Proteger o controlador de rede

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Azure Stack HCI, versões 21H2 e 20H2

Neste tópico, você aprenderá a configurar a segurança para toda a comunicação entre o Controlador de Rede e outros softwares e dispositivos.

Os caminhos de comunicação que você pode proteger incluem comunicação de northbound no plano de gerenciamento, comunicação de cluster entre VMs (máquinas virtuais) do Controlador de Rede em um cluster e comunicação de southbound no plano de dados.

  1. Comunicação de northbound. O Controlador de Rede se comunica no plano de gerenciamento com software de gerenciamento com capacidade de SDN, como Windows PowerShell e System Center Virtual Machine Manager (SCVMM). Essas ferramentas de gerenciamento fornecem a capacidade de definir a política de rede e criar um estado de meta para a rede, com relação ao qual você pode comparar a configuração de rede real para colocar a configuração real em paridade com o estado de meta.

  2. Comunicação de cluster do controlador de rede. Quando você configura três ou mais VMs como nós de cluster do Controlador de Rede, esses nós se comunicam entre si. Essa comunicação pode estar relacionada à sincronização e à replicação de dados entre nós ou à comunicação específica entre os serviços do Controlador de Rede.

  3. Comunicação de southbound. O Controlador de Rede se comunica no plano de dados com a infraestrutura SDN e outros dispositivos, como balanceadores de carga de software, gateways e máquinas host. Você pode usar o Controlador de Rede para configurar e gerenciar esses dispositivos de southbound para que eles mantenham o estado de meta que você configurou para a rede.

Comunicação de northbound

O Controlador de Rede dá suporte à autenticação, autorização e criptografia para comunicação de northbound. As seções a seguir fornecem informações sobre como definir essas configurações de segurança.

Autenticação

Ao configurar a autenticação para comunicação de Northbound do Controlador de Rede, você permite que os nós de cluster do Controlador de Rede e os clientes de gerenciamento verifiquem a identidade do dispositivo com o qual eles estão se comunicando.

O Controlador de Rede dá suporte aos três modos de autenticação a seguir entre os clientes de gerenciamento e os nós do Controlador de Rede.

Observação

Se você estiver implantando o Controlador de Rede com System Center Virtual Machine Manager, somente o modo Kerberos será suportado.

  1. Kerberos. Use a autenticação Kerberos ao unir o cliente de gerenciamento e todos os nós de cluster do Controlador de Rede a um domínio do Active Directory. O domínio do Active Directory deve ter contas de domínio usadas para autenticação.

  2. X509. Use X509 para autenticação baseada em certificado para clientes de gerenciamento que não ingressaram em um domínio do Active Directory. Você deve registrar certificados em todos os nós de cluster do Controlador de Rede e clientes de gerenciamento. Além disso, todos os nós e clientes de gerenciamento devem confiar nos certificados uns dos outros.

  3. None. Use None para fins de teste em um ambiente de teste e, portanto, não recomendado para uso em um ambiente de produção. Quando você escolhe esse modo, não há nenhuma autenticação executada entre nós e clientes de gerenciamento.

Você pode configurar o modo de autenticação para comunicação de northbound usando o comando Windows PowerShell Install-NetworkController com o parâmetro ClientAuthentication.

Autorização

Ao configurar a autorização para comunicação de Northbound do Controlador de Rede, você permite que os nós de cluster do Controlador de Rede e os clientes de gerenciamento verifiquem se o dispositivo com o qual eles estão se comunicando é confiável e tem permissão para participar da comunicação.

Use os métodos de autorização a seguir para cada um dos modos de autenticação com suporte pelo Controlador de Rede.

  1. Kerberos. Ao usar o método de autenticação Kerberos, você define os usuários e computadores autorizados a se comunicar com o Controlador de Rede criando um grupo de segurança no Active Directory e, em seguida, adicionando os usuários e computadores autorizados ao grupo. Você pode configurar o Controlador de Rede para usar o grupo de segurança para autorização usando o parâmetro ClientSecurityGroup do comando Install-NetworkController Windows PowerShell. Depois de instalar o Controlador de Rede, você pode alterar o grupo de segurança usando o comando Set-NetworkController com o parâmetro -ClientSecurityGroup. Se estiver usando o SCVMM, você deverá fornecer o grupo de segurança como um parâmetro durante a implantação.

  2. X509. Quando você está usando o método de autenticação X509, o Controlador de Rede só aceita solicitações de clientes de gerenciamento cujas impressões digitais do certificado são conhecidas pelo Controlador de Rede. Você pode configurar essas impressões digitais usando o parâmetro ClientCertificateThumbprint do comando Install-NetworkController Windows PowerShell. Você pode adicionar outras impressões digitais do cliente a qualquer momento usando o comando Set-NetworkController.

  3. None. Quando você escolhe esse modo, não há nenhuma autenticação executada entre nós e clientes de gerenciamento. Use None para fins de teste em um ambiente de teste e, portanto, não recomendado para uso em um ambiente de produção.

Criptografia

A comunicação de norte usa protocolo SSL (SSL) para criar um canal criptografado entre clientes de gerenciamento e nós do Controlador de Rede. A criptografia SSL para comunicação de northbound inclui os seguintes requisitos:

  • Todos os nós do Controlador de Rede devem ter um certificado idêntico que inclua as finalidades de Autenticação de Servidor e Autenticação de Cliente em extensões de EKU (Uso Aprimorado de Chave).

  • O URI usado pelos clientes de gerenciamento para se comunicar com o Controlador de Rede deve ser o nome da assunto do certificado. O nome da assunto do certificado deve conter o FQDN (Nome de Domínio Totalmente Qualificado) ou o endereço IP do ponto de extremidade REST do controlador de rede.

  • Se os nós do Controlador de Rede estão em sub-redes diferentes, o nome da assunto de seus certificados deve ser o mesmo que o valor usado para o parâmetro RestName no comando Install-NetworkController Windows PowerShell.

  • Todos os clientes de gerenciamento devem confiar no certificado SSL.

Registro e configuração de certificado SSL

Você deve registrar manualmente o certificado SSL em nós do Controlador de Rede.

Depois que o certificado for inscrito, você poderá configurar o Controlador de Rede para usar o certificado com o parâmetro -ServerCertificate do comando Install-NetworkController Windows PowerShell. Se você já tiver instalado o Controlador de Rede, poderá atualizar a configuração a qualquer momento usando o comando Set-NetworkController.

Observação

Se você estiver usando o SCVMM, deverá adicionar o certificado como um recurso de biblioteca. Para obter mais informações, consulte Configurar um controlador de rede SDN na malha do VMM.

Comunicação de cluster do controlador de rede

O Controlador de Rede dá suporte à autenticação, autorização e criptografia para comunicação entre nós do Controlador de Rede. A comunicação é sobre Windows Communication Foundation (WCF) e TCP.

Você pode configurar esse modo com o parâmetro ClusterAuthentication do comando Install-NetworkControllerCluster Windows PowerShell.

Para obter mais informações, consulte Install-NetworkControllerCluster.

Autenticação

Ao configurar a autenticação para comunicação de Cluster do Controlador de Rede, você permite que os nós de cluster do Controlador de Rede verifiquem a identidade dos outros nós com os quais eles estão se comunicando.

O Controlador de Rede dá suporte aos três modos de autenticação a seguir entre os nós do Controlador de Rede.

Observação

Se você implantar o Controlador de Rede usando o SCVMM, somente o modo Kerberos será suportado.

  1. Kerberos. Você pode usar a autenticação Kerberos quando todos os nós de cluster do Controlador de Rede são ingressados em um domínio do Active Directory, com contas de domínio usadas para autenticação.

  2. X509. X509 é uma autenticação baseada em certificado. Você pode usar a autenticação X509 quando os nós de cluster do Controlador de Rede não ingressarem em um domínio do Active Directory. Para usar x509, você deve registrar certificados em todos os nós de cluster do Controlador de Rede e todos os nós devem confiar nos certificados. Além disso, o nome da assunto do certificado que está inscrito em cada nó deve ser o mesmo que o nome DNS do nó.

  3. None. Quando você escolhe esse modo, não há nenhuma autenticação executada entre os nós do Controlador de Rede. Esse modo é fornecido somente para fins de teste e não é recomendado para uso em um ambiente de produção.

Autorização

Ao configurar a autorização para comunicação de Cluster do Controlador de Rede, você permite que os nós de cluster do Controlador de Rede verifiquem se os nós com os quais eles estão se comunicando são confiáveis e têm permissão para participar da comunicação.

Para cada um dos modos de autenticação com suporte pelo Controlador de Rede, os métodos de autorização a seguir são usados.

  1. Kerberos. Os nós do Controlador de Rede aceitam solicitações de comunicação somente de outras contas de computador do Controlador de Rede. Você pode configurar essas contas ao implantar o Controlador de Rede usando o parâmetro Name do comando new-NetworkControllerNodeObject Windows PowerShell.

  2. X509. Os nós do Controlador de Rede aceitam solicitações de comunicação somente de outras contas de computador do Controlador de Rede. Você pode configurar essas contas ao implantar o Controlador de Rede usando o parâmetro Name do comando new-NetworkControllerNodeObject Windows PowerShell.

  3. None. Quando você escolhe esse modo, não há nenhuma autorização executada entre os nós do Controlador de Rede. Esse modo é fornecido somente para fins de teste e não é recomendado para uso em um ambiente de produção.

Criptografia

A comunicação entre nós do Controlador de Rede é criptografada usando a criptografia de nível de transporte WCF. Essa forma de criptografia é usada quando os métodos de autenticação e autorização são certificados Kerberos ou X509. Para obter mais informações, consulte estes tópicos.

Comunicação Southbound

O controlador de rede interage com diferentes tipos de dispositivos para comunicação Southbound. Essas interações usam protocolos diferentes. Por isso, há requisitos diferentes para autenticação, autorização e criptografia, dependendo do tipo de dispositivo e protocolo usados pelo controlador de rede para se comunicar com o dispositivo.

A tabela a seguir fornece informações sobre a interação do controlador de rede com diferentes dispositivos Southbound.

Dispositivo/serviço Southbound Protocolo Autenticação usada
Balanceador de Carga de Software WCF (MUX), TCP (host) Certificados
Firewall OVSDB Certificados
Gateway WinRM Kerberos, certificados
Rede Virtual OVSDB, WCF Certificados
Roteamento definido pelo usuário OVSDB Certificados

Para cada um desses protocolos, o mecanismo de comunicação é descrito na seção a seguir.

Autenticação

Para a comunicação Southbound, são usados os seguintes protocolos e métodos de autenticação.

  1. WCF/TCP/OVSDB. Para esses protocolos, a autenticação é executada usando certificados X509. O controlador de rede e os computadores do Multiplexador do SLB (balanceamento de carga de software de mesmo nível) (MUX)/host apresentam seus certificados entre si para autenticação mútua. Cada certificado deve ser confiável pelo par remoto.

    Para a autenticação Southbound, você pode usar o mesmo certificado SSL configurado para criptografar a comunicação com os clientes do northbound. Você também deve configurar um certificado no MUX SLB e em dispositivos host. O nome da entidade do certificado deve ser o mesmo que o nome DNS do dispositivo.

  2. WinRM. Para esse protocolo, a autenticação é executada usando o Kerberos (para computadores ingressados no domínio) e usando certificados (para computadores não ingressados no domínio).

Autorização

Para a comunicação Southbound, são usados os seguintes protocolos e métodos de autorização.

  1. WCF/TCP. Para esses protocolos, a autorização baseia-se no nome da entidade do par. O controlador de rede armazena o nome DNS do dispositivo par e o usa para autorização. Esse nome DNS deve corresponder ao nome da entidade do dispositivo no certificado. Da mesma forma, o certificado do controlador de rede deve corresponder ao nome DNS do controlador de rede armazenado no dispositivo par.

  2. WinRM. Se o Kerberos estiver sendo usado, a conta do cliente WinRM deverá estar presente em um grupo predefinido no Active Directory ou no grupo local de administradores no servidor. Se os certificados estiverem sendo usados, o cliente apresentará um certificado ao servidor que o servidor autoriza usando o nome/emissor da entidade e o servidor usará uma conta de usuário mapeada para executar a autenticação.

  3. OVSDB. Não há autorização fornecida para esse protocolo.

Criptografia

Para a comunicação Southbound, os métodos de criptografia a seguir são usados para protocolos.

  1. WCF/TCP/OVSDB. Para esses protocolos, a criptografia é executada usando o certificado registrado no cliente ou servidor.

  2. WinRM. O tráfego do WinRM é criptografado por padrão usando o SSP (provedor de suporte de segurança) do Kerberos. Você pode configurar a criptografia adicional, na forma de SSL, no servidor WinRM.