Freigeben über


Orchestrator-Datenverschlüsselung

 

Veröffentlicht: März 2016

Gilt für: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator

Die folgenden Abschnitte enthalten Informationen zur Datenverschlüsselung in Orchestrator:

  • Welche Daten in Orchestrator sind verschlüsselt und welche entschlüsselt?

  • Wie werden verschlüsselte Daten in Orchestrator verwaltet?

  • Wie können verschlüsselte Daten zwischen Orchestrator-Instanzen verschoben werden?

Bewährte Methoden für verschlüsselte Variablen

Verschlüsselte Variablen wurden in System Center 2012 – Orchestrator neu eingeführt. Mithilfe von verschlüsselten Variablen können Sie Runbookaktivitäten sensible Daten auf sicherere Weise bereitstellen. Verschlüsselte Variablen werden genauso wie globale Standardvariablen eingesetzt, d. h. mithilfe eines Abonnements. Wenn Sie diese Variablen in Aktivitätsfeldern abonnieren, die erneut veröffentlicht werden, kann der Inhalt der Variablen im Datenbus verfügbar gemacht werden. Abonnieren Sie verschlüsselte Variablen daher nur in Feldern, die nicht erneut veröffentlicht werden. Diese bewährte Methode wird in Orchestrator nicht erzwungen, sollte aber Teil Ihres Planungsprozesses sein.

Wenn jedoch verschlüsselte Daten im Datenbus veröffentlicht werden müssen, um an ein anderes System gesendet zu werden (z. B. ein Produkt, das auf einem anderen Server ausgeführt wird), müssen Sie sicherstellen, dass der Kanal zu diesem Produkt sicher ist. Von BMC Remedy wird beispielsweise ein sicherer Modus für Verbindungen unterstützt. Bei Produkten mit Webschnittstellen sind meist SSL-Verbindungen (Secure Sockets Layer) unter Verwendung des HTTPS-Protokolls möglich.

Welche Daten in Orchestrator sind verschlüsselt und welche entschlüsselt?

Orchestrator bietet einen Codesatz mit Verschlüsselungs- und Entschlüsselungsdiensten, die zum Erzeugen von verschlüsselten Daten für die Orchestrator-Plattform verwendet werden. Mithilfe dieser Dienste werden Daten, die für die Verschlüsselung in der Orchestrator-Datenbank gekennzeichnet sind, abgesichert sowie zur Verwendung im Runbook in Klartext umgewandelt (entschlüsselt). Diese zentralen Verschlüsselungsdienste werden von der Orchestrator-Datenbank und dem Management-Server verwaltet. Die Rechte für diese Dienste werden über die Mitgliedschaft in der Orchestrator-Benutzergruppe oder der Orchestrator-Systemgruppe gewährt.

System_CAPS_ICON_note.jpg Hinweis

Orchestrator-Runbooks können durch einen externen Verschlüsselungsdienst verschlüsselte Daten enthalten, die als veröffentliche Runbookdaten verwendet werden. Daten von solchen externen Systemen werden von Orchestrator genauso wie andere Daten behandelt.

Für die folgenden Funktionsbereiche wird von Orchestrator die Verschlüsselung verwendet:

Funktionsbereich Beschreibung
Runbookaktivitäten Jede Eigenschaft, die bei der Eingabe in ein Feld maskiert wird, ist eine verschlüsselte Eigenschaft. Dazu zählen Kennwörter auf der Registerkarte Informationen zu Sicherheitsberechtigungen, aber auch andere Eigenschaften.
Menü Optionen Über das Menü Optionen werden Anmeldeinformationen und andere für die Konfiguration von Integrationspaketen verwendete Informationen gespeichert. Eigenschaften von Verbindungseinstellungen können verschlüsselte Eigenschaften enthalten.
Variablen Variablen, für die das Kontrollkästchen Verschlüsselte Variable aktiviert ist, werden verschlüsselt.
System_CAPS_ICON_note.jpg Hinweis

Verschlüsselte Variablen sind bei der Verwendung von Abonnements für Eigenschaften gedacht, die einen verschlüsselten Wert erfordern, z. b. ein in einer Runbookaktivität verwendetes Kennwort. Wenn eine verschlüsselte Variable für ein nicht verschlüsseltes Feld abonniert ist, wird der verschlüsselte Wert bereitgestellt. Der Klartextwert ist nur bei Verwendung für eine verschlüsselte Eigenschaft verfügbar.

Wie werden verschlüsselte Daten in Orchestrator verwaltet?

Orchestrator verfügt über einen zentralen Kryptografiedienst, dessen Design auf AES und der SQL Server-Verschlüsselung auf Zellenebene basiert. Daher erfolgt die gesamte Ver- und Entschlüsselung zentral über SQL Server. Verschlüsselungsschlüssel werden zentral von SQL Server verwaltet. Zum Verschlüsseln und Entschlüsseln von Daten werden sowohl der SQL Server-Diensthauptschlüssel als auch der Orchestrator-Datenbankhauptschlüssel benötigt.

Kryptografie wird von Orchestrator sowohl zur Laufzeit als auch zur Entwurfszeit verwendet. Runbookautoren interagieren in Runbook Designer mit Runbookaktivitäten. Von diesen Aktivitäten wird häufig mit externen Systemen kommuniziert, um Eigenschaftenraster, Listenwerte und andere Eigenschaften zu ermitteln. Auch wenn ein Runbook in Runbook Tester getestet wird, müssen die in der geschützten Feldern bereitgestellten verschlüsselten Daten entschlüsselt werden, damit sie an das Zielsystem weitergeleitet werden können. Schließlich müssen Runbook Server in der Lage sein, verschlüsselte Daten zu entschlüsseln, um Runbooks die Interaktion mit externen Systemen zu ermöglichen. Daher müssen Runbook Server, Runbook Designer und Runbook Tester auf die kryptografischen Dienste der Datenbank zugreifen können.

Da die zentralen kryptografischen Dienste in der Orchestrator-Datenbank angesiedelt sind, wird der Zugriff auf die Datenbank im Prinzip über den Zugriff auf die unverschlüsselten Daten definiert.

  • Von Runbook-Servern wird direkt auf die Datenbank zugegriffen. Sie haben daher auch direkten Zugriff auf die kryptografischen Dienste von SQL Server. Der Laufzeitzugriff auf die von SQL Server bereitgestellten kryptografischen Dienste ist nur den Mitgliedern der Orchestrator-Systemgruppe vorbehalten.

  • Der Zugriff von Runbook Designer und Runbook Tester auf die Datenbank erfolgt indirekt über den Management-Server. Vom Management-Server wird ein neuer Dienst angeboten, mit dem Verschlüsselungs-/Entschlüsselungsanforderungen von Runbook Designer und Runbook Tester erfüllt werden. Vom Management-Server wird der Sicherheitskontext des Runbookautors weitergeleitet, und die entsprechenden Anmeldeinformationen werden für den Zugriff auf die Kryptografiedienste verwendet. Der Entwurfszeitzugriff auf die von SQL Server bereitgestellten kryptografischen Dienste ist nur den Mitgliedern der Orchestrator-Benutzergruppe vorbehalten.

Der Zugriff auf verschlüsselte Daten aus Orchestrator wird über die Orchestrator-Benutzergruppe und die Orchestrator-Systemgruppe verwaltet. Mitglieder dieser beiden Sicherheitsgruppen verfügen über weitreichenden administrativen Zugriff auf Orchestrator, einschließlich der Rechte zum Zugriff auf die zentralen kryptografischen Dienste sowie zum Entschlüsseln der in der Datenbank gespeicherten verschlüsselten Daten.

Wie können verschlüsselte Daten zwischen Orchestrator-Instanzen verschoben werden?

Bei der Installation der Orchestrator-Datenbank wird ein Hauptverschlüsselungsschlüssel für die Datenbank erstellt. Dieser Datenbankhauptschlüssel wird zusammen mit dem SQL Server-Hauptschlüssel zum Verschlüsseln und Entschlüsseln von in der Orchestrator-Datenbank gespeicherten Daten verwendet. Das heißt, dass verschlüsselte Daten an die Instanz von SQL Server 2008 R2 gebunden sind, mit der die Daten verschlüsselt wurden. Nur wenn sowohl der Datenbankhauptschlüssel als auch der Serverhauptschlüssel mit denen des Systems übereinstimmen, auf dem die Daten verschlüsselt wurden, können verschlüsselte Zeichenfolgen aus einer Spalte einer Instanz von SQL Server 2008 R2 kopiert, deren Werte in einer anderen Instanz der Orchestrator-Datenbank eingefügt und die Daten dann entschlüsselt werden.

Voraussetzung für das Verschieben von verschlüsselten Daten zwischen Orchestrator-Instanzen ist daher eines der beiden folgenden Szenarien:

  1. Sowohl der SQL Server-Diensthauptschlüssel als auch der Orchestrator-Datenbankhauptschlüssel stimmen mit den Schlüsseln des Systems überein, auf dem die Daten ursprünglich verschlüsselt wurden.

  2. Die Runbooks und die zugehörigen verschlüsselten Daten werden exportiert und dann in das neue System importiert.

Durch die Exportfunktion wird eine Exportdatei erstellt, deren verschlüsselte Daten mit einem vom Benutzer während des Exports angegebenen Kennwort verschlüsselt wurden. Diese Exportdatei enthält verschlüsselte Daten, die mithilfe desselben Kennworts beim Import entschlüsselt werden können. Die Daten werden mithilfe der Verschlüsselungsschlüssel der neuen Datenbank in der Datenbank verschlüsselt und gespeichert.