1 sichern der appliance, Beschreibung der sicherheitsfunktionen der, Appliance“ (seite 35) – HP OneView Benutzerhandbuch
Seite 35
3 Beschreibung der Sicherheitsfunktionen der Appliance
Die meisten Richtlinien und Vorgehensweisen bezüglich Sicherheit in einer herkömmlichen Umgebung
treffen auch in einer virtualisierten Umgebung zu. In einer virtualisierten Umgebung müssen diese
Richtlinien jedoch möglicherweise abgewandelt und ergänzt werden.
3.1 Sichern der Appliance
CATA (Comprehensive Applications Threat Analysis) ist ein leistungsfähiges Tool von HP zur
Beurteilung der Sicherheitsqualität, mit dem die Anzahl latenter Sicherheitsmängel erheblich
reduziert werden soll. Das Design der Appliance stützt sich auf CATA-Grundlagen und wurde einer
CATA-Überprüfung unterzogen.
Die Sicherheit der Appliance und ihres Betriebssystems wurde durch die folgenden Faktoren
verstärkt:
•
Bei den Betriebssystem-Sicherheitsrichtlinien wurden optimale Vorgehensweisen berücksichtigt.
Die Anfälligkeit des Appliance-Betriebssystems wurde minimiert, indem nur die Dienste
ausgeführt werden, die zur Bereitstellung der Funktionalität erforderlich sind. Das
Appliance-Betriebssystem führt intern zwingende Zugriffskontrollen durch.
◦
Die Appliance erhält eine Firewall aufrecht, die Datenverkehr auf bestimmten Ports gestattet
und alle nicht benutzten Ports blockiert. Unter
„Für HP OneView benötigte Ports“ (Seite 44)
finden Sie die Liste der verwendeten Netzwerkports.
◦
Schlüsseldienste der Appliance werden nur mit den erforderlichen Berechtigungen und
nicht als berechtigte Benutzer ausgeführt.
◦
Der Bootloader des Betriebssystems ist kennwortgeschützt. Die Appliance kann nicht durch
jemanden gefährdet werden, der versucht, sie im Einzelbenutzermodus zu starten.
•
Die Appliance ist für den ausschließlichen Betrieb auf einem isolierten Verwaltungs-LAN
konzipiert. Es ist kein Zugriff auf das Produktions-LAN erforderlich.
•
Die Appliance erzwingt bei der ersten Anmeldung eine Kennwortänderung. Das
Standardkennwort darf nicht erneut verwendet werden.
•
Die Appliance unterstützt selbstsignierte Zertifikate und von einer Zertifizierungsstelle
ausgegebene Zertifikate.
Die Appliance ist anfänglich mit einem selbstsignierten Zertifikat konfiguriert. Als Infrastructure
Administrator (Infrastrukturadministrator) können Sie eine Zertifikatsignieranforderung (Certificate
Signing Request, CSR) erstellen und bei Empfang dieser Anforderung das Zertifikat auf die
Appliance hochladen. Dadurch werden Integrität und Authentizität Ihrer HTTPS-Verbindung
zur Appliance sichergestellt.
•
Für alle Browser-Vorgänge und REST-API-Aufrufe wird HTTPS verwendet. Alle schwachen SSL-
(Secure Sockets Layer) Verschlüsselungen werden deaktiviert.
•
Die Appliance unterstützt eine sichere Aktualisierung. HP signiert digital alle Aktualisierungen,
um die Integrität und Authentizität zu gewährleisten.
•
Sicherungsdateien und Transaktionsprotokolle werden verschlüsselt.
•
Support-Dumps werden standardmäßig verschlüsselt, Sie haben jedoch die Wahl, sie nicht
zu verschlüsseln.
•
Benutzern auf Betriebssystemebene wird kein Zugriff auf die Appliance gewährt, bis auf die
folgenden Ausnahmen:
◦
Ein besonderer pwreset-Befehl, der nur verwendet wird, wenn das Infrastructure
Administrator (Infrastrukturadministrator)-Kennwort verloren gegangen ist oder vergessen
3.1 Sichern der Appliance
35