PowerProtect: DP-serie en IDPA: Algemene best practices voor beveiligingsverharding (versie. 2.7.6)

Voordat u een scan van het beveiligingslek uitvoert, volgen hier enkele algemene best practices voor beveiligingsverharding voor PowerProtect Data Protection Series-software versie 2.7.6. Neem contact op met Dell Technologies Support voor andere problemen.
 

ALL (optioneel):

De subcomponenten van het PowerProtect DP serie apparaat bevatten SSL zelfondertekende certificaten, die ertoe kunnen leiden dat de browser een onbeveiligde verbinding meldt. Voor maximale beveiliging van het apparaat moet de klant de standaard zelfondertekende SSL-certificaten vervangen door SSL-certificaten die zijn ondertekend door een vertrouwde certificeringsinstantie (CA). Voer de stappen uit in de IDPA Security Configuration Guide(aanmelden als geregistreerde gebruiker bij Dell Support vereist om het document te bekijken). De gedetailleerde procedure vindt u in de sectie "Certificaatbeheer".

Appliance Configuration Manager (ACM):

Pas de volgende Dell artikelen toe:

• PowerProtect DP serie apparaten en IDPA: Beveiligings Scannen van beveiligingslek gedetecteerd "Network Time Protocol (NTP) Mode 6 Scanner" op ACM/Search
• PowerProtect DP serie apparaten en IDPA: Bij het scannen op beveiligingslekken werden DNS- of BIND-beveiligingslekken in ACM gedetecteerd (aanmelden als geregistreerde gebruiker bij Dell Support vereist om het artikel te bekijken)
• PowerProtect DP serie apparaten en IDPA: Bij het scannen van beveiligingslekken is gedetecteerd dat SSH zwakke CBC-cijfers bevat op veel IDPA-componenten
• Apparaten uit de PowerProtect DP serie en IDPA melden dat SHA1 instelling verouderd is voor SSH (QID 38909)

Beschermingssoftware (Avamar):

Pas de nieuwste cumulatieve hotfix voor Avamar 19.9 toe. Bijvoorbeeld: Avamar 19.9 Avamar cumulatieve hotfix voor Avamar Server, inclusief Avamar Virtual Edition - hotfix 338827, augustus 2024: "v19.9.0.78-workflow-338827.zip"

• Een Avamar .avp hotfix installeren met behulp van Avamar Installer (AVI)

Pas de nieuwste Avamar OS-patch toe op Avamar en de NDMP-knooppunten. Bijvoorbeeld, Avamar Virtual Edition (AVE) en Avamar Data Stores (ADS) Platform Security Rollup 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."

• Avamar: Het Avamar Security Rollup installeren op Avamar Virtual Edition (AVE) en NDMP(aanmelden als geregistreerde gebruiker bij Dell Support vereist om het artikel te bekijken) 

Pas de nieuwste cumulatieve hotfix voor Avamar Proxy toe voor alle Avamar Proxy's, inclusief IDPA, interne AvProxy en de vCenter-proxy's van de klant. Bijvoorbeeld: Avamar 19.9.100-78 cumulatieve hotfix PROXY (hotfix 338844, augustus 2024), "v19.9.100.78-client-338844.zip."

• De installatieprocedure voor proxy-hotfixes vindt u in het README-bestand in het .zip-bestand.

Pas de Avamar Proxy OS-patch toe voor alle Avamar Proxy's, inclusief IDPA interne AvProxy en de vCenter-proxy's van de klant. Bijvoorbeeld: Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."

Pas de volgende Dell artikelen toe:

• PowerProtect DP serie apparaten en IDPA: Bij het scannen van beveiligingslekken is gedetecteerd dat SSH zwakke CBC-cijfers bevat op veel IDPA-componenten
• Apparaten uit de PowerProtect DP serie en IDPA melden dat SHA1 instelling verouderd is voor SSH (QID 38909) 
  (Opmerking: Het probleem moet worden opgelost na het toepassen van het Avamar Security rollup 2024-R2.)

Pas de PowerProtect DP serie Appliance Security Configuration Guide toe (aanmelden als een geregistreerde gebruiker bij Dell Support vereist om het document te bekijken) onder de secties Integreer Protection Software en Protection Storage met SNMP v3 en Integreer rapportage en analytics en Protection Storage met SNMP v3.

VOORZICHTIGHEID: Als het PowerProtect DP serie apparaat is geconfigureerd met Cloud DR, moet u Protection Software (Avamar) en Protection Storage (Data Domain) niet integreren met SNMP v3. Cloud DR werkt niet goed na SNMP v3-configuratie.

Als Cloud DR in gebruik is, wordt alleen SNMP v2C ondersteund. De bekende "publieke" en "private" community strings moeten worden vervangen door strings als "idpasnmpuser" of iets unieks voor de omgeving. Zie de procedure in de handleiding voor beveiligingsconfiguratie(aanmelden als geregistreerde gebruiker bij Dell Support vereist om document te bekijken) (SNMP v2C selecteren in plaats van v3) om de SNMP community-tekenreeks bij te werken. 

Protection Storage (Data Domain):

Voer een out-of-band upgrade uit naar versie DD OS 7.10.1.20. (Voor IDPA versie 2.7.6-DD OS versie 7.10.1.20 wordt ondersteund.)

Pas de volgende Dell artikelen toe:

• Data Domain: Afgeschafte SSH cryptografische instellingen QID 38739(aanmelden als geregistreerde gebruiker bij Dell Support vereist om het artikel te bekijken)
• Apparaten uit de PowerProtect DP serie en IDPA melden dat SHA1 instelling verouderd is voor SSH (QID 38909)
• PowerProtect: OpenSSH beveiligingslek CVE-2024-6387 op IDPA 2.7.6 en 2.7.7 

Pas de PowerProtect DP serie Appliance Security Configuration Guide(aanmelden als geregistreerde gebruiker bij Dell Support vereist om document te bekijken) toe onder de secties Integratie van beschermingssoftware en beschermingsstorage met SNMP v3 en Integratie van rapportage en analyse en Protection Storage met SNMP v3.

VOORZICHTIGHEID:  Als het PowerProtect DP serie apparaat is geconfigureerd met Cloud DR, moet u Protection Software (Avamar) en Protection Storage (Data Domain) niet integreren met SNMP v3. Cloud DR werkt niet goed na SNMP v3-configuratie.

Als Cloud DR in gebruik is, wordt alleen SNMP v2C ondersteund. De bekende "publieke" en "private" community strings moeten worden vervangen door strings als "idpasnmpuser" of iets unieks voor de omgeving. Zie de procedure in de handleiding voor beveiligingsconfiguratie(aanmelden als geregistreerde gebruiker bij Dell Support vereist om document te bekijken) (SNMP v2C selecteren in plaats van v3) om de SNMP community-tekenreeks bij te werken. 

System Manager (DPC):

• Data Protection Central: De update van het Data Protection Central besturingssysteem installeren(aanmelden als geregistreerde gebruiker bij Dell Support vereist om het artikel te bekijken) 

Zoeken:

• PowerProtect DP serie apparaten en IDPA: Beveiligings Scannen van beveiligingslek gedetecteerd "Network Time Protocol (NTP) Mode 6 Scanner" op ACM/Search
• Beveiligingsscanevaluatie van DPSearch kan een waarschuwing weergeven voor ldap-anonieme-directory-toegang (aanmelden als geregistreerde gebruiker bij Dell Support vereist om artikel te bekijken)
• PowerProtect DP serie apparaten en IDPA: Bij het scannen van beveiligingslekken zijn SSH-kwetsbaarheden voor MD5- of 96-bits HMAC-algoritmen binnen de SSH-configuratie gedetecteerd op ESXi, vCenter, Search of DPC(aanmelden als geregistreerde gebruiker bij Dell Support vereist om het artikel te bekijken) 
• Apparaten uit de PowerProtect DP serie en IDPA melden dat SHA1 instelling verouderd is voor SSH (QID 38909)

Rapportage en analyse (DPA):

• Voor DP4400: Download het binaire serverbestand(aanmelden als geregistreerde gebruiker bij Dell Support vereist om toegang te krijgen tot het bestand) 
• Voor DP5/8x00: Download de binaire bestanden van de server en agent(aanmelden als geregistreerde gebruiker bij Dell Support vereist om toegang te krijgen tot het bestand)
• PowerProtect DP serie apparaat en Integrated Data Protection Appliance: Stappen voor het upgraden van een DPA- of Data Protection Advisor-onderdeel uit de band binnen het apparaat

Pas PowerProtect DP-apparaten toe en IDPA melden dat SHA1 een verouderde instelling is voor SSH (QID 38909).

Pas de patch "Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit" toe op de DPA Datastore en applicatieservers (aanmelden als geregistreerde gebruiker bij Dell Support vereist) Het is getest met de nieuwste patches van DPA 19.9- en 19.10-versies.

• Zie het artikel Dell Data Protection Advisor 19.10 installatie- en beheerhandleiding voor het uitvoeren van de JRE-upgrade.

Pas de PowerProtect DP serie Appliance Security Configuration Guidetoe (aanmelden als geregistreerde gebruiker bij Dell Support vereist om het document te bekijken) onder de secties Integratie van Protection Software en Protection StorSage met SNMP v3 en Integratie van rapportage en analytics en Protection Storage met SNMP v3.

VOORZICHTIGHEID: Als het PowerProtect DP serie apparaat is geconfigureerd met Cloud DR, moet u Protection Software (Avamar) en Protection Storage (Data Domain) niet integreren met SNMP v3. Cloud DR werkt niet goed na SNMP v3-configuratie.

Als Cloud DR in gebruik is, wordt alleen SNMP v2C ondersteund. De bekende "publieke" en "private" community strings moeten worden vervangen door strings als "idpasnmpuser" of iets unieks voor de omgeving. Zie de procedure in de handleiding voor beveiligingsconfiguratie(aanmelden als geregistreerde gebruiker bij Dell Support vereist om document te bekijken) (SNMP v2C selecteren in plaats van v3) om de SNMP community-tekenreeks bij te werken. 

PowerEdge firmware en iDARC:

Voer de stappen uit in de IDPA Security Configuration Guide(aanmelden als geregistreerde gebruiker bij Dell Support vereist om het document te bekijken) onder het gedeelte "Change the default SNMP community string for the PowerProtect DP Series Appliance switch and iDRAC," change the SNMP community string.

Voer de stappen uit in de handleiding voor beveiligingsconfiguratie(aanmelden als geregistreerde gebruiker bij Dell Support vereist om document te bekijken).   Zie de sectie TLS-protocolconfiguratie voor iDRAC en werk het TLS-protocol van de iDRAC-webserver bij naar TLS 1.2 of hoger.

Pas PowerProtect DP-apparaten toe en IDPA melden dat SHA1 een verouderde instelling is voor SSH (QID 38909).

PowerEdge switches (voor DP5/8x00):

Voer de stappen uit in de handleiding voor beveiligingsconfiguratie(aanmelden als geregistreerde gebruiker bij Dell Support vereist om document te bekijken).  Zie de sectie "Change the default SNMP community string for the PowerProtect DP Series Appliance switch and iDRAC" en werk de SNMP community string bij.