Функція PowerProtect: Серія ДП та ІДПА: Найкращі практики зміцнення безпеки (версія. 2.7.6)

Перш ніж запускати сканування вразливостей системи безпеки, ознайомтеся з деякими основними рекомендаціями щодо посилення безпеки для програмного забезпечення серії захисту даних PowerProtect версії 2.7.6. З будь-яких інших питань звертайтеся до служби підтримки Dell Technologies.
 

ВСІ (необов'язково):

Підкомпоненти пристроїв PowerProtect серії DP включають самопідписані сертифікати SSL, через що браузер може повідомляти про незахищене з'єднання. Для максимальної безпеки пристрою клієнт повинен замінити сертифікати SSL із самопідписом SSL за замовчуванням на сертифікати SSL, підписані довіреним центром сертифікації (CA). Застосуйте кроки, наведені в Посібнику з конфігурації безпеки IDPA (для перегляду документа потрібно увійти як зареєстрований користувач до служби підтримки Dell). Детальна процедура знаходиться в розділі «Управління сертифікатами».

Менеджер конфігурації пристрою (ACM):

Застосовуйте такі статті Dell:

• Прилади серії PowerProtect DP та IDPA: Виявлено сканування вразливостей системи безпеки "Сканер 6 режиму протоколу мережевого часу (NTP)" на ACM/Search
• Прилади серії PowerProtect DP та IDPA: Сканування вразливостей безпеки виявило вразливості «DNS або BIND» у ACM(для перегляду статті потрібно увійти як зареєстрований користувач до служби підтримки Dell)
• Прилади серії PowerProtect DP та IDPA: Сканування вразливостей безпеки виявило, що SSH містить слабкі шифри CBC на багатьох компонентах IDPA
• Пристрої серії PowerProtect DP та IDPA повідомляють про застаріле налаштування SHA1 для SSH (QID 38909)

Програмне забезпечення для захисту (Avamar):

Застосуйте останню версію накопичувального виправлення Avamar 19.9. Наприклад, кумулятивне виправлення Avamar 19.9 Avamar для сервера Avamar, включаючи Avamar Virtual Edition - Hotfix 338827, серпень 2024 року: "v19.9.0.78-workflow-338827.zip"

• Як встановити виправлення Avamar .avp за допомогою Avamar Installer (AVI)

Застосуйте останній патч Avamar OS до Avamar і вузлів NDMP. Наприклад, зведений список безпеки платформи Avamar Virtual Edition (AVE) і Avamar Data Stores (ADS) 2024-R2, "AvPlatformOsRollup_2024-R2-v3.avp."

• Авамар: Як встановити Avamar Security Rollup на Avamar Virtual Edition (AVE) і NDMP(для перегляду статті потрібно увійти як зареєстрований користувач у службу підтримки Dell) 

Застосуйте останню версію накопичувального виправлення Avamar Proxy для всіх проксі-серверів Avamar, включаючи внутрішній AvProxy IDPA та проксі-сервери vCenter клієнта. Наприклад, avamar 19.9.100-78 PROXY Cumulative Hotfix (hotfix 338844, серпень 2024 р.), "v19.9.100.78-client-338844.zip."

• Процедуру інсталяції Proxy Hotfix можна знайти у файлі README у файлі .zip.

Застосуйте патч Avamar Proxy OS для всіх проксі-серверів Avamar, включаючи внутрішній AvProxy IDPA та проксі-сервери vCenter клієнта. Наприклад, Avamar Proxy Bundle 2024-R2, "sec_os_update_proxy-2024-R2-v3.tgz."

Застосовуйте такі статті Dell:

• Прилади серії PowerProtect DP та IDPA: Сканування вразливостей безпеки виявило, що SSH містить слабкі шифри CBC на багатьох компонентах IDPA
• Пристрої серії PowerProtect DP та IDPA повідомляють про застаріле налаштування SHA1 для SSH (QID 38909) 
  (Примітка. Проблему слід вирішити після застосування Avamar Security Rollup 2024-R2.)

Застосуйте Посібник із конфігурації безпеки пристроїв серії PowerProtect DP (для перегляду документа потрібно увійти як зареєстрований користувач до служби підтримки Dell) у розділах «Інтеграція програмного забезпечення для захисту та сховища захисту з SNMP v3» та «Інтеграція сховища звітності та аналітики та захисту з SNMP v3».

ОБЕРЕЖНІСТЬ: Якщо пристрій серії PowerProtect DP налаштовано з Cloud DR, не інтегруйте захисне програмне забезпечення (Avamar) і сховище захисту (домен даних) з SNMP v3. Cloud DR не працюватиме належним чином після конфігурації SNMP v3.

Якщо використовується Cloud DR, підтримується лише SNMP v2C. Добре відомі "public" та "private" рядки спільноти повинні бути замінені рядками на кшталт "idpasnmpuser» або щось унікальне для навколишнього середовища. Перегляньте процедуру в Посібнику з конфігурації безпеки(потрібно увійти як зареєстрований користувач до служби підтримки Dell для перегляду документа) (вибравши SNMP v2C замість v3), щоб оновити рядок спільноти SNMP. 

Захист сховища (домен даних):

Виконайте позасмугове оновлення до версії DD OS 7.10.1.20. (Для ОС IDPA версії 2.7.6-DD підтримується версія 7.10.1.20.)

Застосовуйте такі статті Dell:

• Домен даних: Застарілі криптографічні налаштування SSH QID 38739(для перегляду статті потрібно увійти як зареєстрований користувач до служби підтримки Dell)
• Пристрої серії PowerProtect DP та IDPA повідомляють про застаріле налаштування SHA1 для SSH (QID 38909)
• Функція PowerProtect: Уразливість OpenSSH CVE-2024-6387 на IDPA 2.7.6 і 2.7.7 

Застосуйте Посібник із конфігурації безпеки пристроїв серії PowerProtect DP (для перегляду документа потрібно увійти як зареєстрований користувач до служби підтримки Dell) у розділах «Інтеграція програмного забезпечення для захисту та сховища захисту з SNMP v3» та «Інтеграція сховища звітності та аналітики та захисту з SNMP v3».

ОБЕРЕЖНІСТЬ:  Якщо пристрій серії PowerProtect DP налаштовано з Cloud DR, не інтегруйте захисне програмне забезпечення (Avamar) і сховище захисту (домен даних) з SNMP v3. Cloud DR не працюватиме належним чином після конфігурації SNMP v3.

Якщо використовується Cloud DR, підтримується лише SNMP v2C. Добре відомі "public" та "private" рядки спільноти повинні бути замінені рядками на кшталт "idpasnmpuser» або щось унікальне для навколишнього середовища. Перегляньте процедуру в Посібнику з конфігурації безпеки(потрібно увійти як зареєстрований користувач до служби підтримки Dell для перегляду документа) (вибравши SNMP v2C замість v3), щоб оновити рядок спільноти SNMP. 

Системний менеджер (DPC):

• Центр захисту даних: Як встановити оновлення центральної операційної системи захисту даних(потрібно увійти як зареєстрований користувач до служби підтримки Dell, щоб переглянути статтю) 

Шукати:

• Прилади серії PowerProtect DP та IDPA: Виявлено сканування вразливостей системи безпеки "Сканер 6 режиму протоколу мережевого часу (NTP)" на ACM/Search
• Оцінка сканування безпеки DPSearch може показувати сповіщення про доступ до ldap-anonymous-directory-access(для перегляду статті потрібно увійти як зареєстрований користувач до служби підтримки Dell) 
• Прилади серії PowerProtect DP та IDPA: Сканування вразливостей безпеки виявило «вразливості SSH для MD5 або 96-бітних алгоритмів HMAC у конфігурації SSH» на ESXi, vCenter, Search або DPC(для перегляду статті потрібно увійти як зареєстрований користувач до служби підтримки Dell) 
• Пристрої серії PowerProtect DP та IDPA повідомляють про застаріле налаштування SHA1 для SSH (QID 38909)

Звітність та аналітика (DPA):

• Для DP4400: Завантажте двійковий файл сервера (для доступу до файлу потрібно увійти як зареєстрований користувач до служби підтримки Dell) 
• Для DP5/8x00: Завантажте двійкові файли сервера та агента(для доступу до файлу потрібно увійти як зареєстрований користувач до служби підтримки Dell)
• Прилад серії PowerProtect DP та вбудований пристрій для захисту даних: Кроки для оновлення компонента DPA або Data Protection Advisor за межами діапазону в пристрої

Застосуйте пристрої серії PowerProtect DP і IDPA повідомте про застаріле налаштування SHA1 для SSH (QID 38909).

Застосуйте патч «Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit» (для доступу до файлу потрібно увійти як зареєстрований користувач до служби підтримки Dell) на серверах сховища даних і додатків DPA. Він був протестований з останніми патчами версій DPA 19.9 і 19.10.

• Перегляньте статтю Dell Data Protection Advisor 19.10 Посібник із встановлення та адміністрування про те, як виконати оновлення JRE.

Застосуйте Посібник із конфігурації безпеки пристроїв серії PowerProtect DP (для перегляду документа потрібно увійти як зареєстрований користувач до служби підтримки Dell) у розділах «Інтеграція програмного забезпечення для захисту та захисту StorSage із SNMP v3» та «Інтеграція сховища звітності та аналітики та захисту з SNMP v3».

ОБЕРЕЖНІСТЬ: Якщо пристрій серії PowerProtect DP налаштовано з Cloud DR, не інтегруйте захисне програмне забезпечення (Avamar) і сховище захисту (домен даних) з SNMP v3. Cloud DR не працюватиме належним чином після конфігурації SNMP v3.

Якщо використовується Cloud DR, підтримується лише SNMP v2C. Добре відомі "public" та "private" рядки спільноти повинні бути замінені рядками на кшталт "idpasnmpuser» або щось унікальне для навколишнього середовища. Перегляньте процедуру в Посібнику з конфігурації безпеки(потрібно увійти як зареєстрований користувач до служби підтримки Dell для перегляду документа) (вибравши SNMP v2C замість v3), щоб оновити рядок спільноти SNMP. 

Прошивка PowerEdge та iDARC:

Застосуйте кроки, наведені в Посібнику з конфігурації безпеки IDPA (для перегляду документа потрібно увійти як зареєстрований користувач до служби підтримки Dell) у розділі «Змінити рядок спільноти SNMP за замовчуванням для перемикача пристроїв PowerProtect серії DP та iDRAC», змініть рядок спільноти SNMP.

Застосуйте кроки, наведені в Посібнику з конфігурації безпеки(потрібно увійти як зареєстрований користувач до служби підтримки Dell, щоб переглянути документ).   Перегляньте розділ "Конфігурація протоколу TLS для iDRAC" і оновіть протокол TLS веб-сервера iDRAC до TLS 1.2 і вище.

Застосуйте пристрої серії PowerProtect DP і IDPA повідомте про застаріле налаштування SHA1 для SSH (QID 38909).

Перемикачі PowerEdge (для DP5/8x00):

Застосуйте кроки, наведені в Посібнику з конфігурації безпеки(потрібно увійти як зареєстрований користувач до служби підтримки Dell, щоб переглянути документ).  Перегляньте розділ «Зміна рядка спільноти SNMP за замовчуванням для перемикача пристроїв PowerProtect серії DP та iDRAC» і оновіть рядок спільноти SNMP.