowerProtect de serie DP e IDPA: El análisis de vulnerabilidades de seguridad detectó "vulnerabilidades de SSH para algoritmos MD5 o HMAC de 96 bits dentro de la configuración de SSH" en ESXi, vCenter, Search o DPC(es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el artículo)
- Los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909)
Generación de informes y análisis (DPA):
NOTA: DPA es un componente opcional, los clientes pueden decidir si lo conservan. La eliminación de DPA de ACM no afectaría la funcionalidad de respaldo.
Actualice DPA a la versión 19.10 compilación 22:
Actualice DPA a la versión 19.10 compilación 22:
- Para DP4400: Descargue el archivo binario del servidor(es necesario iniciar sesión como usuario registrado en el soporte de Dell para acceder al archivo)
- Para DP5/8x00: Descargue los archivos binarios del servidor y el agente(es necesario iniciar sesión como usuario registrado en el soporte de Dell para acceder al archivo)
- PowerProtect DP Series Appliance y Integrated Data Protection Appliance: Pasos para actualizar el componente DPA o Data Protection Advisor fuera de banda dentro del dispositivo
Aplique los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909).
Aplique el parche "Parche de actualización de Data Protection Advisor de abril de 2024 JRE 8u411 para Linux de 64 bits" (requiere iniciar sesión como usuario registrado en el soporte de Dell para acceder al archivo) en los servidores de aplicaciones y almacén de datos de DPA. Se probó con los últimos parches de las versiones 19.9 y 19.10 de DPA.
- Consulte el artículo Guía de instalación y administración de Dell Data Protection Advisor 19.10 para saber cómo realizar la actualización de JRE.
Aplique la Guía de configuración de seguridad del dispositivo PowerProtect serie DP (es necesario iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) en las secciones "Integrar software de protección y Protection StorSage con SNMP v3" e "Integrar generación de informes, análisis y almacenamiento con protección con SNMP v3".
CAUTELA: Si PowerProtect DP Series Appliance está configurado con Cloud DR, no integre Protection Software (Avamar) ni Protection Storage (Data Domain) con SNMP v3. Cloud DR no funcionará correctamente después de la configuración de SNMP v3.
Si DR en la nube está en uso, solo se admite SNMP v2C. Las conocidas cadenas de comunidad "públicas" y "privadas" deben reemplazarse por cadenas como "idpasnmpuser" o algo único en el medio ambiente. Consulte el procedimiento de la Guía de configuración de seguridad(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) (selección de SNMP v2C en lugar de v3) para actualizar la cadena de comunidad SNMP.
Firmware de PowerEdge e iDARC:
Aplique los pasos que se proporcionan en la Guía de configuración de seguridad de IDPA (requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento) en la sección "Cambiar la cadena de comunidad SNMP predeterminada para el switch del dispositivo PowerProtect serie DP e iDRAC", cambie la cadena de comunidad SNMP.
Aplique los pasos que se proporcionan en la Guía de configuración de seguridad(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento). Consulte la sección "Configuración del protocolo TLS para iDRAC" y actualice el protocolo TLS del servidor web de iDRAC a TLS 1.2 y superior.
Aplique los dispositivos PowerProtect serie DP e IDPA informan la configuración obsoleta de SHA1 para SSH (QID 38909).
Switches PowerEdge (para DP5/8x00):
Aplique los pasos que se proporcionan en la Guía de configuración de seguridad(requiere iniciar sesión como usuario registrado en el soporte de Dell para ver el documento). Consulte la sección "Cambiar la cadena de comunidad SNMP predeterminada para el iDRAC y el switch del dispositivo PowerProtect serie DP" y actualice la cadena de comunidad SNMP.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。