Configurar seguridad
NCache entiende la necesidad de que cualquier software de nivel empresarial tenga una seguridad absoluta y, por lo tanto, ofrece una variedad de características para garantizar que los usuarios no sacrifiquen su seguridad por el rendimiento. Estas características incluyen la definición de permisos de acceso para cachés/nodos, cifrado, seguridad de red y más.
Autenticacion y autorizacion
NCache ofrece seguridad integrada LDAP para proteger los nodos de caché. Una vez que un nodo está protegido, hay dos niveles de acceso definidos en ese nodo. Uno está relacionado con las operaciones de administración junto con otras operaciones de caché. Mientras que el otro se limita al acceso a la API de caché.
Note
Todas las cachés de un nodo seguro se protegen automáticamente.
Para obtener los beneficios completos de estos niveles de acceso NCache admite dos tipos de usuarios LDAP: Administradores de nodos(Usuarios/Grupos) y Usuarios de caché(Usuarios/Grupos). Desde NCache no tiene sus mecanismos de autenticación y todos los usuarios agregados se autentican primero con sus credenciales LDAP. Cuando un usuario LDAP registrado se agrega al NCache Siempre hay una verificación de validación a través del controlador de dominio para verificar si este Usuario está registrado en el dominio o no. En este escenario, si se interrumpe la conexión con el controlador de dominio, la validación falla y el usuario no puede realizar ninguna operación.
Para evitar esto, NCache ofrece Almacenamiento en caché de credenciales donde se almacenan las credenciales del Usuario NCache para que un usuario ya autenticado no tenga que ser autenticado repetidamente durante la vida del proceso. Está habilitado de forma predeterminada y el Usuario puede deshabilitarlo configurando el NCacheServer.EnableCredentialCaching
etiqueta Falso en el archivo de configuración del servicio.
Administradores de nodos
Los administradores de nodo son Superusuarios y tener control total sobre el caché: pueden crear, modificar, eliminar cachés y realizar cualquier otra operación de administración de caché. Los Administradores de Nodo pueden guardar o descartar configuraciones de seguridad si se establecieron previamente. También pueden heredar las capacidades de los usuarios de caché para acceder e interactuar con los cachés utilizando el NCache API.
Usuarios de caché
Sin embargo, si desea limitar que algunos usuarios tengan acceso a la API de caché únicamente y no desea que realicen ninguna operación de administración, entonces configurar Usuario de caché es su opción preferida. Donde puede restringir al usuario para que realice operaciones de datos, incluidas Agregar, Eliminar, Actualizar y Recuperar, solo a través de las API relevantes.
Pero, si no desea definir diferentes niveles de acceso para sus usuarios y permitirles a todos realizar todo tipo de operaciones en la caché. Entonces, no es necesario configurar el Usuario de caché, ya que sus administradores de nodo tienen todos los derechos para administrar y operar el caché sin problemas.
Configuraciones de seguridad homogéneas
Después de establecer la configuración de seguridad para un nodo, debe asegurarse de que todos los nodos de ese clúster tengan configuraciones de seguridad similares. El usuario que actúa como administrador de nodo en un nodo debe ser el administrador de todos los demás nodos de ese clúster. De manera similar, el Usuario que actúa como Usuario de caché en un nodo debe ser Usuario de caché en el resto de los nodos.
Si no se garantiza una configuración de seguridad homogénea en todos los nodos de un clúster, es posible que encuentre diferentes problemas al administrar y operar el caché.
Note
Un nodo seguro como primer nodo en un clúster de caché debería evitar la adición de nodos vulnerables.
Note
Un nodo vulnerable como primer nodo en un clúster de caché impedirá la adición de nodos seguros.
Cifrado de datos
En los sistemas de almacenamiento en caché distribuidos, la comunicación se produce principalmente a través de los canales de la red. Los datos viajan y residen en el caché en su forma serializada, y cualquiera que escuche su conexión puede interceptar sus datos fácilmente si no están cifrados. NCache El cifrado de datos permite convertir la información en texto cifrado. Sólo las personas autorizadas (es decir, las personas con la clave adecuada) pueden descifrar el código y acceder a la información original.
Cifrado TLS
Aunque la NCache incluye una Cifrado de datos Esta característica protege los datos en la memoria y durante la transmisión a través de la red. Sin embargo, el cifrado de datos conlleva un coste de rendimiento adicional. Por otro lado, Transport Layer Security (TLS) proporciona un enfoque más completo para proteger los datos durante la transmisión de la red, siguiendo las prácticas estándar de la industria.
Aunque TLS también tiene un impacto en el rendimiento, tiende a consumir menos recursos que la alternativa, es decir, el cifrado de datos. Como tal, es más crucial NCache operaciones, que implican que los datos viajen a través de la red de diversas formas:
- Entre servidores y clientes
- Entre diferentes servidores
- Entre cachés y puentes
In NCache, puedes decidir qué tipo de comunicación quieres cifrar, mientras viaja por la red, utilizando TLS. Esta opción le brinda control total sobre la seguridad de sus datos. Por lo general, las personas cifran el tráfico a través de la Internet pública, como la comunicación Bridge para la replicación WAN. Sin embargo, para aplicaciones sensibles a la seguridad, probablemente debería cifrar el tráfico entre clientes y servidores y entre diferentes servidores.
Consideraciones sobre el certificado TLS
Al implementar TLS, los certificados se almacenan en el Personal o de Tienda de autoridad de certificación raíz confiable y están disponibles tanto en usuario y máquina local niveles. Todos los usuarios pueden acceder a los certificados colocados a nivel de máquina local, mientras que los certificados a nivel de usuario están limitados a usuarios específicos.
Además, estos certificados requieren validación. Los certificados del lado del servidor deben validarse en el extremo del cliente para TLS, verificando si el cliente confía en la autoridad emisora del certificado. Si está utilizando un emisor de certificados reconocido públicamente, es posible que no necesite instalar el certificado del emisor en el almacén de la Autoridad de certificación raíz de confianza del cliente. Sin embargo, para certificados privados o autofirmados, debe asegurarse de que el certificado del emisor esté instalado en el almacén de la Autoridad de certificación raíz de confianza en el extremo del cliente para evitar cualquier posibilidad de Apretón de manos TLS fallas
Para TLS mutuo entre clientes y servidores, el cliente también debe compartir su certificado con el servidor. En este caso, el servidor debe confiar en la autoridad emisora de certificados del cliente, que el cliente debe colocar en el almacén de Autoridad de certificación raíz de confianza del servidor. De manera similar, al habilitar TLS entre servidores, los otros servidores involucrados en la comunicación deben validar los certificados de los demás.
NCache Sigue un orden específico al buscar certificados en el cuadro del servidor:
- Máquina local: raíz confiable
- Máquina local: Personal
- Usuario: raíz de confianza
- Usuario: Personal
Comprender estas consideraciones garantizará la implementación de NCache El cifrado TLS se realiza sin problemas.
HTTPS para NCache Centro de gestion
Similar a TLS, HTTPS (Protocolo seguro de transferencia de hipertexto) es un protocolo ampliamente utilizado para proteger la comunicación a través de una red. Como tal, NCache admite HTTPS para NCache Centro de Gestión en Windows y Linux mediante certificados TLS.
En esta sección
Configurar autenticación y autorización
Explica cómo configurar la seguridad para nodos y cachés.
Configurar el cifrado para caché
Describe cómo habilitar y configurar el cifrado para caché.
Configurar el cifrado TLS
Describe cómo habilitar y configurar el cifrado SSL para caché en Windows y Linux.
Configurar HTTPS para NCache Centro de gestion
Describe cómo habilitar y configurar HTTPS para NCache Centro de Gestión.