Segurança de cache em NCache: Uma visão geral
Note
Este recurso está disponível apenas em NCache Enterprise edição.
O cache distribuído opera em um ambiente com acesso a vários usuários diferentes, onde qualquer usuário pode alterar a configuração do cache, realizar qualquer operação de gerenciamento ou acessar os dados do cache sem nenhuma restrição. A preocupação com a segurança do cache surge quando você está lidando com dados críticos ou não deseja que todos tenham direitos de acesso administrativo ao seu servidor de cache além da lista de usuários autorizados. NCache mecanismo de segurança funciona com qualquer serviço de diretório com suporte LDAP.
Todos os usuários são autenticados em relação aos Serviços de Diretório com suporte LDAP. NCache fornece o suporte de dois controladores de domínio LDAP (primário e secundário) para garantir a tolerância a falhas em suas operações de nível gerencial e de API. Entre esses controladores, o controlador de domínio primário é obrigatório para habilitar a segurança de suas operações, enquanto o controlador secundário é opcional. Caso seus dados sejam sensíveis o suficiente para que você não possa ter seu controlador de domínio (primário) inativo, você pode registrar um controlador secundário. Se o seu controlador primário ficar inativo, todas as autenticações de segurança serão atendidas pelo controlador secundário.
NCache fornece um recurso de segurança com diferentes níveis de granularidade que você pode implementar de acordo com seus requisitos.
Níveis de acesso de segurança
NCache recurso de segurança incorpora segurança em dois níveis de acesso distintos:
- Nível Administrativo/Gestão
- Nível da API de cache
Esses níveis de segurança destinam-se a proteger tanto o gerenciamento quanto o acesso no nível do cliente ao seu cache. Por padrão, o recurso de segurança está desabilitado para ambos os níveis de acesso. Você pode habilitar a segurança fornecendo os parâmetros mencionados no Propriedades seção.
Segurança de Nível Administrativo/Gerenciador
Segurança de nível gerencial em NCache garante que um nó de cluster remoto seja protegido contra qualquer acesso de usuário não autorizado. Ele é usado para validar usuários autorizados que têm acesso para executar qualquer operação relacionada ao gerenciamento e configuração em um nó do cluster.
Para proteger um cluster geral de cache de vários nós, você deve habilitar a segurança em cada nó individual do cluster.
Ferramentas administrativas como as ferramentas Manager e PowerShell são integradas à estrutura de segurança e oferecem a opção de realizar operações em um ambiente seguro.
Para saber como configurar a segurança em um nó, consulte Configurando Segurança in NCache Guia dos administradores.
Benefícios de habilitar a segurança no nível de gerenciamento
Uma vez, você configura a segurança de nível de gerenciamento em seu nó de servidor permitindo que poucos usuários tenham permissões administrativas, nenhum usuário além dos especificados terá acesso para realizar qualquer operação de gerenciamento em seu nó, como:
- Criar novo cache
- Remover cache existente
- Adicionar cache existente
- Iniciar cache
- Parar cache
- Reiniciar cache
- Atualizar cache
- Salvar alterações de configuração
Administrador de sistema privilegiado
A lista de usuários autorizados é adicionada em segurança.ncconf. Os administradores dessa máquina podem ativar a segurança. Os usuários que não estejam configurados como administradores do nó não têm permissão para executar nenhuma operação relacionada ao gerenciamento em seu nó. Mas há uma exceção: um usuário também recebe permissões administrativas se ele for o administrador do sistema local nesse sistema.
Isso significa que um administrador de janela local sempre tem direitos e permissões administrativos, independentemente de a operação gerencial ser executada localmente ou de qualquer outro nó do servidor, usando credenciais locais do Windows. Portanto, se um nó não estiver autorizado como administrador e você estiver usando esse nó para executar uma operação em sua máquina pessoal, tudo o que você precisa é fornecer as credenciais do seu sistema e você tem permissão para fazer qualquer operação de gerenciamento remoto em seu sistema.
Segurança no nível da API de cache
Segurança de nível de cache em NCache garante que os dados do cache sejam protegidos de qualquer acesso de usuário não autorizado. A segurança no nível da API de cache é usada para validar usuários autorizados que tentam estabelecer uma conexão com o cache via NCache API. Ao habilitar a segurança em nível de cache, você pode controlar se todos ou poucos clientes podem acessar os dados de cache do cluster para leitura ou gravação. Somente clientes verificados como usuários válidos e autenticados têm permissão para executar operações de nível de cache.
Para saber como configurar a segurança em um cache, consulte Configurando a segurança para cache in NCache Guia dos administradores.
Benefícios de habilitar a segurança no nível da API
Depois de configurar a segurança de nível de cache em um cache, nenhum usuário além daqueles especificados para ter autorização de API terá acesso para executar qualquer operação de cache no cache, como:
- Conectar ao cache
- Obter dados
- Adicionar dados
- Remover/atualizar dados etc.
Se a segurança estiver habilitada em um cache, as credenciais devem ser fornecidas junto com o GetCache
chamada para estabelecer uma conexão. Para cada cache, esta lista de usuários autorizados é mantida no <cache-settings>
Seção de config.ncconf.
Propriedades
Você pode ativar a segurança fornecendo as seguintes credenciais:
parâmetros | Descrição | Exemplo |
---|---|---|
Domain Controller |
Servidor primário responsável pela autenticação de segurança. | seudomínioprincipal |
Secondary Domain Controller |
Servidor secundário responsável pela autenticação de segurança se o primário não estiver disponível. | seudomínio secundário |
Search Base |
Uma string responsável por preencher os usuários do domínio no gerenciador da web. | OU=admin,DC=seudomínio,DC=org |
Port |
Número da porta na qual o controlador de domínio está sendo executado. | 389 |
User Name |
ID do usuário. | john_smith |
User DN |
DN é um nome distinto usado para especificar a posição de um usuário no sistema de arquivos. Ações como adicionar/remover usuário e ativar/desativar a segurança requerem DN do usuário. | CN=John Smith,OU=admin,DC=seudomínio,DC=org |
Password |
Uma string segura usada para autorizar as credenciais de um usuário. | sua senha |
Veja também
NCache Criptografia de dados
Processamento de fluxo em cache
Configurando Segurança