Configurar segurança
NCache entende a necessidade de qualquer software de nível empresarial ter segurança hermética e, portanto, oferece uma variedade de recursos para garantir que os usuários não sacrifiquem sua segurança em prol do desempenho. Esses recursos incluem definição de permissões de acesso para caches/nós, criptografia, segurança de rede e muito mais.
Autenticação e autorização
NCache oferece segurança integrada ao LDAP para proteger nós de cache. Depois que um nó é protegido, existem dois níveis de acesso definidos nesse nó. Um está relacionado às operações de gerenciamento junto com outras operações de cache. Enquanto o outro é limitado ao acesso à API do cache.
Note
Todos os caches em um nó seguro são protegidos automaticamente.
Para obter todos os benefícios desses níveis de acesso NCache oferece suporte a dois tipos de usuários LDAP: Administradores de nós (Usuários/Grupos) e Usuários de cache (Usuários/Grupos). Desde NCache não possui seus mecanismos de autenticação e todos os usuários adicionados são primeiro autenticados com suas credenciais LDAP. Quando um usuário LDAP registrado é adicionado ao NCache sempre há uma verificação de validação através do controlador de domínio para verificar se este usuário está registrado no domínio ou não. Neste cenário, se a conexão com o controlador de domínio for interrompida, a validação falhará e o usuário não poderá executar nenhuma operação.
Para evitar isso, NCache ofertas Cache de credenciais onde as credenciais do usuário são armazenadas em NCache para que um usuário já autenticado não precise ser autenticado repetidamente durante a vida do processo. Está habilitado por padrão e o usuário pode desabilitá-lo configurando o NCacheServer.EnableCredentialCaching
etiqueta Falso no arquivo de configuração do serviço.
Administradores de nós
Administradores de nós são Superusuários e ter controle total sobre o cache - eles podem criar, modificar, remover caches e realizar qualquer outra operação de gerenciamento de cache. Os administradores de nós podem salvar ou descartar configurações de segurança se previamente estabelecidas. Eles também são capazes de herdar as capacidades dos usuários de cache para acessar e interagir com caches usando o NCache API.
Usuários de cache
No entanto, se você quiser limitar alguns usuários a terem apenas acesso à API do cache e não quiser que eles executem nenhuma operação de gerenciamento, configurar o Usuário do Cache é sua opção preferida. Onde você pode restringir o usuário a realizar operações de dados, incluindo Adicionar, Remover, Atualizar e Recuperar apenas por meio das APIs relevantes.
Mas, se você não quiser definir diferentes níveis de acesso para seus usuários e permitir que todos eles realizem todos os tipos de operações no cache. Então, não há necessidade de configurar o usuário do cache, pois os administradores do nó têm todos os direitos para gerenciar e operar o cache sem problemas.
Configurações de segurança homogêneas
Depois de estabelecer configurações de segurança para um nó, você precisa garantir que todos os nós desse cluster tenham configurações de segurança semelhantes. O usuário que atua como administrador de nó em um nó deve ser o administrador em todos os outros nós desse cluster. Da mesma forma, o usuário que atua como usuário de cache em um nó deve ser um usuário de cache nos demais nós.
Se as configurações de segurança homogêneas não forem garantidas em todos os nós de um cluster, você poderá encontrar diferentes problemas ao gerenciar e operar o cache.
Note
Um nó seguro como o primeiro nó em um cluster de cache deve impedir a adição de nós vulneráveis.
Note
Um nó vulnerável como o primeiro nó em um cluster de cache impedirá a adição de nós protegidos.
Criptografia de dados
Em sistemas de cache distribuído, a comunicação ocorre principalmente pelos canais de rede. Os dados viajam e residem no cache em sua forma serializada, e qualquer pessoa que esteja espionando sua conexão poderá interceptar seus dados facilmente se não estiverem criptografados. NCache A criptografia de dados permite que as informações sejam convertidas em texto cifrado. Somente autorizados (ou seja, pessoas com a chave apropriada) podem decifrar o código e acessar as informações originais.
Criptografia TLS
Enquanto NCache inclui um Criptografia de dados recurso, ele protege os dados na memória e durante a transmissão pela rede. No entanto, a criptografia de dados acarreta um custo adicional de desempenho. Por outro lado, Transport Layer Security (TLS) fornece uma abordagem mais abrangente para proteger dados durante a transmissão em rede, seguindo práticas padrão do setor.
Embora o TLS também tenha um impacto no desempenho, ele tende a consumir menos recursos do que a alternativa, ou seja, a criptografia de dados. Como tal, é mais crucial NCache operações, que envolvem dados trafegando pela rede de diversas maneiras:
- Entre servidores e clientes
- Entre diferentes servidores
- Entre caches e pontes
In NCache, você pode decidir que tipo de comunicação deseja criptografar, à medida que ela trafega pela rede, usando TLS. Esta escolha oferece controle total sobre a segurança dos seus dados. Normalmente, as pessoas criptografam o tráfego na Internet pública, como a comunicação Bridge para replicação WAN. No entanto, para aplicativos sensíveis à segurança, você provavelmente deverá criptografar o tráfego entre clientes e servidores e entre servidores diferentes.
Considerações sobre certificado TLS
Ao implementar o TLS, os certificados são armazenados no Pessoal ou de Armazenamento de autoridade de certificação raiz confiável e estão disponíveis tanto no usuário e máquina local níveis. Os certificados colocados no nível da máquina local são acessíveis a todos os usuários, enquanto os certificados no nível do usuário são limitados a usuários específicos.
Além disso, esses certificados requerem validação. Os certificados do lado do servidor devem ser validados no cliente para TLS, verificando se o cliente confia na autoridade emissora do certificado. Se você estiver usando um emissor de certificado reconhecido publicamente, talvez não seja necessário instalar o certificado do emissor no armazenamento da Autoridade de Certificação Raiz Confiável do cliente. Entretanto, para certificados autoassinados ou privados, você deve garantir que o certificado do emissor esteja instalado no armazenamento da Autoridade de Certificação Raiz Confiável no lado do cliente para evitar qualquer chance de Handshake TLS falhas.
Para TLS mútuo entre clientes e servidores, o cliente também deve compartilhar seu certificado com o servidor. Nesse caso, o servidor deve confiar na autoridade emissora do certificado do cliente, que o cliente deve colocar no armazenamento da Autoridade de Certificação Raiz Confiável do servidor. Da mesma forma, ao habilitar o TLS entre servidores, os demais servidores envolvidos na comunicação devem validar os certificados uns dos outros.
NCache segue uma ordem específica ao procurar certificados na caixa do servidor:
- Máquina local: raiz confiável
- Máquina Local: Pessoal
- Usuário: Raiz confiável
- Usuário: Pessoal
A compreensão dessas considerações garantirá a implantação de NCache A criptografia TLS funciona perfeitamente.
HTTPS para NCache Centro de Gerenciamento
Semelhante ao TLS, HTTPS (Hypertext Transfer Protocol Secure) é um protocolo amplamente utilizado para proteger a comunicação em uma rede. Como tal, NCache suporta HTTPS para NCache Centro de Gerenciamento em Windows e Linux usando certificados TLS.
Nesta secção
Configurar autenticação e autorização
Explica como configurar a segurança para nós e caches.
Configurar criptografia para cache
Descreve como habilitar e configurar a criptografia para cache.
Configurar criptografia TLS
Descreve como habilitar e configurar a criptografia SSL para cache no Windows e no Linux.
Configurar HTTPS para NCache Centro de Gerenciamento
Descreve como ativar e configurar HTTPS para NCache Centro de Gestão.