HP OneView Benutzerhandbuch
Seite 36
wurde. Bei diesem Befehl müssen Sie von ihrem autorisierten Support-Mitarbeiter ein
einmaliges Kennwort anfordern. Weitere Informationen finden Sie in der Onlinehilfe.
◦
Eine Einstellung, dies es einem autorisierten Support-Mitarbeiter ermöglicht, ein einmaliges
Kennwort anzufordern, so dass er sich zum Durchführen fortgeschrittener
Diagnoseverfahren bei der Appliance-Konsole (und nur bei der Konsole) anmelden kann.
Bei dieser Einstellung kann der Zugriff aktiviert oder deaktiviert werden.
•
HP überwacht ganz genau die Sicherheitsbulletins auf Bedrohungen der
Appliance-Softwarekomponenten und gibt, sofern erforderlich, Softwareaktualisierungen aus.
3.2 Optimale Vorgehensweisen zur Erhaltung einer sicheren Appliance
Es folgt eine Teilliste sicherheitsbezogener optimaler Vorgehensweisen, die von HP in physischen
und virtuellen Umgebungen empfohlen werden. Aufgrund abweichender Sicherheitsrichtlinien und
Umsetzungsmethoden ist es schwierig, eine vollständige und endgültige Liste bereitzustellen.
•
HP empfiehlt eine strenge Trennung des Verwaltungs-LANs vom Produktions-LAN mittels VLAN-
oder Firewall-Technologie (oder beidem) zur Erhaltung der Trennung:
◦
Verwaltungs-LAN
Alle Verwaltungsprozessoren (einschließlich Onboard Administrators und virtuelle
Verbindungen über einen Onboard Administrator, iLOs und iPDUs) werden an das
Verwaltungs-LAN angeschlossen.
Gewähren Sie nur befugten Benutzern mit den folgenden Rollen Zugriff auf das
Verwaltungs-LAN: Infrastructure Administrator (Infrastrukturadministrator),
Netzwerkadministrator und Serveradministrator.
◦
Produktions-LAN
Alle NICs für verwaltete Geräte befinden sich im Produktions-LAN.
•
Die Appliance wird so vorkonfiguriert, dass nicht erforderliche Dienste in ihrer
Verwaltungsumgebung entfernt oder deaktiviert werden. Es ist wichtig, beim Konfigurieren
von Hostsystemen, Verwaltungssystemen und Netzwerkgeräten (einschließlich nicht verwendeter
Netzwerkports) mit dem Reduzieren von Diensten fortzufahren, um die Anzahl der möglichen
Angriffe auf Ihre Umgebung beachtlich zu verringern.
•
Stellen Sie sicher, dass ein Vorgang zum Bestimmen verfügbarer Software- und
Firmwareaktualisierungen vorhanden ist und dass für alle Komponenten in Ihrer Umgebung
regelmäßig Aktualisierungen installiert werden.
•
Stellen Sie sicher, dass die Sicherheitsrichtlinien und Verfahren auf die virtuelle Umgebung
ausgerichtet sind:
◦
Unterrichten Sie Administratoren über ihre sich ändernden Rollen und Aufgabenbereiche
in einer virtuellen Umgebung.
◦
Schränken Sie den Zugriff auf die Appliance-Konsole auf autorisierte Benutzer ein. Weitere
Informationen finden Sie unter
„Einschränken des Konsolenzugriffs“ (Seite 45)
.
◦
Wenn in Ihrer Umgebung ein Angriffserkennungssystem verwendet wird, stellen Sie sicher,
dass dieses System den Netzwerkdatenverkehr im virtuellen Switch einsehen kann.
◦
Schalten Sie den promisken Modus im Hypervisor aus, und verschlüsseln Sie den über
das VLAN fließenden Datenverkehr, um die Auswirkung auf die
VLAN-Datenverkehrsermittlung abzumildern.
HINWEIS:
Wenn der promiske Modus im Hypervisor deaktiviert wird, kann er in den
meisten Fällen nicht auf einem VM- (Virtual Machine) Gastsystem verwendet werden. Das
VM-Gastsystem kann den promisken Modus zwar aktivieren, er funktioniert jedoch nicht.
36
Beschreibung der Sicherheitsfunktionen der Appliance