PowerProtect : Série DP et IDPA : Pratiques d’excellence générales en matière de renforcement de la sécurité (Version. 2.7.6)
摘要: Cet article vise à fournir des pratiques d’excellence générales en matière de renforcement de la sécurité pour Integrated Data Protection Appliance (IDPA) version 2.7.6 avant d’exécuter une analyse des failles de sécurité. ...
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
Remarque : Le logiciel PowerProtect Data Protection (DP) Series ou IDPA version 2.7.7 a été publié. Il est recommandé d’effectuer une mise à niveau vers la version 2.7.7 de l’IDPA.
Avant d’exécuter une analyse des failles de sécurité, voici quelques bonnes pratiques générales de renforcement de la sécurité pour le logiciel PowerProtect Data Protection Series version 2.7.6. Contactez le support Dell Technologies pour tout autre problème.
ALL (facultatif) :
Les sous-composants de l’appliance PowerProtect série DP incluent des certificats SSL auto-signés, ce qui peut amener le navigateur à signaler une connexion non sécurisée. Pour une sécurité maximale de l’appliance, le client doit remplacer les certificats SSL auto-signés par défaut par des certificats SSL signés par une autorité de certification (AC) de confiance. Appliquez les étapes décrites dans le Guide de configuration de la sécurité d’IDPA (il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher le document). La procédure détaillée se trouve dans la section « Gestion des certificats ».
Remarque : Les certificats signés par une autorité de certification importés par le client sont remplacés par des certificats auto-signés lors de la mise à niveau de l’appliance. Par conséquent, le client doit ajouter à nouveau le certificat signé par une autorité de certification après une mise à niveau.
Appliance Configuration Manager (ACM) :
Appliquez les articles Dell suivants :
- Appliances PowerProtect série DP et IDPA : L’analyse des failles de sécurité a détecté « Network Time Protocol (NTP) Mode 6 Scanner » sur ACM/Search
- Appliances PowerProtect série DP et IDPA : L’analyse des failles de sécurité a détecté les failles de sécurité « DNS ou BEND » dans ACM(il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher l’article)
- Appliances PowerProtect série DP et IDPA : L’analyse des failles de sécurité a détecté que SSH contient des chiffrements CBC faibles sur de nombreux composants IDPA
- Les appliances PowerProtect série DP et IDPA signalent un paramètre SHA1 obsolète pour SSH (QID 38909)
Logiciel de protection (Avamar) :
Appliquez le dernier correctif cumulatif Avamar 19.9. Par exemple, Avamar 19.9 Avamar Cumulative Hotfix for Avamar Server, including Avamar Virtual Edition - Hotfix 338827, août 2024 : "v19.9.0.78-workflow-338827.zip"
Appliquez le dernier correctif du système d’exploitation Avamar sur Avamar et les nœuds NDMP. Par exemple, Avamar Virtual Edition (AVE) et Avamar Data Stores (ADS) Platform Security Rollup 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar : Installation du rollup de sécurité Avamar sur Avamar Virtual Edition (AVE) et NDMP(il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher l’article)
Appliquez le dernier correctif cumulatif Avamar Proxy pour tous les proxys Avamar, y compris AvProxy interne IDPA et les proxys vCenter du client. Par exemple, le correctif cumulatif Avamar 19.9.100-78 PROXY (correctif 338844, août 2024), "v19.9.100.78-client-338844.zip."
- La procédure d’installation du correctif du proxy se trouve dans le fichier README du fichier .zip.
Appliquez le correctif du système d’exploitation Avamar Proxy pour tous les proxys Avamar, y compris AvProxy interne IDPA et les proxys vCenter du client. Par exemple, Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."
Appliquez les articles Dell suivants :
- Appliances PowerProtect série DP et IDPA : L’analyse des failles de sécurité a détecté que SSH contient des chiffrements CBC faibles sur de nombreux composants IDPA
- Les appliances PowerProtect série DP et IDPA signalent un paramètre SHA1 obsolète pour SSH (QID 38909)
(Remarque : Le problème doit être résolu après l’application du correctif cumulatif de sécurité Avamar 2024-R2.)
Appliquez le Guide de configuration de la sécurité de l’appliance PowerProtect série DP (il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher le document) sous les sections « Intégrer les logiciels de protection et le stockage de protection avec SNMP v3 » et « Intégrer la création de rapports, l’analytique et le stockage de protection avec SNMP v3 ».
PRUDENCE: Si l’appliance PowerProtect série DP est configurée avec Cloud DR, n’intégrez pas Protection Software (Avamar) et Protection Storage (Data Domain) avec SNMP v3. Cloud DR ne fonctionnera pas correctement après la configuration SNMP v3.
Si Cloud DR est en cours d’utilisation, seul SNMP v2C est pris en charge. Les chaînes communautaires bien connues « publiques » et « privées » devraient être remplacées par des chaînes comme «idpasnmpuser" ou quelque chose d’unique à l’environnement. Reportez-vous à la procédure décrite dans le Guide de configuration de la sécurité(il est nécessaire de se connecter en tant qu’utilisateur enregistré au Support Dell pour afficher le document) (en sélectionnant SNMP v2C au lieu de v3) pour mettre à jour la chaîne de communauté SNMP.
Protection Storage (Data Domain) :
Effectuez une mise à niveau hors bande vers la version DD OS 7.10.1.20. (Pour l’IDPA version 2.7.6, DD OS version 7.10.1.20 est pris en charge.)
Appliquez les articles Dell suivants :
- Data Domain : Paramètres cryptographiques SSH obsolètes QID 38739(il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher l’article)
- Les appliances PowerProtect série DP et IDPA signalent un paramètre SHA1 obsolète pour SSH (QID 38909)
- PowerProtect : Faille de sécurité OpenSSH CVE-2024-6387 sur IDPA 2.7.6 et 2.7.7
Appliquez le Guide de configuration de la sécurité de l’appliance PowerProtect série DP (il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher le document) dans les sections « Intégrer le logiciel de protection et le stockage de protection avec SNMP v3 » et « Intégrer la création de rapports, l’analytique et le stockage de protection avec SNMP v3 ».
PRUDENCE: Si l’appliance PowerProtect série DP est configurée avec Cloud DR, n’intégrez pas Protection Software (Avamar) et Protection Storage (Data Domain) avec SNMP v3. Cloud DR ne fonctionnera pas correctement après la configuration SNMP v3.
Si Cloud DR est en cours d’utilisation, seul SNMP v2C est pris en charge. Les chaînes communautaires bien connues « publiques » et « privées » devraient être remplacées par des chaînes comme «idpasnmpuser" ou quelque chose d’unique à l’environnement. Reportez-vous à la procédure décrite dans le Guide de configuration de la sécurité(il est nécessaire de se connecter en tant qu’utilisateur enregistré au Support Dell pour afficher le document) (en sélectionnant SNMP v2C au lieu de v3) pour mettre à jour la chaîne de communauté SNMP.
System Manager (DPC) :
Remarque : DPC est un composant facultatif. Les clients peuvent décider de le conserver ou non. La suppression de DPC d’ACM n’affecte pas la fonctionnalité de sauvegarde.
Appliquez la dernière mise à jour du système d’exploitation Data Protection Central. Par exemple, téléchargez la mise à jour du système d’exploitation
Appliquez la dernière mise à jour du système d’exploitation Data Protection Central. Par exemple, téléchargez la mise à jour du système d’exploitation
dpc-osupdate-1.1.19-1.jar (pour accéder au fichier, vous devez vous connecter en tant qu’utilisateur enregistré au support Dell).
- Data Protection Central : Installation de la mise à jour du système d’exploitation Data Protection Central(il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher l’article)
Rechercher :
Remarque : La recherche est un composant facultatif, les clients peuvent décider de la conserver ou non. La suppression de Search d’ACM n’affecte pas la fonctionnalité de sauvegarde.
PRUDENCE: Search n’est plus dans la version 2.7.6 fresh installations. Si l’appliance a été mise à niveau vers la version 2.7.6 à partir d’une version antérieure, Search est mis à niveau vers la version 19.6.3 et reste disponible jusqu’à ce qu’elle soit supprimée de l’interface utilisateur d’ACM. Si Search est supprimé d’ACM, il n’existe aucune procédure de réinstallation.
Appliquez les articles Dell suivants pour appliquer des mesures correctives pour des failles de sécurité supplémentaires :
PRUDENCE: Search n’est plus dans la version 2.7.6 fresh installations. Si l’appliance a été mise à niveau vers la version 2.7.6 à partir d’une version antérieure, Search est mis à niveau vers la version 19.6.3 et reste disponible jusqu’à ce qu’elle soit supprimée de l’interface utilisateur d’ACM. Si Search est supprimé d’ACM, il n’existe aucune procédure de réinstallation.
Appliquez les articles Dell suivants pour appliquer des mesures correctives pour des failles de sécurité supplémentaires :
- Appliances PowerProtect série DP et IDPA : L’analyse des failles de sécurité a détecté « Network Time Protocol (NTP) Mode 6 Scanner » sur ACM/Search
- L’évaluation de l’analyse de sécurité de DPSearch peut afficher une alerte pour ldap-anonymous-directory-access(nécessite une connexion en tant qu’utilisateur enregistré au support Dell pour afficher l’article)
- Appliances PowerProtect série DP et IDPA : L’analyse des failles de sécurité a détecté « Failles de sécurité SSH pour les algorithmes HMAC MD5 ou 96 bits au sein de la configuration SSH » sur ESXi, vCenter, Search ou DPC(il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher l’article)
- Les appliances PowerProtect série DP et IDPA signalent un paramètre SHA1 obsolète pour SSH (QID 38909)
Reporting and Analytics (DPA) :
Remarque : DPA est un composant facultatif, les clients peuvent décider de le conserver ou non. La suppression de DPA d’ACM n’affecte pas la fonctionnalité de sauvegarde.
Mettez à niveau DPA vers la version 19.10 Build 22 :
Mettez à niveau DPA vers la version 19.10 Build 22 :
- Pour DP4400 : Téléchargez le fichier binaire du serveur(vous devez vous connecter en tant qu’utilisateur enregistré au support Dell pour accéder au fichier)
- Pour DP5/8x00 : Téléchargez les fichiers binaires du serveur et de l’agent(vous devez vous connecter en tant qu’utilisateur enregistré au support Dell pour accéder au fichier)
- Appliance PowerProtect série DP et Integrated Data Protection Appliance : Étapes de mise à niveau du composant DPA ou Data Protection Advisor hors bande au sein de l’appliance
Appliquez les appliances PowerProtect série DP et le paramètre obsolète SHA1 du rapport IDPA pour SSH (QID 38909).
Appliquez le correctif « Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit » (il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour accéder au fichier) sur les serveurs de datastore et d’applications DPA. Il a été testé avec les derniers correctifs des versions DPA 19.9 et 19.10.
- Reportez-vous à l’article Guide d’installation et d’administration de Dell Data Protection Advisor 19.10 pour savoir comment effectuer la mise à niveau de JRE.
Appliquez le Guide de configuration de la sécurité de l’appliance PowerProtect série DP (il est nécessaire de se connecter en tant qu’utilisateur enregistré au support Dell pour afficher le document) sous les sections « Intégrer le logiciel de protection et Protection StorSage avec SNMP v3 » et « Intégrer la création de rapports, l’analytique et le stockage de protection avec SNMP v3 ».
PRUDENCE: Si l’appliance PowerProtect série DP est configurée avec Cloud DR, n’intégrez pas Protection Software (Avamar) et Protection Storage (Data Domain) avec SNMP v3. Cloud DR ne fonctionnera pas correctement après la configuration SNMP v3.
Si Cloud DR est en cours d’utilisation, seul SNMP v2C est pris en charge. Les chaînes communautaires bien connues « publiques » et « privées » devraient être remplacées par des chaînes comme «idpasnmpuser" ou quelque chose d’unique à l’environnement. Reportez-vous à la procédure décrite dans le Guide de configuration de la sécurité(il est nécessaire de se connecter en tant qu’utilisateur enregistré au Support Dell pour afficher le document) (en sélectionnant SNMP v2C au lieu de v3) pour mettre à jour la chaîne de communauté SNMP.
Firmware PowerEdge et iDRAC :
Appliquez les étapes décrites dans le Guide de configuration de la sécurité IDPA (vous devez vous connecter en tant qu’utilisateur enregistré au support Dell pour afficher le document) sous la section « Modifier la chaîne de communauté SNMP par défaut pour le commutateur de l’appliance PowerProtect série DP et l’iDRAC », modifiez la chaîne de communauté SNMP.
Appliquez les étapes décrites dans le Guide de configuration de la sécurité(il est nécessaire de se connecter en tant qu’utilisateur enregistré au Support Dell pour afficher le document). Reportez-vous à la section « Configuration du protocole TLS pour l’iDRAC » et mettez à jour le protocole TLS du serveur Web de l’iDRAC vers TLS 1.2 et versions ultérieures.
Appliquez les appliances PowerProtect série DP et le paramètre obsolète SHA1 du rapport IDPA pour SSH (QID 38909).
Commutateurs PowerEdge (pour DP5/8x00) :
Appliquez les étapes décrites dans le Guide de configuration de la sécurité(il est nécessaire de se connecter en tant qu’utilisateur enregistré au Support Dell pour afficher le document). Reportez-vous à la section « Modifier la chaîne de communauté SNMP par défaut pour l’appliance PowerProtect série DP, le commutateur et l’iDRAC » et mettez à jour la chaîne de communauté SNMP.
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。