Proteger o controlador de rede
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019 Windows Server 2016
Este artigo descreve como configurar a segurança para toda a comunicação entre o Controlador de Rede e outros softwares e dispositivos.
Os caminhos de comunicação que você pode proteger incluem comunicação no sentido norte no plano de gerenciamento, comunicação de cluster entre VMs (máquinas virtuais) do Controlador de Rede em um cluster e comunicação no sentido sul no plano de dados.
Comunicação no sentido norte. O Controlador de Rede se comunica no plano de gerenciamento com software de gerenciamento compatível com SDN, como Windows PowerShell e System Center Virtual Machine Manager (SCVMM). Essas ferramentas de gerenciamento fornecem a capacidade de definir a política de rede e criar um estado de meta para a rede, com a qual você pode comparar a configuração de rede real para colocar a configuração real em paridade com o estado de meta.
Comunicação de cluster do Controlador de Rede. Quando você configura três ou mais VMs como nós de cluster do Controlador de Rede, esses nós se comunicam entre si. Essa comunicação pode estar relacionada à sincronização e replicação de dados entre nós ou à comunicação específica entre os serviços do Controlador de Rede.
Comunicação no sentido sul. O Controlador de Rede se comunica no plano de dados com a infraestrutura de SDN e outros dispositivos, como balanceadores de carga de software, gateways e computadores host. Você pode usar o Controlador de Rede para configurar e gerenciar esses dispositivos de direção sul para que eles mantenham o estado de meta que você configurou para a rede.
Comunicação no sentido norte
O Controlador de Rede dá suporte à autenticação, autorização e criptografia para comunicação no sentido norte. As seções a seguir fornecem informações sobre como definir essas configurações de segurança.
Autenticação
Ao configurar a autenticação para a comunicação northbound do controlador de rede, você permite que os nós de cluster do Controlador de Rede e os clientes de gerenciamento verifiquem a identidade do dispositivo com o qual eles estão se comunicando.
O Controlador de Rede dá suporte aos três modos de autenticação a seguir entre clientes de gerenciamento e nós do Controlador de Rede.
Observação
Se você estiver implantando o Controlador de Rede com System Center Virtual Machine Manager, somente o modo Kerberos terá suporte.
Kerberos. Use a autenticação Kerberos ao ingressar o cliente de gerenciamento e todos os nós de cluster do Controlador de Rede em um domínio do Active Directory. O domínio do Active Directory deve ter contas de domínio usadas para autenticação.
X509. Use X509 para autenticação baseada em certificado para clientes de gerenciamento que não ingressaram em um domínio do Active Directory. Você deve registrar certificados em todos os nós de cluster e clientes de gerenciamento do Controlador de Rede. Além disso, todos os nós e clientes de gerenciamento devem confiar nos certificados uns dos outros.
None. Use None para fins de teste em um ambiente de teste e, portanto, não recomendado para uso em um ambiente de produção. Quando você escolhe esse modo, não há autenticação executada entre nós e clientes de gerenciamento.
Você pode configurar o modo de autenticação para comunicação northbound usando o comando Windows PowerShell Install-NetworkController com o parâmetro ClientAuthentication.
Autorização
Ao configurar a autorização para a comunicação northbound do controlador de rede, você permite que os nós de cluster do Controlador de Rede e os clientes de gerenciamento verifiquem se o dispositivo com o qual eles estão se comunicando é confiável e tem permissão para participar da comunicação.
Use os métodos de autorização a seguir para cada um dos modos de autenticação compatíveis com o Controlador de Rede.
Kerberos. Ao usar o método de autenticação Kerberos, você define os usuários e computadores autorizados a se comunicar com o Controlador de Rede criando um grupo de segurança no Active Directory e, em seguida, adicionando os usuários e computadores autorizados ao grupo. Você pode configurar o Controlador de Rede para usar o grupo de segurança para autorização usando o parâmetro ClientSecurityGroup do comando Windows PowerShell Install-NetworkController. Depois de instalar o Controlador de Rede, você pode alterar o grupo de segurança usando o comando Set-NetworkController com o parâmetro -ClientSecurityGroup. Se estiver usando o SCVMM, você deverá fornecer o grupo de segurança como um parâmetro durante a implantação.
X509. Quando você está usando o método de autenticação X509, o Controlador de Rede aceita apenas solicitações de clientes de gerenciamento cujas impressões digitais de certificado são conhecidas pelo Controlador de Rede. Você pode configurar essas impressões digitais usando o parâmetro ClientCertificateThumbprint do comando Windows PowerShell Install-NetworkController. Você pode adicionar outras impressões digitais do cliente a qualquer momento usando o comando Set-NetworkController.
None. Quando você escolhe esse modo, não há autenticação executada entre nós e clientes de gerenciamento. Use None para fins de teste em um ambiente de teste e, portanto, não recomendado para uso em um ambiente de produção.
Criptografia
A comunicação no sentido norte usa SSL (Secure Sockets Layer) para criar um canal criptografado entre clientes de gerenciamento e nós do Controlador de Rede. A criptografia SSL para comunicação no sentido norte inclui os seguintes requisitos:
Todos os nós do Controlador de Rede devem ter um certificado idêntico que inclua as finalidades de Autenticação de Servidor e Autenticação de Cliente em extensões de EKU (Uso Avançado de Chave).
O URI usado pelos clientes de gerenciamento para se comunicar com o Controlador de Rede deve ser o nome da entidade do certificado. O nome da entidade do certificado deve conter o FQDN (Nome de Domínio Totalmente Qualificado) ou o endereço IP do ponto de extremidade REST do controlador de rede.
Se os nós do Controlador de Rede estiverem em sub-redes diferentes, o nome da entidade de seus certificados deverá ser o mesmo que o valor usado para o parâmetro RestName no comando Windows PowerShell Install-NetworkController.
Todos os clientes de gerenciamento devem confiar no certificado SSL.
Registro e configuração de certificado SSL
Você deve registrar manualmente o certificado SSL em nós do Controlador de Rede.
Depois que o certificado for registrado, você poderá configurar o Controlador de Rede para usar o certificado com o parâmetro -ServerCertificate do comando Windows PowerShell Install-NetworkController. Se você já tiver instalado o Controlador de Rede, poderá atualizar a configuração a qualquer momento usando o comando Set-NetworkController.
Observação
Se você estiver usando o SCVMM, deverá adicionar o certificado como um recurso de biblioteca. Para obter mais informações, consulte Configurar um controlador de rede SDN na malha do VMM.
Comunicação de cluster do Controlador de Rede
O Controlador de Rede dá suporte à autenticação, autorização e criptografia para comunicação entre nós do Controlador de Rede. A comunicação é por meio do WCF (Windows Communication Foundation) e do TCP.
Você pode configurar esse modo com o parâmetro ClusterAuthentication do comando Windows PowerShell Install-NetworkControllerCluster.
Para saber mais, confira Install-NetworkControllerCluster.
Autenticação
Ao configurar a autenticação para a comunicação do Cluster do Controlador de Rede, você permite que os nós de cluster do Controlador de Rede verifiquem a identidade dos outros nós com os quais eles estão se comunicando.
O Controlador de Rede dá suporte aos três modos de autenticação a seguir entre clientes de gerenciamento e nós do Controlador de Rede.
Observação
Se você implantar o Controlador de Rede usando o SCVMM, somente o modo Kerberos terá suporte.
Kerberos. Você pode usar a autenticação Kerberos quando todos os nós de cluster do Controlador de Rede são ingressados em um domínio do Active Directory, com contas de domínio usadas para autenticação.
X509. X509 é autenticação baseada em certificado. Você pode usar a autenticação X509 quando os nós de cluster do Controlador de Rede não estiverem ingressados em um domínio do Active Directory. Para usar X509, você deve registrar certificados em todos os nós de cluster do Controlador de Rede e todos os nós devem confiar nos certificados. Além disso, o nome da entidade do certificado registrado em cada nó deve ser o mesmo que o nome DNS do nó.
None. Quando você escolhe esse modo, não há nenhuma autenticação executada entre nós do Controlador de Rede. Esse modo é fornecido apenas para fins de teste e não é recomendado para uso em um ambiente de produção.
Autorização
Ao configurar a autorização para a comunicação do Cluster do Controlador de Rede, você permite que os nós de cluster do Controlador de Rede verifiquem se os nós com os quais estão se comunicando são confiáveis e têm permissão para participar da comunicação.
Para cada um dos modos de autenticação suportados pelo Controlador de Rede, são usados os seguintes métodos de autorização.
Kerberos. Os nós do Controlador de Rede aceitam solicitações de comunicação somente de outras contas de computador do Controlador de Rede. Você pode configurar essas contas ao implantar o Controlador de Rede usando o parâmetro Name do comando New-NetworkControllerNodeObject do Windows PowerShell.
X509. Os nós do Controlador de Rede aceitam solicitações de comunicação somente de outras contas de computador do Controlador de Rede. Você pode configurar essas contas ao implantar o Controlador de Rede usando o parâmetro Name do comando New-NetworkControllerNodeObject do Windows PowerShell.
None. Quando você escolhe esse modo, não há autorização executada entre nós do Controlador de Rede. Esse modo é fornecido apenas para fins de teste e não é recomendado para uso em um ambiente de produção.
Criptografia
A comunicação entre nós do Controlador de Rede é criptografada usando a criptografia de nível de transporte do WCF. Essa forma de criptografia é usada quando os métodos de autenticação e autorização são certificados Kerberos ou X509. Para obter mais informações, consulte os tópicos a seguir.
- Como: proteger um serviço com credenciais do Windows
- Como: proteger um serviço com um certificado X.509.
Comunicação no sentido sul
O Controlador de Rede interage com diferentes tipos de dispositivos para comunicação no sentido sul. Essas interações usam protocolos diferentes. Por isso, há requisitos diferentes para autenticação, autorização e criptografia, dependendo do tipo de dispositivo e protocolo usado pelo Controlador de Rede para se comunicar com o dispositivo.
A tabela a seguir fornece informações sobre a interação do Controlador de Rede com diferentes dispositivos no sentido sul.
Dispositivo/serviço no sentido sul | Protocolo | Autenticação usada |
---|---|---|
Balanceador de Carga de Software | WCF (MUX), TCP (Host) | Certificados |
Firewall | OVSDB | Certificados |
Gateway | WinRM | Kerberos, Certificados |
Rede Virtual | OVSDB, WCF | Certificados |
Roteamento definido pelo usuário | OVSDB | Certificados |
Para cada um desses protocolos, o mecanismo de comunicação é descrito na seção a seguir.
Autenticação
Para comunicação no sentido sul, os protocolos e métodos de autenticação a seguir são usados.
WCF/TCP/OVSDB. Para esses protocolos, a autenticação é executada usando certificados X509. O Controlador de Rede e os computadores MUX (Multiplexer) de Balanceamento de Carga de Software (SLB) par apresentam seus certificados uns aos outros para autenticação mútua. Cada certificado deve ser confiável pelo par remoto.
Para autenticação no sentido sul, você pode usar o mesmo certificado SSL configurado para criptografar a comunicação com os clientes no sentido norte. Você também deve configurar um certificado no SLB MUX e nos dispositivos host. O nome da entidade do certificado deve ser o mesmo que o nome DNS do dispositivo.
WinRM. Para esse protocolo, a autenticação é executada usando Kerberos (para computadores ingressados no domínio) e usando certificados (para computadores não ingressados no domínio).
Autorização
Para comunicação no sentido sul, os protocolos e métodos de autenticação a seguir são usados.
WCF/TCP. Para esses protocolos, a autorização é baseada no nome do assunto da entidade par. O Controlador de Rede armazena o nome DNS do dispositivo par e o usa para autorização. Esse nome DNS deve corresponder ao nome da entidade do dispositivo no certificado. Da mesma forma, o certificado do Controlador de Rede deve corresponder ao nome DNS do Controlador de Rede armazenado no dispositivo par.
WinRM. Se o Kerberos estiver sendo usado, a conta do cliente WinRM deverá estar presente em um grupo predefinido no Active Directory ou no grupo Administradores Locais no servidor. Se os certificados estiverem sendo usados, o cliente apresentará um certificado ao servidor que o servidor autoriza usando o nome/emissor da entidade e o servidor usará uma conta de usuário mapeada para executar a autenticação.
OVSDB. A autorização é baseada no nome do assunto da entidade par. O Controlador de Rede armazena o nome DNS do dispositivo par e o usa para autorização. Esse nome DNS deve corresponder ao nome da entidade do dispositivo no certificado.
Criptografia
Para comunicação no sentido sul, os métodos de criptografia a seguir são usados para protocolos.
WCF/TCP/OVSDB. Para esses protocolos, a criptografia é executada usando o certificado registrado no cliente ou servidor.
WinRM. O tráfego WinRM é criptografado por padrão usando o SSP (provedor de suporte de segurança) Kerberos. Você pode configurar a Criptografia adicional, na forma de SSL, no servidor WinRM.