Seguridad de caché en NCache: Una visión general
Note
Esta función solo está disponible en NCache Enterprise Edición.
La caché distribuida opera en un entorno que tiene acceso a muchos usuarios diferentes, donde cualquier usuario puede cambiar la configuración de la caché, realizar cualquier operación de administración o tener acceso a los datos de la caché sin ninguna restricción. La preocupación por la seguridad de la memoria caché surge cuando se trata de datos críticos o no desea que todos tengan derechos de acceso administrativo a su servidor de memoria caché, excepto la lista de usuarios autorizados. NCache El mecanismo de seguridad funciona con cualquier servicio de directorio compatible con LDAP.
Todos los usuarios se autentican con los servicios de directorio compatibles con LDAP. NCache proporciona el soporte de dos controladores de dominio LDAP (primario y secundario) para garantizar la tolerancia a fallas en sus operaciones gerenciales y de nivel API. Entre estos controladores, el controlador de dominio principal es obligatorio para habilitar la seguridad de sus operaciones, mientras que el controlador secundario es opcional. En caso de que sus datos sean lo suficientemente confidenciales como para que no pueda permitirse que su controlador de dominio (principal) esté inactivo, entonces puede registrar un controlador secundario. Si su controlador principal se cae, todas las autenticaciones de seguridad son entretenidas por el controlador secundario.
NCache le proporciona una característica de seguridad con diferentes niveles de granularidad que puede implementar según sus requisitos.
Niveles de acceso de seguridad
NCache La función de seguridad incorpora seguridad en dos niveles de acceso distintos:
- Nivel administrativo/gerencial
- Nivel de API de caché
Estos niveles de seguridad están destinados a asegurar tanto el acceso a nivel de administración como de cliente a su caché. De forma predeterminada, la función de seguridad está deshabilitada para ambos niveles de acceso. Puede habilitar la seguridad proporcionando los parámetros mencionados en el Propiedades .
Seguridad de nivel administrativo/gerencial
Seguridad a nivel de gestión en NCache asegura que un nodo de clúster remoto esté protegido contra cualquier acceso de usuario no autorizado. Se utiliza para validar a los usuarios autorizados que tienen acceso para realizar cualquier operación relacionada con la administración y la configuración en un nodo de clúster.
Para proteger un clúster de caché de varios nodos general, debe habilitar la seguridad en cada nodo individual del clúster.
Las herramientas administrativas como las herramientas Manager y PowerShell están integradas con el marco de seguridad y le brindan la opción de realizar operaciones en un entorno seguro.
Para obtener información sobre cómo configurar la seguridad en un nodo, consulte Configurar la seguridad in NCache Guía de administradores.
Beneficios de habilitar la seguridad a nivel de gestión
Una vez que configura la seguridad de nivel de administración en su nodo de servidor, permite que pocos usuarios tengan permisos administrativos, ningún usuario que no sea el especificado tendrá acceso para realizar operaciones de administración en su nodo, como:
- Crear nuevo caché
- Eliminar caché existente
- Agregar caché existente
- Iniciar caché
- Detener caché
- Reiniciar caché
- Actualizar caché
- Guardar cambios de configuración
Administrador del sistema privilegiado
La lista de usuarios autorizados se añade en seguridad.ncconf. Los administradores de esa máquina pueden habilitar la seguridad. Los usuarios que no sean los configurados como administradores de su nodo no pueden realizar ninguna operación relacionada con la administración en su nodo. Pero hay una excepción: a un usuario también se le otorgan permisos administrativos si es el administrador del sistema local en ese sistema.
Significa que un administrador de la ventana local siempre tiene derechos y permisos administrativos, ya sea que la operación administrativa se realice localmente o desde cualquier otro nodo del servidor, utilizando las credenciales locales de Windows. Entonces, si un nodo no está autorizado como administrador y está utilizando ese nodo para realizar una operación en su máquina personal, todo lo que necesita es proporcionar las credenciales de su sistema y puede realizar cualquier operación de administración remota en su sistema.
Seguridad de nivel de API de caché
Seguridad a nivel de caché en NCache garantiza que los datos de caché estén protegidos contra cualquier acceso de usuario no autorizado. La seguridad de nivel de API de caché se utiliza para validar a los usuarios autorizados que intentan establecer una conexión con el caché a través de NCache API. Al habilitar la seguridad a nivel de caché, puede controlar si todos o algunos clientes pueden acceder a los datos de caché del clúster para leer o escribir. Solo los clientes verificados como usuarios válidos y autenticados pueden realizar operaciones a nivel de caché.
Para obtener información sobre cómo configurar la seguridad en un caché, consulte Configuración de seguridad para caché in NCache Guía de administradores.
Beneficios de habilitar la seguridad de nivel de API
Una vez que configure la seguridad a nivel de caché en un caché, ningún usuario que no sea el especificado para tener autorización de API tendrá acceso para realizar operaciones de caché en el caché, como:
- Conectar a caché
- Obtener datos
- Agregar datos
- Eliminar/actualizar datos, etc.
Si la seguridad está habilitada en un caché, entonces se deben proporcionar las credenciales junto con el GetCache
llamar para establecer una conexión. Para cada caché, esta lista de usuarios autorizados se mantiene en el <cache-settings>
sección de config.ncconf.
Propiedades
Puede habilitar la seguridad proporcionando las siguientes credenciales:
parámetros | Descripción | Ejemplo |
---|---|---|
Domain Controller |
Servidor principal responsable de la autenticación de seguridad. | tudominioprincipal |
Secondary Domain Controller |
Servidor secundario responsable de la autenticación de seguridad si el principal no está disponible. | sudominiosecundario |
Search Base |
Una cadena responsable de completar los usuarios del dominio en el administrador web. | OU=admin,DC=sudominio,DC=org |
Port |
Número de puerto en el que se ejecuta el controlador de dominio. | 389 |
User Name |
Identificación del usuario. | John Smith |
User DN |
DN es un nombre distinguido que se utiliza para especificar la posición de un usuario en el sistema de archivos. Acciones como agregar o eliminar usuarios y habilitar o deshabilitar la seguridad requieren un DN de usuario. | CN=John Smith,OU=admin,DC=sudominio,DC=org |
Password |
Una cadena segura utilizada para autorizar las credenciales de un usuario. | tu contraseña |
Vea también
NCache Cifrado de datos
Procesamiento de flujo en caché
Configurar la seguridad