EMC VNXe Security Configuration Guide · Information used by the Service personnel to diagnose or monitor the VNXe system status or behavior. These records are recorded in English

EMC®VNXe™Version 2

Guide de configuration de la sécuritéRÉF. 300-012-190 Rev 05

EMC Computer Systems FranceRiver Ouest

80 quai Voltaire CS 21002 95876 Bezons CedexTél. : +33 1 39 96 90 00 Fax : +33 1 39 96 99 99

Copyright © 2011 - 2013 EMC Corporation. Tous droits réservés.

Publié en January 2013

EMC estime que les informations figurant dans cette publication sont exactes à la date deparution. Ces informations sont sujettes à modification sans préavis.

LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION SONT FOURNIES "ENL' ÉTAT". EMC CORPORATION NE FOURNIT AUCUNE DÉCLARATION NI GARANTIECONCERNANT LES INFORMATIONS CONTENUES DANS CETTE PUBLICATION ETREJETTE PLUS SPÉCIALEMENT TOUTE GARANTIE DE VALEUR MARCHANDE OUD’ADÉQUATION IMPLICITE À UN BESOIN SPÉCIFIQUE.

L'utilisation, la copie et la distribution de tout logiciel EMCdécrit dans cette publication exigentune licence logicielle en cours de validité.

Pour obtenir les documents réglementaires les plus récents pour votre produit, consultez lasection Documentations et conseils techniques sur EMC Powerlink.

Pour obtenir la liste actualisée des noms de produits, consultez la rubrique des marques EMCvia le lien Législation sur le site http://france.emc.com.

Toutes les autres marques citées dans le présent document sont la propriété de leurs détenteursrespectifs.

2 Guide de configuration de la sécurité pour EMC VNXe

Sommaire

Préface.....................................................................................................5

Chapitre 1: Introduction..........................................................................9Présentation............................................................................................................10Documentation associée.......................................................................................10

Chapitre 2: Contrôle d’accès...............................................................13Méthodes d'accès...................................................................................................14Comptes de maintenance et de gestion par défaut du VNXe.........................16Gestion des comptes VNXe..................................................................................16Unisphere for VNXe..............................................................................................17Interface de ligne de commande VNXe Unisphere..........................................18Interface de maintenance VNXe SSH.................................................................20Interface de maintenance VNXe sur port série.................................................21

Chapitre 3: Consignation......................................................................23Consignation..........................................................................................................24Options de consignation à distance....................................................................25

Chapitre 4: Sécurité des communications.........................................27Utilisation des ports..............................................................................................28

Ports réseau VNXe.......................................................................................28Ports pouvant être contactés par le système VNXe................................32

Certificat VNXe......................................................................................................35Configuration de l’interface de gestion à l’aide de DHCP..............................35

Attribution automatique d’une adresse IP au système VNXe..............36

Guide de configuration de la sécurité pour EMC VNXe 3

Fonctions, services et interfaces VNXe prenant en charge le protocoleIPv6....................................................................................................................37

Accès à l’interface de gestion du système VNXe à l’aide d’IPv6....................39Exécution de Connection Utility.........................................................................40Cryptage CIFS........................................................................................................41

Chapitre 5: Paramètres de sécurité des données..............................43Paramètres de sécurité des données...................................................................44Chiffrement des données inactives.....................................................................45

Chapitre 6: Maintenance de sécurité.................................................49Maintenance sécurisée..........................................................................................50

Mise à jour des licences..............................................................................50Mise à niveau des logiciels.........................................................................50

Chapitre 7: Paramètres d'alerte de sécurité.......................................53Paramètres d’alerte................................................................................................54

Configuration des paramètres d'alerte.....................................................55

Chapitre 8: Autres paramètres de sécurité.........................................57Effacement des données.......................................................................................58Contrôles de sécurité physique...........................................................................58Protection antivirus...............................................................................................58


Sommaire

Préface

Afin d’améliorer et de développer les performances et les fonctionnalités de ses gammes de produits,EMC publie régulièrement des révisions de ses matériels et logiciels. C’est pourquoi certaines desfonctions décrites dans ce document peuvent ne pas être prises en charge par toutes les versions desproduits matériels ou logiciels actuellement utilisés. Pour obtenir les informations les plus récentessur les fonctions de votre produit, consultez ses notes de mise à jour.

Si un produit ne fonctionne pas correctement ou qu’il fonctionne différemment de ce qui est décritdans ce document, veuillez contacter un responsable de compte EMC.


Conventions sur certains points particuliers

EMC utilise les conventions suivantes pour attirer l'attention du lecteur sur certainspoints particuliers :

Remarque : met l'accent sur un contenu dont l'importance ou l'intérêt est capital, mais qui n'impliqueni blessure ni perte de données ou d'activité.

Identifie un contenu signalant une perte éventuelle de données ou d'activité.

Indique une situation dangereuse qui, si elle n'est pas évitée, risque d'entraînerdes blessures mineures ou modérées.

Indique une situation dangereuse qui, si elle n'est pas évitée, risqued'entraîner des blessures graves voire mortelles.

Indique une situation dangereuse qui, si elle n'est pas évitée, entraînera desblessures graves voire mortelles.

Obtenir de l’aide

Pour obtenir des informations sur le support, les produits et les licences VNXe, procédezcomme suit :

Informations relatives au produit : pour obtenir de la documentation, des notes demise à jour, des mises à jour logicielles ou des informations sur les produits, licenceset services EMC, consultez le site Web du Support en ligne EMC (enregistrementobligatoire) à l'adresse : http://www.emc.com/vnxesupport.

Support technique : pour adresser des demandes liées à lamaintenance et au supporttechnique, rendez-vous sur le site Web du Support en ligne EMC. Sous Centre deservices, plusieurs options sont disponibles, notamment pour créer une demande deservice.Notez que pour pouvoir ouvrir une demande de service, vous devez disposerd’un contrat de support valide. Contactez le responsable de compte EMCpour savoircomment obtenir un contrat de support valide ou si vous avez des questionsconcernant votre compte.

Remarque : vous n'êtes pas autorisé à demander l'aide d'un responsable de compte particulier saufsi un responsable de compte a été affecté spécialement à votre problème système.

Vos commentaires

Vos suggestions contribuent à améliorer la précision, l’organisation et la qualitéd’ensemble des publications destinées à nos utilisateurs.

Merci d’envoyer vos commentaires relatifs à ce document à l’adresse suivante :


Préface

http://www.emc.com/vnxesupport

[email protected]


Préface


Préface

1

Introduction

Ce chapitre décrit brièvement diverses fonctions de sécurité implémentéessur le système VNXe.

Les rubriques sont les suivantes :◆ Présentation à la page 10◆ Documentation associée à la page 10


Présentation

EMC ®VNXe™ utilise diverses fonctions de sécurité pour contrôler les accès utilisateur etréseau, surveiller l'accès au système et son utilisation, et prendre en charge la transmissiondes données de stockage. Ce document décrit les fonctions de sécurité VNXe disponibles.

Ce document s'adresse aux administrateurs responsables de la configuration et dufonctionnement du système VNXe.

Ce guide examine les paramètres de sécurité des catégories présentées dans le Tableau 1 àla page 10 :

Tableau 1. Catégories de paramètre de sécurité

DescriptionCatégories de sécurité

Restriction de l’accès par l’utilisateur ou d’autres entités pour protégerles fonctions matérielles, logicielles ou de produits spécifiques.

Contrôle des accès

Gestion de la consignation des événements.Journaux

Sécurisation des communications réseau du produit.Sécurité des communica-tions

Protection des données du produit.Sécurité des données

Contrôle continu des interventions de maintenance sur le produit ef-fectuées par EMC ou ses partenaires spécialisés.

Facilité de service

Génération de notifications et d'alertes de sécurité pour les événe-ments en rapport avec la sécurité.

Système d'alerte

Paramètres de sécurité n'appartenant à aucune des précédentescatégories, comme l'effacement des données et la sécurité physique.

Autres paramètres desécurité

Documentation associée

Pour obtenir des instructions de configuration spécifiques, consultez la documentation dusystème VNXe disponible sur le site Web du Support en ligne EMC, à l'adressehttp://www.emc.com/vnxesupport. Ce guide comporte des références aux documentssuivants le cas échéant.

◆ Installation de votre matériel VNXe◆ Aide en ligne d'Unisphere for VNXe◆ Utilisation du système VNXe avec des dossiers partagés CIFS◆ Utilisation du système VNXe avec des dossiers partagés NFS◆ Utilisation du système VNXe avec Microsoft Exchange◆ Utilisation d'un système EMC VNXe avec du stockage iSCSI générique◆ Utilisation d'un système EMC VNXe avec du stockage VMware


Introduction


◆ Guide d'utilisation de la CLI VNXe

Documentation associée 11

Introduction


Introduction

2

Contrôle d’accès

Ce chapitre décrit diverses fonctions de contrôle d'accès implémentées surle système VNXe.

Les rubriques sont les suivantes :◆ Méthodes d'accès à la page 14◆ Comptes demaintenance et de gestion par défaut duVNXe à la page

16◆ Gestion des comptes VNXe à la page 16◆ Unisphere for VNXe à la page 17◆ Interface de ligne de commande VNXe Unisphere à la page 18◆ Interface de maintenance VNXe SSH à la page 20◆ Interface de maintenance VNXe sur port série à la page 21


Méthodes d'accès

VNXe prend en charge les méthodes d'accès présentées dans le Tableau 2 à la page 14.

Tableau 2. Méthodes d'accès

DescriptionType

Ces comptes disposent de privilèges (voir le Tableau 6 à la page 18) qui les autorisent à effectuerdes tâches de gestion et de surveillance sur le système VNXe et ses ressources de stockage.

Comptes de ges-tion

Les mots de passe sont créés et gérés via les interfaces de gestion du système VNXe et peuvent êtreutilisés pour accéder à toutes les interfaces de gestion suivantes :

◆ EMC Unisphere™ :

Interface graphique Web accessible via HTTPS qui fournit des outils dédiés à la configuration, àla gestion et à la surveillance du stockage VNXe et des paramètres du système.

◆ CLI VNXe Unisphere :

La CLI VNXe Unisphere offre un sous-ensemble des fonctions disponibles via Unisphere.



Tableau 2. Méthodes d'accès (suite)

DescriptionType

Ce compte sert à exécuter des fonctions de maintenance spécialisées. Un seul compte permet d’accéderaux interfaces de maintenance via une connexion SSH ou par port série.

Compte de main-tenance

Les interfaces de maintenance du VNXe sont les suivantes :

◆ Unisphere for VNXe :

À l’aide d’un compte de gestion, entrez le mot de passe de maintenance permettant d’accéder àla page de maintenance d’Unisphere à partir de laquelle vous pourrez effectuer les opérationssuivantes :

◆ Collecter les informations du service de maintenance du système :

Collecter des informations relatives au système et les enregistrer dans un fichier. Le personnelde maintenance EMC peut ensuite utiliser les informations collectées pour analyser votresystème.

◆ Réinitialiser le système :

Rétablir les valeurs par défaut du système VNXe. Pour pouvoir exécuter cette intervention,les deux processeurs de stockage (SP) doivent être installés, fonctionner normalement et êtreen mode maintenance.

Remarque : le mode maintenance est un mode de fonctionnement réduit conçu pour lamaintenance et le dépannage. Un système VNXe démarré dans ce mode est contraint à uneinterface limitée via Unisphere, ainsi qu’à une interface CLI spécifique permettant la résolutiond’un problème isolé.

◆ Changer le mot de passe du service de maintenance du système:

Modifiez le mot de passe de maintenance permettant d'accéder à la page Maintenance dusystème.

◆ CLI VNXe Unisphere :

L'interface de ligne de commande (CLI) VNXe Unisphere offre les mêmes fonctions que cellesdisponibles via Unisphere.

◆ Interface de script de maintenance VNXe SSH :

Cette interface de ligne de commande est accessible via un client SSH et offre des fonctions demaintenance permettant de diagnostiquer, d'analyser et de résoudre les problèmes que rencontrele système VNXe.

◆ Interface de maintenance VNXe sur port série :

Cette interface offre les mêmes fonctions de diagnostic et de dépannage que l'interface de main-tenance SSH, à ceci près que l'accès s'effectue via un port série.

Méthodes d'accès 15


Comptes de maintenance et de gestion par défaut du VNXe

Le système VNXe est configuré avec des paramètres de compte utilisateur par défaut quevous devez utiliser la première fois que vous accédez au système VNXe et que vous leconfigurez. Consultez le Tableau 3 à la page 16.

Tableau 3. Paramètres de compte utilisateur par défaut

PrivilègesMot de passeNom d'utilisateurType de compte

Privilèges d’administrateurpermettant de réinitialiser lesmots de passe par défaut,configurer les paramètressystème par défaut, créerdes comptes utilisateur et al-louer du stockage.

Password123#adminGestion (Unisphere)

Exécution d'interventions demaintenance.

serviceserviceMaintenance

Remarque : lors du processus de configuration initiale, vous devezmodifier lemot de passe des comptesde maintenance et d'administrateur par défaut.

Gestion des comptes VNXe

Le Tableau 4 à la page 16 illustre les différentes méthodes de gestion des comptes VNXe.

Tableau 4. Méthodes de gestion des comptes

DescriptionRôles des comptes

Au terme du processus de configuration initiale du système VNXe, vous pouvez gérer lescomptes de gestion VNXe à l'aide de la CLI VNXe Unisphere ou d'Unisphere. Il vous est ainsipossible de créer, modifier et supprimer des comptes locaux VNXe, de réinitialiser leursparamètres de mot de passe et de leur attribuer des rôles ou de modifier ces derniers, lesrôles déterminant les privilèges accordés aux utilisateurs qui les emploient.

Gestion

Vous n'êtes autorisé ni à créer ni à supprimer des comptes de maintenance VNXe. Vouspouvez réinitialiser le mot de passe du compte de maintenance au moyen de la fonctionChanger le mot de passe du service de la page de maintenance d'Unisphere.

Maintenance

Remarque : vous pouvez réinitialiser les mots de passe par défaut des comptes du système VNXe enappuyant sur le bouton de réinitialisation des mots de passe situé sur le châssis du système VNXe.L'aide en ligne d'Unisphere fournit des informations complémentaires à ce sujet.



Unisphere for VNXe

Dans le cadre de l’accès à Unisphere, l’authentification s’effectue sur la base des informationsd’identification du compte (local ou LDAP) utilisateur. Les comptes utilisateur sont crééspuis gérés via la page Gérer l’administration d’Unisphere. Les autorisations applicables àUnisphere sont fonction du rôle associé au compte utilisateur.

Règles des sessions

Les sessions Unisphere présentent les caractéristiques suivantes :

◆ Expiration après une heure

◆ Délai d'expiration de la session non configurable

◆ Identifiants de session générés pendant l'authentification et utilisés pendant toute ladurée de la session

Utilisation des mots de passe

Les noms d'utilisateur et les mots de passe des comptes Unisphere doivent respecter lesconditions décrites dans le Tableau 5 à la page 17 ci-dessous.

Tableau 5. Conditions requises pour les comptes Unisphere

Exigences en matière demots de passe

Restriction

8Nombre minimal de caractères

1Nombre minimal de caractères majuscules

1Nombre minimal de caractères minuscules

1Nombre minimal de caractères numériques

1Nombre minimal de caractères spéciauxCaractères spéciaux pris en charge :

!,@#$%^*_~?

40Nombre maximal de caractères

Remarque : vous pouvez modifier les mots de passe des comptes dans Unisphere en cliquant surParamètres > Configuration supplémentaire > Gérer l’administration. Lors de la modification d’un mot de passe,vous ne pouvez pas réutiliser l’un des trois derniers mots de passe. L'aide en ligne d'Unispherefournit des informations complémentaires à ce sujet.

Unisphere for VNXe 17


Autorisation

Le Tableau 6 à la page 18 montre les rôles que vous pouvez attribuer aux utilisateurslocaux VNXe, ainsi que les privilèges qui y sont associés. Vous pouvez en outre attribuerces rôles à des utilisateurs et groupes LDAP.

Tableau 6. Rôles et privilèges des utilisateurs locaux

AdministrateurAdministra-teurde stockage

OpérateurTâche

xxxModifier son propre mot de passe de connexion local

xAjouter des hôtes

xxCréer un stockage

xxSupprimer un stockage

xxAjouter des objets de stockage à des ressources de stockage (disquesvirtuels, partages, pools de stockage, etc.)

xxxAfficher la configuration et l'état du stockage

xxAfficher les comptes utilisateur VNXe

xAjouter, supprimer ou modifier des comptes utilisateur VNXe

xxxAfficher l'état actuel du logiciel ou de la licence

xExécuter une mise à niveau de logiciel ou de licence

xProcéder à la configuration initiale

xModifier une configuration de serveur de stockage

xModifier les paramètres système VNXe

xModifier les paramètres réseau VNXe

xxxModifier la langue de l'interface de gestion

Remarque : vous pouvez modifier les rôles des comptes dans Unisphere en cliquant sur Paramètres >

Configuration supplémentaire > Gérer l’administration. L'aide en ligne d'Unisphere fournit des informationscomplémentaires à ce sujet.

Interface de ligne de commande VNXe Unisphere

L'interface de ligne de commande (CLI) VNXe Unisphere offre les mêmes fonctions quecelles disponibles via Unisphere.



L’exécution de la CLI Unisphere nécessite un logiciel de ligne de commande VNXe spécial.Vous pouvez télécharger ce logiciel depuis le site Web du Support en ligne EMC, à l’adressehttp://www.emc.com/vnxesupport.

Règles des sessions

Le client CLIUnisphere ne prend pas en charge les sessions. Vous devez utiliser la syntaxede ligne de commande pour spécifier le nom d'utilisateur et le mot de passe du compteà chaque commande que vous exécutez.

Vous pouvez utiliser la commande –saveuser de la CLI Unisphere pour enregistrer lesinformations d'authentification (nomd'utilisateur etmot de passe) d'un compte particulierdans un fichier local. Après avoir enregistré les informations d'identification d'accès, laCLI les applique automatiquement au port et à la destination VNXe spécifiés chaque foisque vous exécutez une commande.


L'authentification auprès de la CLI Unisphere s'effectue sur la base des comptes degestion créés et gérés via Unisphere. Les autorisations qui s'appliquent à Unispheres'appliquent également aux commandes spécifiques en fonction du rôle associé au comptede connexion actif.

Enregistrement des paramètres

Vous pouvez enregistrer les paramètres suivants sur l'hôte sur lequel vous exécutez laCLI Unisphere :

◆ Informations d'identification d'utilisateur, telles que votre nom d'utilisateur et votremot de passe, pour chaque système de stockage auquel vous accédez.

◆ Certificats SSL importés du système de stockage.

◆ Informations relatives au système par défaut accessible via la CLI Unisphere, tellesque le nom ou l'adresse IP du système et son numéro de port.

La CLIUnisphere enregistre les paramètres dans un lockbox sécurisé résidant localementsur l'hôte sur lequel la CLI Unisphere est installée. Les données stockées ne sontdisponibles que sur l'hôte sur lequel elles ont été enregistrées et pour l'utilisateur qui lesa enregistrées. Le lockbox réside aux emplacements suivants :

◆ Sous Windows XP :

C:\Documents and Settings\<account_name>\LocalSettings\ApplicationData\EMC\UEM CLI\

◆ Sous Windows 7 :

C :\Users\${user_name}\AppData\Local\.EMC\UEM CLI\

◆ Sous UNIX/Linux :

Interface de ligne de commande VNXe Unisphere 19



<home_directory>/EMC/UEM CLI

Recherchez les fichiers config.xml et config.key. Si vous désinstallez la CLI Unisphere,ces répertoires et fichiers ne sont pas supprimés, ce qui vous donne la possibilité de lesconserver. Cependant, pour des raisons de sécurité, vous souhaiterez peut-être supprimerces fichiers.

Interface de maintenance VNXe SSH

L'interface de maintenance VNXe SSH est une interface de ligne de commande qui donneaccès à un sous-ensemble des fonctions disponibles via la page demaintenance d'Unisphere(Configurer le système > Maintenance du système).

Le compte de maintenance permet aux utilisateurs d'effectuer les tâches suivantes :

◆ Exécuter des commandesdemaintenanceVNXe spécialisées pour contrôler les paramètressystème et les opérations du VNXe ainsi que pour résoudre les problèmes rencontrés.

◆ Exécuter des commandes Linux standard au moyen d'un compte utilisateur Linuxdépourvu de privilèges. Ce compte n'a accès ni aux fichiers système propriétaires, ni auxfichiers de configuration, ni aux données des utilisateurs/clients.

Sessions

Les sessions de l'interface de maintenance VNXe SSH sont gérées sur la base desparamètres établis par le client SSH. Leurs caractéristiques sont déterminées par lesparamètres de configuration du client SSH.


Le compte de maintenance est un compte que le personnel de maintenance EMC peututiliser pour exécuter des commandes Linux de base.

Le mot de passe par défaut de l'interface de maintenance VNXe est « service ». Lors dela configuration initiale du système VNXe, vous devez modifier le mot de passe duservice de maintenance par défaut. Les restrictions relatives au mot de passe sont lesmêmes que celles qui s'appliquent aux comptes de gestion Unisphere (reportez_vous aule Tableau 5 à la page 17). Pour plus d’informations sur la commande de maintenancedu VNXe, svc_service_password, utilisée pour gérer les paramètres de mot de passedu compte de maintenance du VNXe, consultez les notes techniques Commandes demaintenance VNXe.

Autorisation

Comme indiqué dans le Tableau 7 à la page 21, les autorisations du compte demaintenance sont définies de deux façons.



Tableau 7. Définition des autorisations du compte de maintenance

DescriptionType d'autorisation

Les autorisations du système de fichiers déterminent la plupart des tâches que lecompte de maintenance peut et ne peut pas effectuer sur le système VNXe. Par ex-emple, la majorité des outils et utilitaires Linux qui modifient le fonctionnement dusystème d’une quelconque façon nécessitent des privilèges de compte de superutil-isateur. Étant donné que le compte de maintenance ne dispose pas de tels privilègesd'accès, il ne peut pas utiliser ces outils et utilitaires Linux.

Autorisations du système defichiers Linux

Le mécanisme de listes de contrôle d'accès (ACL) du VNXe utilise une liste de règlestrès spécifiques pour octroyer ou refuser de manière explicite l'accès aux ressourcesdu système par le compte de maintenance. Les règles contenues dans l'ACL détermi-nent les autorisations dont bénéficie le compte de maintenance sur d'autres fonctionsdu système VNXe non couvertes par les autorisations du système de fichiers Linuxstandard.

Listes de contrôle d’accès

Commandes de maintenance VNXe

Un ensemble de commandes de restauration du système, de configuration du systèmeet de diagnostic des problèmes est installé sur l'environnement d'exploitationVNXe. Cescommandes offrent un niveau d'informations approfondi et un contrôle de système deniveau inférieur à celui disponible via Unisphere. Les notes techniques Commandes demaintenance VNXe fournissent une description de ces commandes, ainsi que des exemplesd’utilisation courants.

Interface de maintenance VNXe sur port série

L'interface de maintenance VNXe sur port série fournit les mêmes fonctions que l'interfacedemaintenance SSH et est soumise auxmêmes restrictions. Elle diffère néanmoins de celle-cipar le fait que les utilisateurs y accèdent via une connexion par port série plutôt qu'aumoyend'un client SSH.

Pour obtenir la liste des commandes demaintenance, consultez le documentNotes techniquessur les commandes de maintenance VNXe.

Interface de maintenance VNXe sur port série 21




3

Consignation

Ce chapitre décrit diverses fonctions de consignation implémentées surle système VNXe.

Les rubriques sont les suivantes :◆ Consignation à la page 24◆ Options de consignation à distance à la page 25


Consignation

Le système VNXe conserve les types de journaux suivants pour le suivi des événements quisurviennent sur le système. Consultez le Tableau 8 à la page 24.

Tableau 8. Journaux

DescriptionType dejournal

Informations affichées dans Unisphere pour signaler aux utilisateurs des événements VNXe exploitablespar l'utilisateur. Ces enregistrements sont consignés dans la langue configurée par défaut pour le système.Notez que les « événements exploitables par l'utilisateur » incluent les événements d'audit. Toutefois, tousles événements consignés ne s’affichent pas dans l’interface utilisateur graphique. Ces entrées de journald'audit ne répondant pas à un certain seuil de gravité sont consignées par le système, mais ne s'affichentpas dans l'interface utilisateur.

Journal sys-tème

Informations utilisées par le personnel de maintenance pour diagnostiquer ou surveiller l'état ou le com-portement du système VNXe. Ces enregistrements sont consignés en anglais uniquement.

Alerte sys-tème

Affichage et gestion des journaux

Les fonctions de consignation suivantes sont disponibles pour les systèmes VNXe.Consultez le Tableau 9 à la page 24.

Tableau 9. Fonctions de consignation

DescriptionFonctions

Lorsque le journal système du VNXe atteint deux millions d'entrées, les 500 000 entrées lesplus anciennes sont supprimées (compte tenu de leurs date et heure d'enregistrement dansle journal) de façon à ce qu'il n'en comporte plus que 1,5 million.Vous pouvez activer la consignation à distance de manière à ce que les entrées du journalsoient téléchargées sur un nœud réseau distant pour y être archivées ou sauvegardées. La

Vidage du journal

rubrique dctm://esa/37000001802cb89f?DMS_OBJECT_SPEC=RELATION_ID&DMS_AN-CHOR=#R18780 fournit des informations supplémentaires.

Les niveaux de consignation ne sont pas configurables pour le système VNXe. Vous nepouvez les configurer que pour les journaux exportés, comme le décrit la rubrique

Niveaux de consignation

dctm://esa/37000001802cb8a0?DMS_OBJECT_SPEC=RELATION_ID&DMS_AN-CHOR=#R18780.


Consignation

Tableau 9. Fonctions de consignation (suite)

DescriptionFonctions

Il est possible d'afficher les informations d'alerte VNXe de différentes façons :Intégration des alertes

◆ Affichage des alertes uniquement :

Dans Unisphere, accédez à Système > Alertes système.

◆ Affichage de tous les événements du journal :

Dans la CLI VNXe Unisphere, entrez la commande cemcli list event.

Vous pouvez activer la consignation à distance de manière à ce que les entrées du journalsoient téléchargées sur un nœud réseau distant pour y être archivées ou sauvegardées. Sur

Gestion externe du journal

ce nœud, vous pouvez utiliser des outils tels que syslog pour filtrer et analyser les résultatsdu journal. La rubrique dctm://esa/37000001802cb8a1?DMS_OBJECT_SPEC=RELA-TION_ID&DMS_ANCHOR=#R18780 fournit des informations supplémentaires.

L'heure de consignation est enregistrée au format GMT d'après l'heure du système VNXe(laquelle peut être synchronisée sur l'heure réseau locale via un serveur NTP).

Synchronisation de l'heure

Options de consignation à distance

Le système VNXe prend en charge la consignation des messages utilisateur/d'audit versune adresse réseau distante. Par défaut, le VNXe peut transférer les informations du log surle port 514 à l'aide du protocole UDP. Les paramètres de consignation à distance suivantspeuvent être définis au moyen d'Unisphere. Connectez-vous à Unisphere, cliquez surParamètres > Paramètres de gestion, puis sélectionnez l'onglet Réseau.

◆ Adresse ou nom de réseau où le système VNXe doit envoyer les informations de logdistantes

◆ Type de messages de log de niveau utilisateur à envoyer. Utilisez le champ Site pourdéfinir le type de messages du log. EMC vous recommande de sélectionner les optionsMessages au niveau utilisateur.

◆ Numéro et type de port (UDP ou TCP) à utiliser pour la transmission du log◆ Paramètre de langue à utiliser pour le texte des messages du log

Configuration de l'hôte qui recevra les messages de log VNXe

Avant de configurer la connexion à distante pour un système VNXe, vous devezconfigurer un système distant exécutant syslog qui recevra lesmessages de consignationprovenant du système VNXe. Dans de nombreux scénarios, un utilisateurroot/administrateur sur l'ordinateur récepteur peut configurer le serveur syslog distant

Options de consignation à distance 25

Consignation

pour la réception des informations du log en modifiant le fichier syslog-ng.conf sur lesystème distant.

Remarque : Pour plus d'informations sur la configuration et l'exécution d'un serveur syslog distant,consultez la documentation du système d'exploitation utilisé sur le système distant.


Consignation

4

Sécurité descommunications

Ce chapitre décrit diverses fonctions de sécurité des communicationsimplémentées sur le système VNXe.

Les rubriques sont les suivantes :◆ Utilisation des ports à la page 28◆ Certificat VNXe à la page 35◆ Configuration de l’interface de gestion à l’aide de DHCP à la page

35◆ Fonctions, services et interfaces VNXe prenant en charge le protocole

IPv6 à la page 37◆ Accès à l’interface de gestion du système VNXe à l’aide d’IPv6 à la

page 39◆ Exécution de Connection Utility à la page 40◆ Cryptage CIFS à la page 41


Utilisation des ports

Les communications avec l'interface Unisphere et la CLI s'effectuent par HTTPS sur leport 443. Les tentatives d'accès àUnisphere sur le port 80 (parHTTP) sont automatiquementredirigées sur le port 443.

Ports réseau VNXe

Le Tableau 10 à la page 33 présente l'ensemble des services réseau (et les portscorrespondants) disponibles sur le système VNXe.

Tableau 10. Ports réseau VNXe

DescriptionPortProtocoleService

Permet un accès SSH (si activé) et SFTP(FTP over SSH). SFTP est un protocoleclient/serveur. Les utilisateurs peuvent ef-fectuer des transferts de fichiers sur unsystème VNXe situé sur le sous-réseau lo-cal, via SFTP.

S'il est fermé, les connexions de gestionutilisant SSH ne sont pas disponibles.

22TCPSSH/SSHD/SFTP

Est utilisé pour l’envoi des requêtes DNSau serveur DNS, en conjonction avec leprotocole DHCP.

S'il est fermé, la résolution de noms DNSne fonctionne pas.

53UDPMise à jour DNS dy-namique

Permet au système VNXe de faire office declient DHCP au cours du processus deconfiguration initiale et est utilisé pour l’en-voi des messages du client (VNXe) auserveur DHCP dans le cadre de l’obtentionautomatique des informations relatives àl’interface de gestion. Est également utilisépour configurer DHCP pour l’interface degestion d’un système VNXe ayant déjà faitl’objet d’un déploiement.

S’il est fermé, les adresses IP dynamiquesne sont pas attribuées à l’aide de DHCP.

67UDPClient DHCP


Sécurité des communications

Tableau 10. Ports réseau VNXe (suite)


Permet au système VNXe de faire office declient DHCP au cours du processus deconfiguration initiale et est utilisé pour laréception des messages envoyés par leserveur DHCP au client (VNXe) dans lecadre de l’obtention automatique des infor-mations relatives à l’interface de gestion.Est également utilisé pour configurer DHCPpour l’interface de gestion d’un systèmeVNXe ayant déjà fait l’objet d’un dé-ploiement.

S’il est fermé, les adresses IP dynamiquesne sont pas attribuées à l’aide de DHCP.

68UDPClient DHCP

Redirection du trafic HTTP vers Unisphereet la CLI VNXe Unisphere.

S'il est fermé, le trafic de gestion vers leport HTTP par défaut n'est pas disponible.

80TCPHTTP

Ouvert par le service portmapper ou rpcbindstandard, il s'agit d'un service réseau VNXeauxiliaire.

Il ne peut pas être arrêté. Par définition, siun système client dispose d'une connectiv-ité réseau vers le port, il peut l'interroger.Aucune authentification n'est effectuée.

111TCP/UDPrpcbind

(Infrastructure réseau)

Synchronisation de l'heure NTP.

S'il est fermé, l'heure n'est pas synchro-nisée entre les baies.

123UDPNTP

Le service de session NETBIOS est associéaux services de partage de fichiers CIFSVNXe et constitue l'un des principaux com-posants de cette fonction. Si les servicesCIFS sont activés, ce port est ouvert. Celaest particulièrement nécessaire pour lesversions antérieures du système d'exploita-tion Windows (avant Windows 2000).

Les clients autorisés à accéder aux servicesCIFS VNXe doivent disposer d'une connec-tivité réseau vers le port pour assurer lacontinuité des opérations.

139TCPService de sessionNETBIOS

(CIFS)

Utilisation des ports 29




Communications SNMP.

S'il est fermé, les mécanismes d'alerteVNXe reposant sur SNMP ne sont pas en-voyés.

161, 162UDPSNMP

Trafic HTTP sécurisé vers Unisphere et laCLI VNXe Unisphere.

S'il est fermé, la communication avec labaie n'est pas possible.

443TCPHTTPS

Port de connectivité CIFS pour les clientsWindows 2000 et versions ultérieures. Lesclients autorisés à accéder aux servicesCIFS VNXe doivent disposer d'une connec-tivité réseau vers le port pour assurer lacontinuité des opérations.

445TCPCIFS

Est utilisé pour la réception des réponsesaux requêtes DNS émanant du serveurDNS, en conjonction avec le protocoleDHCP.

S'il est fermé, la résolution de noms DNSne fonctionne pas.

Port alloué de manièredynamique (supérieur à1024)

UDPMise à jour DNS dy-namique

Utilisé pour le service mount, l'un des prin-cipaux composants du service NFS (ver-sions 2 et 3).

1234TCPmountd

(NFS)

Utilisé pour fournir des services NFS.2049TCPNFS

PAX est un protocole d'archivage VNXe quiutilise les formats de bande UNIX standard.

Ce service doit être lié à plusieurs interfacesréseau internes ; en conséquence, il estégalement lié à l’interface externe. Les re-quêtes entrantes via le réseau externe sontnéanmoins rejetées.

Les informations générales sur PAX figurentdans la documentation EMC correspon-dante relative aux sauvegardes et à NDMP.Cette rubrique contient plusieurs modulestechniques qui présentent différents outilsde sauvegarde.

4658TCPPAX (Portable ArchiveInterchange)

(services de sauveg-arde)





Protocole propre à EMC similaire à (etprécurseur de) iSCSI. Le service NBS quiouvre ce port est l'un des principaux ser-vices de VNXe et ne peut pas être arrêté.

Extérieurement, NBS est utilisé pour lesfonctions de contrôle de réplication et desnapshot.

5033TCPNBS (Network BlockService)

Commandes de réplication Data Mover versData Mover.

5081TCPServices de réplication

Associé aux services de réplication.5083TCPServices de réplication



Service de surveillance des statiques7777TCPService de surveillancedes statiques

Utilisé par le réplicateur (sur le côté sec-ondaire). Le réplicateur le laisse ouvert dèslors que certaines données doivent être ré-pliquées. Une fois démarré, ce service nepeut pas être arrêté.

8888TCPRCP

(services de réplication)

Vous permet de contrôler la restauration etla sauvegarde d'un serveur NDMP via uneapplication de sauvegarde réseau, sansnécessiter l'installation d'un logiciel tiers surle serveur. Dans un système VNXe, le DataMover fonctionne comme un serveurNDMP.

Le service NDMP peut être désactivé si lasauvegarde sur bande NDMP n'est pasutilisée.

Le service NDMP est authentifié à l'aided'un nom d'utilisateur et d'un mot de passe.Le nom d'utilisateur peut être configuré. Ladocumentation NDMP décrit commentconfigurer le mot de passe pour différentsenvironnements.

10000TCPNDMP





Le service usermapper ouvre ce port. Ils'agit d'un service principal associé auxservices CIFS VNXe et, dans certains envi-ronnements, il ne doit pas être arrêté.

Cette méthode est utilisée pour mapper lesinformations d'authentification Windows (quisont fondées sur SID) aux valeurs UID etGID fondées sur UNIX.

12345TCPusermapper

CIFS

Processus de configuration initiale IWD.

S'il est fermé, l'initialisation de la baie n'estpas disponible via le réseau.

Alloué de manière dy-namique

UDPIWD

Le processus rquotad fournit des informa-tions de quota aux clients NFS qui ontmonté un système de fichiers.


TCPrquotad

Utilisé pour le verrouillage des fichiers NFS.Il traite les demandes de verrouillage issuesdes clients NFS et fonctionne conjointementavec le service status.


TCPnlockmgr

Le vérificateur d'état de verrouillage desfichiers NFS fonctionne conjointement avecle service nlockmgr pour offrir des fonctionsde restauration après sinistre pour NFS (quiest, par nature, un protocole sans état).


TCPstatus

Ports pouvant être contactés par le système VNXe

Le système VNXe fonctionne comme un client réseau dans de nombreuses situations, parexemple lorsqu'il communique avec un serveur LDAP. Dans ces cas, le VNXe initie lacommunication et l'infrastructure réseau doit prendre en charge ces connexions.Le Tableau10 à la page 33 décrit les ports auxquels un système VNXe doit pouvoir accéder pour quele service correspondant fonctionne correctement. Cela inclut l'interface de ligne decommande VNXe Unisphere.



Tableau 11. Connexions réseau pouvant être initiées par le système VNXe

DescriptionPortProtocoleMaintenance

Permet au système d’envoyer des e-mails.

S’il est fermé, les notifications par e-mail ne sontpas disponibles.

25TCPSMTP

Requêtes DNS.

S'il est fermé, la résolution de noms DNS ne fonc-tionne pas.

53UDPDNS

Permet au système VNXe de faire office de clientDHCP.

S’il est fermé, les adresses IP dynamiques ne sontpas attribuées à l’aide de DHCP.

67-68UDPDHCP

Redirection du trafic HTTP vers Unisphere et la CLIVNXe Unisphere.

S'il est fermé, le trafic de gestion vers le port HTTPpar défaut n'est pas disponible.

80TCPHTTP

Synchronisation de l'heure NTP.

S'il est fermé, l'heure n'est pas synchronisée entreles baies.

123UDPNTP

Communications SNMP.

S'il est fermé, les mécanismes d'alerte VNXe re-posant sur SNMP ne sont pas envoyés.

161, 162*UDPSNMP

Requêtes LDAP non sécurisées.

S'il est fermé, les requêtes d'authentification LDAPnon sécurisées ne sont pas disponibles. La configu-ration du service LDAP sécurisé est une solutionalternative.

389*TCPLDAP

Trafic HTTPS vers Unisphere et la CLI VNXe Uni-sphere.

S'il est fermé, la communication avec la baie n'estpas possible.

443TCPHTTPS

Tous les contrôleurs de domaine Windows NT.445TCPCIFS

Tous les contrôleurs de domaine Windows.445TCPCIFS



Tableau 11. Connexions réseau pouvant être initiéespar le système VNXe (suite)

DescriptionPortProtocoleMaintenance

Consigner des messages du système sur un hôtedistant.

Vous pouvez configurer la méthode de transmissiondu log (UDP ou TCP), ainsi que le port hôte utilisépar le système.

514*UDP ou TCPSyslog distant

Requêtes LDAP sécurisées.

S'il est fermé, l'authentification LDAP sécurisée n'estpas disponible.

639*TCPLDAPS

Utilisé pour différentes tâches internes liées à la ré-plication système/système. L'authentification etl'autorisation sont requises pour tous les appels ef-fectuées à l'aide de CIM-XML.

5989TCPCIM XML

Processus de configuration initiale IWD.

S'il est fermé, l'initialisation de la baie n'est pasdisponible via le réseau.


UDPIWD

Le processus rquotad fournit des informations dequota aux clients NFS qui ont monté un système defichiers.


TCPrquotad

Utilisé pour le verrouillage des fichiers NFS. Il traiteles demandes de verrouillage issues des clients NFSet fonctionne conjointement avec le service status.


TCPnlockmgr

Le vérificateur d'état de verrouillage des fichiers NFSfonctionne conjointement avec le service nlockmgrpour offrir des fonctions de restauration après sinistrepour NFS (qui est, par nature, un protocole sansétat).


TCPstatus

Remarque : les numéros de port LDAP et LDAPS peuvent être remplacés à partir d'Unisphere lors dela configuration des services d'annuaire. Le numéro de port par défaut s’affiche dans une zone desaisie et peut être remplacé par l’utilisateur. De même, les numéros de port du serveur Syslog distantet de SNMP peuvent être remplacés à partir d'Unisphere.



Certificat VNXe

Lors de sa première initialisation, le système VNXe utilise OpenSSL pour générerautomatiquement un certificat auto-signé. Le certificat est conservé dansNVRAM, ainsi quesur l’unité logique back-end. Par la suite, lorsqu’un client tente de se connecter au systèmeVNXe via le port de gestion, il se voit présenter ce certificat par le système VNXe.

Le certificat est configuré pour expirer après 3 ans ; toutefois, le système VNXe régénère lecertificat unmois avant sa date d’expiration. Vous avez également la possibilité de téléchargerun nouveau certificat à l’aide de la commande de maintenance svc_custom_cert. Cettecommande permet d’installer un certificat SSL donné au format PEM pour une utilisationavec l’interface de gestion Unisphere. Pour plus d’informations sur cette commande demaintenance, consultez le documentVNXe Service Commands Technical Notes. Vous ne pouvezpas afficher le certificat via Unisphere ou la CLI VNXe Unisphere ; toutefois, le certificatpeut être affiché aumoyen d’un client navigateur ou d’un outilWeb qui tente de se connecterau port de gestion.

Configuration de l’interface de gestion à l’aide de DHCP

Une adresse IP doit être attribuée à l’interface de gestion du système VNXe une fois lesystème installé, raccordé etmis sous tension. Si votre systèmeVNXe se trouve sur un réseaudynamique comportant un serveur DHCP et un serveur DNS, l’attribution de l’adresse IPde gestion peut s’effectuer automatiquement.

Remarque : si votre système VNXe ne se trouve pas dans un environnement réseau dynamique ou sivous préférez attribuer une adresse IP statique, vous devez installer et exécuter VNXe ConnectionUtility (voir Exécution de Connection Utility à la page 40).

Pour une configuration réseau adéquate, il est nécessaire de définir la plage d’adresses IPdisponibles, les masques de sous-réseau corrects, ainsi que les adresses du serveur de nomset de la passerelle. Pour plus d’informations sur la procédure de configuration des serveursDHCP et DNS, consultez la documentation relative à votre réseau.

Le protocole DHCP est utilisé pour attribuer des adresses IP dynamiques aux périphériquesd’un réseau. DHCP permet de contrôler les adresses IP à partir d’un serveur centralisé etd’attribuer automatiquement une nouvelle adresse IP unique à un système VNXe lors deson raccordement au réseau de l’entreprise. Cet adressage dynamique simplifiel’administration du réseau, le suivi des adresses IP étant assuré par le logiciel plutôt qu’unadministrateur.

Un serveur DNS est un serveur basé sur IP qui permet de résoudre les noms de domaineen adresses IP. Contrairement aux adresses IP, composées de caractères numériques, lesnoms de domaine sont constitués de caractères alphabétiques et sont généralement plusfaciles à retenir. Sachant qu’un réseau IP s’appuie sur des adresses IP, tout nom de domaineutilisé doit être résolu en adresse IP par le serveur DNS. Par exemple, l’adresse IPcorrespondant au nom de domaine www.emc.com est 10.250.16.87.

Certificat VNXe 35


Les échanges via le protocole DHCP ne sont pas par nature sécurisés et l’on ne peut exclurel’éventualité d’une communication avec un serveurmalveillant ; néanmoins, votre réseau IPde gestion doit être suffisamment sûr d’un point de vue physique pour permettre le contrôlede l’accès et éviter tout échange DHCP non autorisé. Par ailleurs, aucune informationadministrative (noms d’utilisateur, mots de passe, etc.) n’est échangée au cours de laconfiguration DHCP/DNS dynamique.

La configuration des éléments IP de gestion (configuration des préférences DHCP et desserveurs DNS et NTP) s’inscrit dans le cadre du framework Unisphere existant relatif à lasécurité. Les événements DNS et DHCP, y compris l’obtention d’une nouvelle adresse IP àl’expiration du bail, sont consignés dans des journaux d’audit VNXe. Si DHCP n’est pasutilisé pour la configuration IP de gestion du système VNXe, aucun port réseausupplémentaire n’est ouvert.

Attribution automatique d’une adresse IP au système VNXe

Avant de commencer

Assurez-vous de disposer d’une connexion réseau entre le systèmeVNXe, un serveurDHCPet un serveur DNS.

Procédure

Une fois votre réseau DHCP configuré, vous pouvez attribuer automatiquement uneadresse IP à votre système VNXe :

1. Mettez le système VNXe sous tension.

Le voyant de défaillance du SP situé à l’arrière du système VNXe s’allume (en bleu, avecclignotement orange toutes les trois secondes), indiquant que le système n’est pas initialiséet qu’aucune adresse IP de gestion n’a été attribuée. Le logiciel client DHCP exécuté surle système VNXe demande une adresse IP sur le réseau local. Le serveur DHCP attribueune adresse IP au système VNXe de manière dynamique et envoie cette information auserveurDNS. L’adresse IP de gestion du systèmeVNXe est enregistrée au sein dudomaineréseau. Une fois l’adresse attribuée, le voyant de défaillance du SP s’éteint ; vous pouvezalors vous connecter àUnisphere pour configurer votre systèmeVNXe comme il convient.Si vous le souhaitez, vous pouvez toujours configurer manuellement l’adresse IP degestion du système VNXe sous forme d’adresse IP statique, y compris après l’attributionautomatique de l’adresse IP et la désactivation du voyant de défaillance du SP.Néanmoins, vous devez le faire avant d’accepter les termes du contrat de licence utilisateur(CLUF) de l’Assistant de configuration.

2. Ouvrez un navigateur Web et accédez à l’interface de gestion à l’aide de la syntaxesuivante :

serial_number.domain

Où :



serial_number correspond au numéro de série de votre système VNXe. Ce numéro estindiqué sur l’emballage du système VNXe.

domain correspond au domaine réseau sur lequel le système VNXe est installé.

Ainsi,

FM100000000017.mylab.emc.com.

Si une erreur de certificat apparaît, suivez les instructions affichées dans votre navigateurpour la contourner.

3. Connectez-vous au système VNXe avec le nom d’utilisateur par défaut (admin) et le motde passe par défaut (Password123#).

Lors de l’ouverture initiale d’Unisphere, l’Assistant de configuration démarre pour vousaider à configurer les mots de passe, les serveurs DNS et NTP, les pools de stockage, lesparamètres du serveur de stockage et les fonctions ESRS et ConnectEMC.

4. Parcourez l’Assistant de configuration jusqu’à ce que le volet relatif au serveur DNSs’affiche.

5. Dans le volet relatif au serveur DNS, sélectionnez Obtain default DNS server addressesautomatically.

6. Poursuivez l’exécution de l’assistant, en vous reportant aux informations indiquées surl’affiche VNXe - QuickStart ou dans l’aide en ligne.

Fonctions, services et interfaces VNXe prenant en charge leprotocole IPv6

Vous pouvez configurer les interfaces d’un système et utiliser des adresses IPv6 pourconfigurer divers services et fonctions. La liste ci-après répertorie les fonctions prenant encharge le protocole IPv6 :

◆ Interfaces (SF, iSCSI), pour l’attribution statique d’une adresse IPv4 ou IPv6 à une interface◆ Hôtes, pour la saisie du nom de réseau, de l’adresse IPv4 ou de l’adresse IPv6 d’un hôte◆ Routes, pour la configuration d’une route pour le protocole IPv4 ou IPv6◆ Diagnostics, pour l’exécution d’une commande CLI ping de diagnostic à l’aide d’une

adresse de destination IPv4 ou IPv6. Les adresses de destination de type IPv6 sontégalement prises en charge dans l’écran Unisphere Ping sur la destination.

Tous les composants VNXe prennent en charge IPv4 ; la plupart d’entre eux assurentégalement une prise en charge d’IPv6. Le tableau suivant indique les types de paramètre etles composants compatibles IPv6 :

Fonctions, services et interfaces VNXe prenant en charge le protocole IPv6 37


IPv6 pris en chargeComponentType de paramètre

OuiPort de gestionParamètres de gestion Unisphere

OuiServeur DNS

OuiServeur NTP

OuiServeur de consignation à distance

OuiMicrosoft ExchangeParamètre de configuration hôte Unisphere

OuiDatastore VMware (NFS)

OuiDatastore VMware (VMFS)

OuiDatastore Hyper-V

OuiDestinations de trap SNMPParamètre d’alerte Unisphere

OuiServeur SMTP

NonConnectEMC

NonESRS (EMC Secure Remote Support)

OuiServeur iSCSIParamètre de serveur de stockage

OuiServeur de dossiers partagés

OuiServeur NIS (pour les serveurs de dossierspartagés NFS)

OuiServeur Active Directory (pour les serveurs dedossiers partagés CIFS)

OuiServeur iSNS

OuiDestinations PINGAutre

OuiConsignation à distance

OuiLDAP

NonUnisphere Remote

NonRéplication



Norme d’adresses IPv6

IPv6 est une norme d’adresses IP développée par l’IETF (Internet Engineering Task Force)dans le but de compléter et, au final, de remplacer la norme d’adresses IPv4 actuellementutilisée par la plupart des services Internet.

IPv4 utilise des adresses IP codées sur 32 bits, ce qui permet d’obtenir environ 4,3milliardsd’adresses possibles. Face à l’augmentation vertigineuse du nombre d’internautes et depériphériques connectés à Internet, l’espace d’adresses IPv4 disponible se révèleinsuffisant. En ayant recours à des adresses codées sur 128 bits, IPv6 permet de disposerde près de 340 trillions d’adresses et ainsi, de combler cette pénurie. IPv6 résout égalementd’autres problèmes liés à IPv4, notamment en ce qui concerne lamobilité, la configurationautomatique et la capacité globale d’extension.

Une adresse IPv6 est une valeur hexadécimale qui contient huit champs de 16 bits, séparéspar deux-points :

hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh

Chaque caractère d’une adresse IPv6 peut correspondre à un chiffre compris entre 0 et9 ou une lettre comprise entre A et F.

Pour plus d’informations sur la norme IPv6, consultez le document RFC 2460 qui lui estconsacré sur le site Web de l’IETF (http://www.ietf.org).

Accès à l’interface de gestion du système VNXe à l’aide d’IPv6

Lorsque vous configurez des connexions de gestion sur le systèmeVNXe, vous pouvez faireen sorte que le système accepte les adresses IP suivantes :

◆ Adresses IPv6 statiques, adresses IPv4 obtenues via DHCP et adresses IPv4 statiques◆ Adresses IPv4 uniquement

Vous pouvez attribuer les adresses IPv6 à l’interface de gestion de manière statique. Lesadresses IPv6 de l’interface de gestion peuvent être définies sur l’un des deux modesdisponibles, à savoir manuel/statique ou désactivé. Lorsque vous désactivez IPv6, la liaisonentre le protocole et l’interface n’est pas annulée. La commande de désactivation supprimeles adresses IPv6 unicast attribuées à l’interface de gestion et le système VNXe n’est plus enmesure de répondre aux requêtes envoyées via IPv6. Par défaut, IPv6 est désactivé.

Une adresse IP doit être attribuée à l’interface de gestion du système VNXe une fois lesystème installé, raccordé et mis sous tension. Si le système VNXe ne se trouve pas sur unréseau dynamique ou si vous préférez attribuermanuellement une adresse IP statique, vousdevez télécharger, installer et exécuter VNXe Connection Utility. Pour plus d’informationssur Connection Utility, reportez-vous à la rubrique Exécution de Connection Utility à lapage 40.

Les requêtes entrantes faisant appel à IPv6 et envoyées au système VNXe via l’interface degestion sont prises en charge. Vous pouvez configurer l’interface de gestion d’un systèmeVNXe de telle sorte qu’elle fonctionne dans un environnement utilisant uniquement IPv4,

Accès à l’interface de gestion du système VNXe à l’aide d’IPv6 39


http://www.ietf.org

IPv6 ou une combinaison de ces deux protocoles ; vous avez également la possibilité degérer le système VNXe via l’interface utilisateur et la CLI Unisphere.

Les services sortants tels que NTP et DNS prennent en charge l’adressage IPv6, au traversde l’utilisation d’adresses IPv6 explicites ou de noms DNS. Si un nom DNS peut être résoluà la fois en adresse IPv6 et IPv4, le système VNXe communique avec le serveur via IPv6.

Les commandes CLI « set » et « show » de gestion des interfaces réseau utilisées pour gérerles interfaces de gestion incluent des attributs liés à IPv6. Pour plus d’informations sur cescommandes de gestion des interfaces réseau et leurs attributs, consultez leGuide d’utilisationde la CLI Unisphere.

Exécution de Connection Utility

Remarque : si vous exécutez le système VNXe dans un environnement réseau dynamique comportantun serveur DHCP et un serveur DNS, vous n’avez pas besoin d’utiliser VNXe Connection Utility ; eneffet, il est possible d’attribuer automatiquement une adresse IP dynamique (IPv4 uniquement) àl’interface de gestion VNXe (voir Configuration de l’interface de gestion à l’aide de DHCP à la page35). Lorsqu’un système VNXe utilise une adresse IP statique, il est configuré manuellement aumoyende Connection Utility de manière à utiliser une adresse IP spécifique. L’attribution d’une adressestatique devient problématique lorsque deux systèmes VNXe sont configurés avec lamême adresse IPde gestion, suite à une erreur ou une faute d’inattention. Ce conflit d'adresse peut entraîner une pertede connectivité réseau. L’utilisation de DHCP pour l’attribution dynamique des adresses IP permetde limiter considérablement ces types de conflit. Les systèmes VNXe configurés de telle sorte quel’attribution des adresses IP s’effectue via DHCP n’ont pas besoin d’utiliser des adresses IP attribuéesde manière statique.

Le programme d’installation de ConnectionUtility est disponible sur le siteWeb du Supporten ligne EMC. Une fois téléchargé, installez le logiciel sur un hôte Windows. Lorsque vousexécutez Connection Utility à partir d’un ordinateur situé sur le même sous-réseau que lesystème VNXe, Connection Utility découvre automatiquement tout système VNXe nonconfiguré. Si vous exécutez Connection Utility sur un autre sous-réseau, vous pouvezenregistrer la configuration sur un lecteur USB, puis la transférer vers le système VNXe.

Remarque : Vous ne pouvez pas modifier l'adresse IP de gestion lorsque les deux processeurs destockage sont en mode maintenance.

Après avoir exécuté Connection Utility et transféré la configuration vers votre systèmeVNXe, vous pouvez vous connecter au système VNXe via un navigateur Web, à l’aide del’adresse IP que vous avez attribuée à l’interface de gestion du VNXe.

Lorsque vous vous connectez au système VNXe pour la première fois, l’Assistant deconfiguration VNXe démarre. L’Assistant de configuration vous permet de procéder à laconfiguration initiale du système VNXe afin de pouvoir créer des ressources de stockage.





Cryptage CIFS

La prise en charge de SMB 3.0 et de Windows 2012 sur le système VNXe permet aux hôtesen mesure d’utiliser un système CIFS de bénéficier d’une fonction de cryptage CIFS. Lecryptage CIFS permet un accès sécurisé aux données figurant dans des partages de fichiersCIFS. Il assure la sécurité des données sur des réseaux non approuvés. Ainsi, dans le cadrede ce cryptage, les données SMB circulant entre la baie et l’hôte sont cryptées de bout enbout. Les données sont donc protégées contre les tentatives d’écoute/d’espionnage sur desréseaux non fiables.

Le chiffrement CIFS peut être configuré pour chaque partage. Dès lors qu’un partage estcrypté, toutes les requêtes liées à ce partage et émanant d’un client SMB3 quelconque doiventfaire l’objet d’un cryptage, faute de quoi l’accès au partage est refusé.

Pour activer le cryptage CIFS, vous devez définir l’option de cryptage CIFS Encryption, soitlors de l’ajout d’un serveur CIFS, soit au moyen des commandes « create » et « set »applicables aux partages CIFS. Vous pouvez également définir l’option de cryptage CIFSEncryption lors de la création d’un dossier partagé CIFS. Le client SMB n’exige aucunparamétrage particulier.

Remarque : Pour plus d’informations sur la configuration du cryptage CIFS, consultez l’aide en ligned’Unisphere for VNXe, ainsi que le Guide d’utilisation de la CLI VNXe Unisphere.

Cryptage CIFS 41




5

Paramètres de sécurité desdonnées

Ce chapitre décrit les fonctions de sécurité disponibles sur le systèmeVNXe pour les types de stockage pris en charge.

Les rubriques sont les suivantes :◆ Paramètres de sécurité des données à la page 44◆ Chiffrement des données inactives à la page 45


Paramètres de sécurité des données

Le Tableau 12 à la page 44 présente les fonctions de sécurité disponibles pour les types destockage VNXe pris en charge.

Tableau 12. Fonctions de sécurité

Paramètres de sécuritéProtocolePortType de stock-age

◆ Un contrôle d'accès au niveau de l'hôte iSCSI (initiateur) estdisponible via Unisphere (et permet aux clients d'accéder austockage principal, aux snapshots ou aux deux).

◆ L'authentification CHAP est prise en charge de sorte que lesserveurs VNXe iSCSI (cibles) puissent authentifier les hôtesiSCSI (initiateurs) qui tentent d'accéder au stockage iSCSI.

◆ L'authentification CHAP mutuel est également prise en chargeet ce, afin que les hôtes iSCSI (initiateurs) puissent authenti-fier les serveurs iSCSI VNXe.

TCP3260Stockage iSCSI

TCP, UDP445Stockage CIFS ◆ L'authentification pour les actions de domaine et d'adminis-tration est assurée via les comptes d'utilisateur et de groupeActive Directory.

◆ Les contrôles d'accès aux fichiers et aux partages sont as-surés par l'intermédiaire des services d'annuaire Windows.

◆ Les signatures de sécurité sont prises en charge au moyende la fonction de signature SMB.

◆ Le chiffrement CIFS est fourni via SMB 3.0 et Windows 2012pour les hôtes compatibles CIFS. Reportez-vous à la sectiondctm://esa/37000001802cb8b0?DMS_OBJECT_SPEC=RE-LATION_ID&DMS_ANCHOR=#R18780 pour obtenir des in-formations sur le chiffrement CIFS.

◆ La prise en charge des services de rétention au niveau desfichiers (en option) est assurée via un module complémen-taire.

◆ Le contrôle d'accès aux partages s'effectue au moyend'Unisphere.

◆ Prise en charge des méthodes de contrôle d'accès et d'au-thentification NFS identifiées dans NFS versions 2 et 3.

◆ La prise en charge des services de rétention au niveau desfichiers (en option) est assurée via un module complémen-taire.

TCP2049Stockage NFS

◆ La sécurité NDMP peut être mise en œuvre sur la base desecrets partagés NDMP.

Sauvegarde etrestauration



Chiffrement des données inactives

Le chiffrement est un processus de transformation des données qui permet de les rendreillisibles, sauf pour les personnes ayant des connaissances spécialisées. Les disques àchiffrement automatique (SED) d’un système VNXe utilisent le standard de chiffrementAES 256 bits. Le chiffrement est effectué sur chaque disque avant que les données ne soientécrites sur le support. Elles sont ainsi protégées en cas de vol, de perte du matériel et detentative de lecture par démontage du disque et utilisation deméthodes de restauration desdonnées. Le chiffrement fournit également unmoyen rapide et sûr d’effacer des informationscontenues sur un disque. Plus besoin d’écraser les informations plusieurs fois pour s’assurerqu’elles ne sont plus récupérables.

Pour pouvoir lire les données, l’utilisateur doit déverrouiller le disque au moyen d’une cléd’authentification SED. Seuls les disques SED authentifiés sont accessibles et peuvent êtredéverrouillés. Une fois le disque déverrouillé, le disque SEDdéchiffre les données et rétablitleur état d’origine.

Disques à chiffrement automatique

Les systèmes VNXe prennent en charge le chiffrement des données inactives vial’utilisation de disques à chiffrement automatique (SED). Toutes les données présentessur un disque SED sont chiffrées par la clé de chiffrement des données enregistrée surle disque. Le chiffrement est défini en usine avant l’expédition du système et ne peutpas être annulé ultérieurement. Entièrement transparent et automatique, le processusde chiffrement/déchiffrement SED n’a aucune incidence sur les performances.

Le contrôle d’accès aux disques SED est appliqué par le biais d’une clé d’authentification.La clé d’authentification est utilisée pour verrouiller/déverrouiller le disque et pourchiffrer/déchiffrer la clé de chiffrement des données enregistrée sur le disque. Dans uncycle demarche/arrêt, un disque SED faisant d’un pool de stockage défini par l’utilisateurest verrouillé et inaccessible lorsqu’il est expédié. La clé d’authentification est utiliséepour déverrouiller le disque et accéder aux données utilisateur.

Un gestionnaire de clés intégré sur le processeur de stockage (SP) assure la gestion desclés pour la clé d’authentification. Voici certains aspects de la gestion des clés :

◆ Génération de clés d’authentification

◆ Stockage sécurisé des clés

◆ Autogestion du cycle de vie des clés

◆ Synchronisation des copies de clés redondantes

Un systèmeVNXe contient soit uniquement des disques SED soit uniquement des disquesnon SED. Vous ne pouvez pas ajouter de disque non SED à un système VNXe SED. Lesystème renverrait une erreur. Vous ne pouvez pas non plus ajouter de disque SED àsystème VNXe non SED.

Chiffrement des données inactives 45


Baie sécurisée

Une baie sécurisée ne peut contenir que des disques SED. Vous ne pouvez pas mélangerdes disques SED et des disques non chiffrés dans un système VNXe. Tous les disquesSED du système VNXe sont déverrouillés par défaut et ne sont verrouillés qu’une foisassociés à un pool de stockage. Une clé d’autorisation est créée et appliquée à tous lesdisques pendant leur verrouillage et est nécessaire pour toute interaction future.Inversement, si tous les pools de stockage associés à un disque sont détruits, le chiffrementdes données sur le disque est détruit (la clé d’autorisation est supprimée, rendant lesdonnées irrécupérables) et le disque est déverrouillé.

Une fois un disque SED inclus dans un pool de stockage, le contrôle d’accès est activé etla clé d’authentification est définie. Le disque peut ensuite être utilisé grâce à la cléd’authentification stockée sur la baie. Les données utilisateur stockées sur le disque nesont alors accessibles ni à partir d’une autre baie ni depuis l’extérieur. Un disque peutêtre réaffecté à une autre baie en détruisant le pool de stockage auquel il appartient. Celane s’applique toutefois pas aux quatre premiers disques du boîtier DPE. Détruire le poolde stockage aura pour effet de supprimer le chiffrement de toutes les données utilisateurprésentes sur le disque, de désactiver le contrôle d’accès sur ces disques et de réinitialisertous les mots de passe en fonction de l’identifiant de sécurité du fabricant. Les disquesn’appartenant pas à un pool de stockage ne contiennent pas de données utilisateur etn’ont pas de restrictions d’accès. Ces disques peuvent être déplacés sans problème.

Si vous supprimez par inadvertance un pool de stockage dans lequel un disque manque,ce disque reste inaccessible jusqu’à ce que ses paramètres par défaut soient réinitialisés.La restauration d’un disque efface le chiffrement des données présentes sur ce disque etdésactive l’authentification. Pour réinitialiser les paramètres par défaut d’un disque SED,utilisez la commande de maintenance svc_key_restore. Pour plus d’informations surcette commande demaintenance, consultez les notes techniquesCommandes de maintenanceVNXe. Pour plus d’informations sur la restauration des paramètres par défaut d’un disqueSED et pour obtenir de l’aide, contactez votre fournisseur de services.

Lorsqu’un nouveau disque SED est ajouté au système VNXe, soit en remplacement d’undisque existant soit dans le but d’agrandir une baie, il est automatiquement détecté etinclus dans la baie. Si le nouveau disque remplace un ancien disque qui faisait partied’un pool de stockage, le contrôle d’accès est activé et la clé d’authentification est définiesur le nouveau disque.

Remarque : Le retrait de disques peut dégrader les pools de stockage et réduire la redondance dece pool de stockage.

Le remplacement de certaines pièces matérielles peut affecter les opérations du disqueSED :

◆ Il n’est pas possible de remplacer en même temps les deux processeurs de stockageet le châssis. Sinon la clé d’authentification devient inaccessible.



Il est vivement recommandé d’effectuer cette opération dès que la clé est créée.L’absence ou la corruption de la copie principale de la clé d’authentification peutrendre inaccessibles les données stockées sur le système. Pour obtenir des instructionsconcernant la sauvegarde de la clé d’authentification, consultez l’aide en ligned’Unisphere for VNXe ou le Guide d’utilisation de la CLI VNXe Unisphere.

◆ La conversion d’une baie, dont tous les disques ont été supprimés et insérés dans unenouvelle baie, n’est pas prise en charge.

Clé d’authentification

La clé d’authentification des disques SEDest générée automatiquement par le gestionnairede clé la première fois que vous créez un pool de stockage sur un systèmeVNXe utilisantdes disques SED. Cette clé s’applique à tous les disques du système VNXe, y comprisceux ajoutés par la suite au système.

Le système VNXe chiffre la clé d’authentification et la stocke en lieu sûr sur le disqueselon un modèle de redondance en miroir triple. Vous pouvez sauvegarder la cléd’authentification sur un périphérique externe en utilisant soit une option d’interfaceutilisateur Unisphere soit une commande CLI Unisphere.

Il est vivement recommandé d’effectuer cette opération dès que la clé est créée. L’absenceou la corruption de la copie principale de la clé d’authentification peut rendre inaccessiblesles données stockées sur le système. Pour obtenir des instructions concernant la sauvegardede la clé d’authentification, consultez l’aide en ligne d’Unisphere for VNXe ou le Guided’utilisation de la CLI VNXe Unisphere.

Si vous recevez une alerte vous informant que la clé d’authentification est corrompue,vous devez restaurer la clé. Placez les deux processeurs de stockage du système VNXeen mode maintenance et exécutez la commande de maintenance svc_key_restore surl’un d’eux.

Remarque : Pour obtenir des instructions sur la manière de mettre les processeurs de stockage enmode maintenance, consultez l’aide en ligne d’Unisphere for VNXe. Pour plus d’informations surla commande de maintenance svc_key_restore, consultez le document Notes techniques sur lescommandes de maintenance VNXe.

À l’exception suivante près, si tous les pools de stockage sur le système VNXe sontsupprimés, la copie principale de la clé d’authentification est également supprimée.Toutefois, si vous réinitialisez un système contenant des pools de stockage, la cléd’authentification sera toujours valable lors du redémarrage du système, même si lespools de stockage ont été supprimés.

Les sauvegardes de clés d’authentification sont inutilisables après la suppression de tousles pools de stockage sur le système VNXe (sauf s’il s’agit d’un système contenant despools de stockage). Lorsque le premier nouveau pool de stockage est créé, une nouvellecopie principale de la clé d’authentification est automatiquement générée. Dans ce cas,toutes les sauvegardes existantes de la clé d’authentification précédente ne sont plusvalides et une nouvelle sauvegarde de la clé d’authentification doit être créée.

Chiffrement des données inactives 47




6

Maintenance de sécurité

Ce chapitre décrit diverses fonctions de maintenance de sécuritéimplémentées sur le système VNXe.

Les rubriques sont les suivantes :◆ Maintenance sécurisée à la page 50


Maintenance sécurisée

Le système VNXe offre les fonctions de sécurité ci-après pour les tâches de maintenance etde mise à jour à distance :

◆ Activation de licence VNXe◆ Mise à niveau des logiciels VNXe◆ Correctifs des logiciels VNXe

Mise à jour des licences

La fonction de mise à jour des licences VNXe permet aux utilisateurs d'obtenir et d'installerdes licences pour des fonctions VNXe spécifiques, comme la rétention au niveau des fichiersou la réplication RepliStor™. Le Tableau 13 à la page 50 présente les fonctions de sécuritéassociées à la fonction de mise à jour des licences VNXe.

Tableau 13. Fonctions de sécurité associées à la mise à jour des licences VNXe

SécuritéTraitement

L’acquisition de licences s’effectue au sein d’unesession authentifiée sur le site Web du Support enligne EMC (http://www.emc.com/vnxesupport).

Obtention de licences via le site Web du Support enligne EMC

Les licences sont envoyées à une adresse e-mailspécifiée au sein d’une transaction authentifiée sur

Réception des fichiers de licence

le site Web du Support en ligne EMC(http://www.emc.com/vnxesupport).

Les téléchargements de fichiers de licence sur lesystème VNXe s'effectuent au sein de sessions Uni-sphere authentifiées par HTTPS.

Le système VNXe valide les fichiers de licence reçusau moyen de signatures numériques. Chaque fonctionsous licence est validée par une signature unique ausein du fichier de licence.

Téléchargement et installation de licences sur lesystème VNXe par l'intermédiaire du client Unisphere

Mise à niveau des logiciels

La fonction demise à niveau des logiciels VNXepermet aux utilisateurs d'obtenir et d'installerdes mises à jour/mises à niveau des logiciels exécutés sur le système VNXe. Le Tableau 14à la page 51 présente les fonctions de sécurité associées à la fonction de mise à niveau deslogiciels VNXe.





Tableau 14. Fonctions de sécurité associées à la mise à niveau logicielle

DescriptionTraitement

L’acquisition de licences s’effectue au sein d’unesession authentifiée sur le site Web du Support enligne EMC (http://www.emc.com/vnxesupport).

Téléchargement de logiciels VNXe à partir du siteWeb du Support en ligne EMC

Le téléchargement de logiciels sur le systèmeVNXe s'exécute au sein d'une session Unisphereauthentifiée par HTTPS.

Téléchargement de logiciels VNXe

Maintenance sécurisée 51





7

Paramètres d'alerte desécurité

Ce chapitre décrit les différentes méthodes disponibles pour avertir lesadministrateurs des alertes survenues sur le système VNXe.

Les rubriques sont les suivantes :◆ Paramètres d’alerte à la page 54


Paramètres d’alerte

Les alertes VNXe signalent aux administrateurs les événements exploitables survenant surle système VNXe. Les événements VNXe peuvent être signalés par différentes méthodes,décrites dans le Tableau 15 à la page 54.

Tableau 15. Paramètres d’alerte

DescriptionType d'alerte

Affiche des messages contextuels à caractère informatif dans l'interface et en temps réelpour indiquer l'existence de conditions d'alerte. Ces messages fournissent des informations

Notification visuelle

de base sur la condition d'alerte. Pour obtenir des informations complémentaires, vouspouvez accéder à la page Système > Alertes système.

Remarque : les notifications d'alerte visuelles VNXe ne sont pas configurables.

Vous permet de spécifier une ou plusieurs adresses e-mail auxquelles envoyer les messagesd’alerte. Les paramètres suivants peuvent être configurés :

◆ Adresses e-mail auxquelles envoyer les alertes du système VNXe.

◆ Niveau de gravité (urgence, erreur ou information) qui déclenche la notification par e-mail.

Remarque : pour que la fonction de notification d’alerte VNXe par e-mail soit opérationnelle,vous devez configurer un serveur SMTP cible pour le système VNXe.

Notification par e-mail

Transfère les informations d’alerte à des hôtes désignés (destinations de trap) qui jouentle rôle de référentiels des informations d’alerte générées par le système réseau VNXe.

Vous pouvez configurer les traps SNMP à l'aide d'Unisphere. Les paramètres sont notam-ment les suivants :

◆ Adresse IP d'une destination de trap SNMP réseau

◆ Numéro du port sur lequel la destination de trap reçoit les traps

◆ Paramètres de sécurité facultatifs pour la transmission de données de trap

◆ Protocole d'authentification : algorithme de hachage utilisé pour les traps SNMP(SHA ou MD5)

◆ Protocole de confidentialité : algorithme de cryptage utilisé pour les traps SNMP(DES, AES, AES192 ou AES256)

L'aide en ligne d'Unisphere fournit des informations complémentaires à ce sujet.

Traps SNMP


Paramètres d'alerte de sécurité

Tableau 15. Paramètres d’alerte (suite)

DescriptionType d'alerte

Envoie automatiquement des notifications d'alerte à EMC pour aider au diagnostic desproblèmes rencontrés.

Remarque : pour que la fonction de notification ConnectEMC soit opérationnelle, vousdevez configurer un serveur SMTP cible pour le système VNXe.

ConnectEMC,

ESRS fournit une connexion IP permettant au Support EMC de recevoir les messagesd’alerte et les fichiers d’erreur en provenance de votre système VNXe, et d’effectuer undépannage à distance, offrant ainsi une résolution rapide et efficace des problèmes.

Remarque : Disponible avec un environnement d'exploitation VNXe version 2 ou supérieure.Pour qu’ESRS fonctionne, vous devez l’activer sur le système VNXe.

ESRS (EMC Secure RemoteSupport)

Configuration des paramètres d'alerte

Vous pouvez configurer les paramètres d’alerte utilisés par le système VNXe pour lanotification par e-mail et les traps SNMP.

Configuration des paramètres d'alerte de notification par e-mail

Dans Unisphere :

1. Sélectionnez Paramètres > Configuration supplémentaire > Paramètres d’alerte.

2. Dans la rubrique Alertes par e-mail, choisissez l'une des options suivantes pour définirle niveau de gravité auquel un événement doit correspondre pour que des e-mails d'alertesoient générés :

◆ Informations◆ Avertissement◆ Erreurs◆ Critique◆ Urgence

Remarque : pour que le mécanisme d'alerte par e-mail VNXe fonctionne, un serveur SMTP cibledoit être configuré pour le système VNXe.

Paramètres d’alerte 55


Configuration des paramètres d'alerte sous forme de traps SNMP

Dans Unisphere :

1. Sélectionnez Paramètres > Configuration supplémentaire > Paramètres d’alerte.

2. Dans la rubrique Paramètres d'alerte, choisissez l'une des options suivantes pour définirle niveau de gravité auquel un événement doit correspondre pour que des traps SNMPsoient générées :

◆ Informations◆ Avertissement◆ Erreurs◆ Critique◆ Urgence



8

Autres paramètres desécurité

Ce chapitre contient des informations supplémentaires permettant degarantir un fonctionnement sécurisé du système VNXe.

Les rubriques sont les suivantes :◆ Effacement des données à la page 58◆ Contrôles de sécurité physique à la page 58◆ Protection antivirus à la page 58


Effacement des données

Les objets supprimés ne peuvent être reconstruits. Néanmoins, en cas de nécessité dansl'environnement, EMC propose des services d'effacement des données.

Contrôles de sécurité physique

Le lieu d'installation du système VNXe doit être choisi et si nécessaire adapté de manière àce que sa sécurité physique soit garantie. Il convient notamment de veiller à ce que les porteset verrous soient en nombre suffisant, à limiter l'accès physique au système aux seulespersonnes autorisées et à contrôler cet accès, à doter le système d'une source d'alimentationfiable, et à respecter les meilleures pratiques en matière de câblage.

En outre, les éléments et composants suivants du système VNXe nécessitent une vigilanceparticulière :

◆ Bouton de réinitialisation des mots de passe : réinitialise temporairement les mots depasse par défaut du compte de maintenance et du compte administrateur par défaut dusystème VNXe jusqu'à ce qu'un administrateur réinitialise le mot de passe.

◆ Connecteur de port série : permet l'accès authentifié via une connexion par port série.

Protection antivirus

VNXe prend en charge EMC Common AntiVirus Agent (CAVA). CAVA, composant deVNXEvent Enabler (VEE) 4.9.3.0, offre une solution antivirus aux clients utilisant un systèmeVNXe. Ce composant utilise un protocole CIFS standard dans l'environnement MicrosoftWindows Server. CAVA tire parti de logiciels antivirus tiers afin d'identifier et d'éliminerles virus connus avant qu'ils n'infectent les fichiers du système VNXe. Le programmed'installation de VEE (qui contient celui de CAVA) et les notes demise à jour de VEE peuventêtre téléchargés sur la page Téléchargements > Prise en charge des produits VNXe du siteWeb du Support en ligne EMC.


Autres paramètres de sécurité

© 2011 - 2013 EMC Corporation. All Rights Reserved. EMC believes the information in this publication is accurate as of its publication date. The information is subject to change

without

notice.

THE INFORMATION IN THIS PUBLICATION IS PROVIDED “AS IS.” EMC CORPORATION MAKES NO

REPRESENTATIONS OR

WARRANTIES OF ANY KIND WITH RESPECT TO THE INFORMATION IN THIS PUBLICATION, AND

SPECIFICALLY

DISCLAIMS IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

Use, copying, and distribution of any EMC software described in this publication requires an applicable software license.

EMC2, EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United State and other

countries.

All other trademarks used herein are the property of their respective owners.