Безопасность сетевого контроллера

область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Azure Stack хЦи, версии 21H2 и 20H2

В этом разделе вы узнаете, как настроить безопасность для всего обмена данными между сетевым контроллером и другим программным обеспечением и устройствами.

К путям обмена данными, которые можно защитить, относятся обмена обмен данными на плоскости управления, Обмен данными между виртуальными машинами сетевого контроллера (ВМ) в кластере и Подсистемамми обмен данными с плоскостью данных.

  1. Обмена связь. сетевой контроллер взаимодействует в плоскости управления с программным обеспечением управления, поддерживающим SDN, например Windows PowerShell и System Center Virtual Machine Manager (SCVMM). Эти средства управления дают возможность определить политику сети и создать состояние цели для сети, с помощью которого можно сравнить фактическую конфигурацию сети, чтобы перенести фактическую конфигурацию в четность с состоянием цели.

  2. Подключение кластера сетевого контроллера. При настройке трех или более виртуальных машин в качестве узлов кластера сетевого контроллера эти узлы взаимодействуют друг с другом. Это взаимодействие может быть связано с синхронизацией и репликацией данных между узлами, а также с конкретным обменом данными между службами сетевого контроллера.

  3. Подсистемамми связь. Сетевой контроллер взаимодействует с плоскостью данных с помощью инфраструктуры SDN и других устройств, таких как подсистемы балансировки нагрузки программного обеспечения, шлюзы и компьютеры размещения. Сетевой контроллер можно использовать для настройки этих устройств подсистемамми и управления ими, чтобы они поддерживали состояние цели, настроенное для сети.

Обмена связь

Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для обмена данными обмена. В следующих разделах приводятся сведения о настройке этих параметров безопасности.

Проверка подлинности

При настройке проверки подлинности для обмена связи сетевого контроллера вы разрешаете узлам кластера сетевого контроллера и клиентам управления проверять удостоверение устройства, с которым они обмениваются данными.

Сетевой контроллер поддерживает следующие три режима проверки подлинности между клиентами управления и узлами сетевого контроллера.

Примечание

при развертывании сетевого контроллера с System Center Virtual Machine Manager поддерживается только режим Kerberos .

  1. Протокол Kerberos. Используйте проверку подлинности Kerberos при присоединении клиента управления и всех узлов кластера сетевого контроллера к домену Active Directory. Домен Active Directory должен иметь учетные записи домена, используемые для проверки подлинности.

  2. X509. Используйте X509 для проверки подлинности на основе сертификата для клиентов управления, не присоединенных к домену Active Directory. Необходимо зарегистрировать сертификаты для всех узлов кластера сетевого контроллера и клиентов управления. Кроме того, все узлы и клиенты управления должны доверять сертификатам других пользователей.

  3. Нет. Не используйте его для целей тестирования в тестовой среде и, следовательно, не рекомендуется для использования в рабочей среде. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется.

режим проверки подлинности для обмена связи можно настроить с помощью команды Windows PowerShell Install-нетворкконтроллер с параметром eku .

Авторизация

Когда вы настраиваете авторизацию для подключения сетевого контроллера обмена, вы разрешаете узлам кластера сетевого контроллера и клиентам управления убедиться в том, что устройство, с которым они взаимодействуют, является доверенным и имеет разрешение на участие в связи.

Используйте следующие методы авторизации для каждого режима проверки подлинности, поддерживаемого сетевым контроллером.

  1. Протокол Kerberos. При использовании метода проверки подлинности Kerberos вы определяете пользователей и компьютеры, которым разрешено взаимодействовать с сетевым контроллером, создавая группу безопасности в Active Directory, а затем добавляя в нее полномочных пользователей и компьютеры. сетевой контроллер можно настроить на использование группы безопасности для авторизации с помощью параметра клиентсекуритиграуп команды Install-нетворкконтроллер Windows PowerShell. После установки сетевого контроллера можно изменить группу безопасности с помощью команды Set-нетворкконтроллер с параметром -клиентсекуритиграуп. При использовании SCVMM необходимо указать группу безопасности в качестве параметра во время развертывания.

  2. X509. При использовании метода проверки подлинности X509 сетевой контроллер принимает запросы только от клиентов управления, чьи отпечатки сертификатов известны сетевому контроллеру. эти отпечатки можно настроить с помощью параметра клиентцертификатесумбпринт команды Install-нетворкконтроллер Windows PowerShell. В любое время можно добавить другие отпечатки клиента с помощью команды Set-нетворкконтроллер .

  3. Нет. При выборе этого режима проверка подлинности между узлами и клиентами управления не выполняется. Не используйте его для целей тестирования в тестовой среде и, следовательно, не рекомендуется для использования в рабочей среде.

Шифрование

Обмена Communication использует SSL (SSL) для создания зашифрованного канала между клиентами управления и узлами сетевого контроллера. Шифрование SSL для связи обмена включает следующие требования:

  • Все узлы сетевого контроллера должны иметь идентичный сертификат, включающий проверку подлинности сервера и клиента в расширениях расширенного использования ключа (EKU).

  • URI, используемый клиентами управления для связи с сетевым контроллером, должен быть именем субъекта сертификата. Имя субъекта сертификата должно содержать либо полное доменное имя (FQDN), либо IP-адрес конечной точки сети сетевого контроллера.

  • если узлы сетевого контроллера находятся в разных подсетях, имя субъекта их сертификатов должно совпадать со значением, используемым для параметра имя restname в команде Install-нетворкконтроллер Windows PowerShell.

  • Все клиенты управления должны доверять SSL-сертификату.

Регистрация и Настройка SSL-сертификата

Необходимо вручную зарегистрировать SSL-сертификат на узлах сетевого контроллера.

после регистрации сертификата можно настроить сетевой контроллер для использования сертификата с параметром -ServerCertificate в команде Install-нетворкконтроллер Windows PowerShell. Если сетевой контроллер уже установлен, можно обновить конфигурацию в любое время с помощью команды Set-нетворкконтроллер .

Примечание

При использовании SCVMM необходимо добавить сертификат в качестве ресурса библиотеки. Дополнительные сведения см. в разделе Настройка сетевого контроллера Sdn в структуре VMM.

Подключение кластера сетевого контроллера

Сетевой контроллер поддерживает проверку подлинности, авторизацию и шифрование для обмена данными между узлами сетевого контроллера. обмен данными осуществляется Windows Communication Foundation (WCF) и TCP.

этот режим можно настроить с помощью параметра клустераусентикатион команды Install-нетворкконтроллерклустер Windows PowerShell.

Дополнительные сведения см. в разделе Install-нетворкконтроллерклустер.

Проверка подлинности

При настройке проверки подлинности для связи кластера сетевого контроллера можно разрешить узлам кластера сетевого контроллера проверять удостоверения других узлов, с которыми они обмениваются данными.

Сетевой контроллер поддерживает следующие три режима проверки подлинности между узлами сетевого контроллера.

Примечание

При развертывании сетевого контроллера с помощью SCVMM поддерживается только режим Kerberos .

  1. Протокол Kerberos. Проверку подлинности Kerberos можно использовать, когда все узлы кластера сетевого контроллера присоединены к домену Active Directory с учетными записями домена, используемыми для проверки подлинности.

  2. X509. X509 — проверка подлинности на основе сертификата. Проверку подлинности X509 можно использовать, если узлы кластера сетевого контроллера не присоединены к домену Active Directory. Чтобы использовать X509, необходимо зарегистрировать сертификаты на всех узлах кластера сетевого контроллера, и все узлы должны доверять сертификатам. Кроме того, имя субъекта сертификата, зарегистрированного на каждом узле, должно совпадать с именем DNS узла.

  3. Нет. При выборе этого режима проверка подлинности между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для целей тестирования и не рекомендуется для использования в рабочей среде.

Авторизация

При настройке авторизации для связи с кластером сетевого контроллера можно разрешить узлам кластера сетевого контроллера убедиться, что узлы, с которыми они обмениваются данными, являются доверенными и имеют разрешение на участие в обмене данными.

Для каждого режима проверки подлинности, поддерживаемого сетевым контроллером, используются следующие методы авторизации.

  1. Протокол Kerberos. Узлы сетевого контроллера принимают запросы на обмен данными только от других учетных записей компьютера сетевого контроллера. эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-нетворкконтроллернодеобжект Windows PowerShell.

  2. X509. Узлы сетевого контроллера принимают запросы на обмен данными только от других учетных записей компьютера сетевого контроллера. эти учетные записи можно настроить при развертывании сетевого контроллера с помощью параметра Name команды New-нетворкконтроллернодеобжект Windows PowerShell.

  3. Нет. При выборе этого режима авторизация между узлами сетевого контроллера не выполняется. Этот режим предоставляется только для целей тестирования и не рекомендуется для использования в рабочей среде.

Шифрование

Связь между узлами сетевого контроллера шифруется с помощью шифрования на уровне транспорта WCF. Такая форма шифрования используется, когда методы проверки подлинности и авторизации являются сертификатами Kerberos или X509. Дополнительные сведения см. в следующих статьях.

Подсистемамми связь

Сетевой контроллер взаимодействует с устройствами различных типов для обмена данными Подсистемамми. Эти взаимодействия используют разные протоколы. По этой причине существуют различные требования для проверки подлинности, авторизации и шифрования в зависимости от типа устройства и протокола, используемого сетевым контроллером для взаимодействия с устройством.

В следующей таблице приведены сведения о взаимодействии сетевого контроллера с различными устройствами подсистемамми.

Устройство или служба подсистемамми Протокол Используемая проверка подлинности
Подсистема балансировки нагрузки программного обеспечения WCF (МУЛЬТИПЛЕКСОР), TCP (узел) Сертификаты
Брандмауэр овсдб Сертификаты
Шлюз WinRM Kerberos, сертификаты
Виртуальная сеть ОВСДБ, WCF Сертификаты
Определяемая пользователем маршрутизация овсдб Сертификаты

Для каждого из этих протоколов в следующем разделе описывается механизм связи.

Проверка подлинности

Для обмена данными с Подсистемамми используются следующие протоколы и методы проверки подлинности.

  1. WCF/TCP/овсдб. Для этих протоколов проверка подлинности выполняется с помощью сертификатов X509. Как сетевой контроллер, так и/hostные компьютеры мультиплексора балансировки нагрузки (МУЛЬТИПЛЕКСОР) представляют сертификаты друг другу для взаимной проверки подлинности. Каждый сертификат должен быть доверенным для удаленного узла.

    Для проверки подлинности подсистемамми можно использовать тот же SSL-сертификат, который настроен для шифрования связи с клиентами обмена. Необходимо также настроить сертификат для МУЛЬТИПЛЕКСОРа SLB и устройств размещения. Имя субъекта сертификата должно совпадать с именем DNS устройства.

  2. WinRM. Для этого протокола проверка подлинности выполняется с помощью протокола Kerberos (для компьютеров, присоединенных к домену) и с помощью сертификатов (для компьютеров, не присоединенных к домену).

Авторизация

Для обмена данными с Подсистемамми используются следующие протоколы и методы авторизации.

  1. WCF/TCP. Для этих протоколов Авторизация основана на имени субъекта одноранговой сущности. Сетевой контроллер сохраняет DNS-имя однорангового устройства и использует его для авторизации. Это DNS-имя должно совпадать с именем субъекта устройства в сертификате. Аналогичным образом сертификат сетевого контроллера должен совпадать с DNS-именем сетевого контроллера, хранящимся на одноранговом устройстве.

  2. WinRM. Если используется Kerberos, учетная запись клиента WinRM должна присутствовать в предопределенной группе в Active Directory или в локальной группе администраторов на сервере. Если используются сертификаты, клиент предоставляет сертификат серверу, который сервер авторизует с помощью имени субъекта или издателя, а сервер использует сопоставленную учетную запись пользователя для выполнения проверки подлинности.

  3. Овсдб. Для этого протокола не предоставлена авторизация.

Шифрование

Для обмена данными с Подсистемамми для протоколов используются следующие методы шифрования.

  1. WCF/TCP/овсдб. Для этих протоколов шифрование выполняется с помощью сертификата, зарегистрированного на клиенте или сервере.

  2. WinRM. По умолчанию трафик WinRM шифруется с помощью поставщика службы поддержки безопасности Kerberos (SSP). На сервере WinRM можно настроить дополнительное шифрование в форме SSL.