Configura sicurezza
NCache comprende la necessità che qualsiasi software di livello aziendale abbia una sicurezza inattaccabile e, pertanto, offre una varietà di funzionalità per garantire che gli utenti non sacrifichino la propria sicurezza per le prestazioni. Queste funzionalità includono la definizione delle autorizzazioni di accesso per cache/nodi, crittografia, sicurezza di rete e altro ancora.
Autenticazione e autorizzazione
NCache offre la sicurezza integrata LDAP per proteggere i nodi della cache. Una volta che un nodo è protetto, su quel nodo sono definiti due livelli di accesso. Uno è correlato alle operazioni di gestione insieme ad altre operazioni di cache. Mentre l'altro è limitato all'accesso all'API della cache.
Note:
Tutte le cache su un nodo protetto vengono protette automaticamente.
Per ottenere tutti i vantaggi di questi livelli di accesso NCache supporta due tipi di utenti LDAP: Amministratori dei nodi(Utenti/Gruppi) e Utenti della cache(Utenti/Gruppi). Da NCache non ha i suoi meccanismi di autenticazione e tutti gli utenti aggiunti vengono prima autenticati rispetto alle loro credenziali LDAP. Quando un utente LDAP registrato viene aggiunto a NCache c'è sempre un controllo di convalida tramite il controller del dominio per verificare se questo Utente è registrato o meno nel dominio. In questo scenario, se la connessione con il controller di dominio si interrompe, la convalida fallisce e l'utente non può eseguire alcuna operazione.
Per evitare questo, NCache offre il Caching delle credenziali dove sono archiviate le credenziali dell'Utente NCache in modo che un utente già autenticato non debba essere autenticato ripetutamente durante la vita del processo. È abilitato per impostazione predefinita e l'Utente può disabilitarlo impostando il NCacheServer.EnableCredentialCaching
etichetta Falso nel file di configurazione del servizio.
Amministratori dei nodi
Gli amministratori dei nodi lo sono Superutenti e hanno il controllo completo sulla cache: possono creare, modificare, rimuovere le cache ed eseguire qualsiasi altra operazione di gestione della cache. Gli amministratori dei nodi possono salvare o eliminare le configurazioni di sicurezza se stabilite in precedenza. Sono inoltre in grado di ereditare le funzionalità degli utenti della cache per accedere e interagire con le cache utilizzando il file NCache API.
Utenti della cache
Tuttavia, se desideri limitare alcuni utenti al solo accesso all'API cache e non vuoi che eseguano alcuna operazione di gestione, la configurazione di Utente cache è la tua opzione preferita. Dove è possibile limitare l'utente a eseguire operazioni sui dati tra cui Aggiungi, Rimuovi, Aggiorna e Recupera solo tramite le API pertinenti.
Ma se non vuoi definire diversi livelli di accesso per i tuoi utenti e consentire a tutti loro di eseguire tutti i tipi di operazioni sulla cache. Quindi, non è necessario configurare l'utente della cache, poiché gli amministratori del nodo hanno tutti i diritti per gestire e utilizzare la cache senza problemi.
Impostazioni di sicurezza omogenee
Dopo aver stabilito le impostazioni di sicurezza per un nodo, è necessario assicurarsi che tutti i nodi del cluster dispongano di impostazioni di sicurezza simili. L'utente che agisce come amministratore del nodo su un nodo dovrebbe essere l'amministratore di tutti gli altri nodi del cluster. Allo stesso modo, l'Utente che agisce come Utente Cache su un nodo dovrebbe essere un Utente Cache sul resto dei nodi.
Se le impostazioni di sicurezza omogenee non sono garantite su tutti i nodi di un cluster potresti riscontrare diversi problemi durante la gestione e il funzionamento della cache.
Note:
Un nodo protetto come primo nodo in un cluster di cache dovrebbe impedire l'aggiunta di nodi vulnerabili.
Note:
Un nodo vulnerabile come primo nodo in un cache cluster deve impedire l'aggiunta di nodi protetti.
Crittografia dei dati
Nei sistemi di caching distribuiti, la comunicazione avviene principalmente attraverso i canali di rete. I dati viaggiano e risiedono nella cache nella loro forma serializzata e chiunque ascolti la tua connessione può intercettare facilmente i tuoi dati se non sono crittografati. NCache La crittografia dei dati consente di convertire le informazioni in testo cifrato. Solo gli autorizzati (cioè le persone con la chiave appropriata) possono decifrare il codice e accedere alle informazioni originali.
Crittografia TLS
Mentre NCache include un modulo Crittografia dei dati caratteristica, protegge i dati in memoria e durante la trasmissione in rete. Tuttavia, la crittografia dei dati comporta un costo aggiuntivo in termini di prestazioni. D'altra parte, Transport Layer Security (TLS) fornisce un approccio più completo alla protezione dei dati durante la trasmissione in rete, seguendo le pratiche standard del settore.
Sebbene TLS abbia anche un impatto sulle prestazioni, tende a richiedere meno risorse rispetto all'alternativa, ovvero la crittografia dei dati. In quanto tale, è più cruciale NCache operazioni, che implicano che i dati viaggino sulla rete in vari modi:
- Tra server e client
- Tra server diversi
- Tra cache e ponti
In NCache, puoi decidere quale tipo di comunicazione desideri crittografare, mentre viaggia sulla rete, utilizzando TLS. Questa scelta ti dà il controllo completo sulla sicurezza dei tuoi dati. Di solito, le persone crittografano il traffico sull'Internet pubblica, come ad esempio la comunicazione Bridge per la replica WAN. Tuttavia, per le applicazioni sensibili alla sicurezza, probabilmente dovresti crittografare il traffico tra client e server e tra server diversi.
Considerazioni sul certificato TLS
Quando si implementa TLS, i certificati vengono archiviati nel file MONITOR PERSONALI oppure Archivio dell'autorità di certificazione radice attendibile e sono disponibili presso entrambi i Utente ed macchina locale livelli. I certificati posizionati a livello di macchina locale sono accessibili a tutti gli utenti, mentre i certificati a livello di utente sono limitati a utenti specifici.
Inoltre, questi certificati richiedono la convalida. I certificati lato server devono essere convalidati sul lato client per TLS, verificando se il client si fida dell'autorità emittente del certificato. Se utilizzi un'emittente di certificati riconosciuta pubblicamente, potrebbe non essere necessario installare il certificato dell'emittente nell'archivio dell'autorità di certificazione radice attendibile del client. Tuttavia, per i certificati autofirmati o privati, è necessario assicurarsi che il certificato dell'emittente sia installato nell'archivio dell'autorità di certificazione radice attendibile sul lato client per evitare qualsiasi possibilità di Stretta di mano TLS fallimenti.
Per il TLS reciproco tra client e server, il client deve anche condividere il proprio certificato con il server. In questo caso, il server deve considerare attendibile l'autorità emittente del certificato del client, che il client deve inserire nell'archivio dell'autorità di certificazione radice attendibile del server. Allo stesso modo, quando si abilita TLS tra server, gli altri server coinvolti nella comunicazione devono convalidare i reciproci certificati.
NCache segue un ordine specifico durante la ricerca dei certificati sul box server:
- Macchina locale: radice attendibile
- Macchina locale: personale
- Utente: Radice attendibile
- Utente: personale
La comprensione di queste considerazioni garantirà la distribuzione di NCache La crittografia TLS funziona senza intoppi.
HTTPS per NCache Centro di gestione
Simile a TLS, HTTPS (Hypertext Transfer Protocol Secure) è un protocollo ampiamente utilizzato per proteggere la comunicazione su una rete. Come tale, NCache supporta HTTPS per NCache Management Center in Windows e Linux utilizzando certificati TLS.
In questa sezione
Configura autenticazione e autorizzazione
Spiega come configurare la sicurezza per nodi e cache.
Configura la crittografia per la cache
Descrive come abilitare e configurare la crittografia per la cache.
Configura la crittografia TLS
Descrive come abilitare e configurare la crittografia SSL per la cache in Windows e Linux.
Configura HTTPS per NCache Centro di gestione
Descrive come abilitare e configurare HTTPS per NCache Centro Direzionale.