Compartir a través de


Proteger la controladora de red

Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

En este artículo se describe cómo configurar la seguridad para toda la comunicación entre controladora de red y otros software y dispositivos.

Las rutas de comunicación que puede proteger incluyen la comunicación northbound en el plano de administración, la comunicación de clúster entre las máquinas virtuales (VM) de Controladora de red en un clúster, y la comunicación southbound en el plano de datos.

  1. Comunicación northbound. Controladora de red se comunica en el plano de administración con software de administración compatible con SDN (redes definidas por software), como Windows PowerShell y System Center Virtual Machine Manager (SCVMM). Estas herramientas de administración le proporcionan la capacidad de definir la directiva de red y crear un estado objetivo para la red, con el que puede comparar la configuración de red real para poner la configuración real en paridad con el estado objetivo.

  2. Comunicación de clúster de Controladora de red. Al configurar tres o más máquinas virtuales como nodos de clúster de Controladora de red, estos nodos se comunican entre sí. Esta comunicación puede estar relacionada con la sincronización y replicación de datos entre nodos o con una comunicación específica entre los servicios de Controladora de red.

  3. Comunicación southbound. Controladora de red se comunica en el plano de datos con la infraestructura de SDN y otros dispositivos, como equilibradores de carga de software, puertas de enlace y máquinas host. Puede usar Controladora de red para configurar y administrar estos dispositivos southbound para que mantengan el estado objetivo que ha configurado para la red.

Comunicación northbound

Controladora de red admite la autenticación, la autorización y el cifrado para la comunicación northbound. En las secciones siguientes se proporciona información sobre cómo configurar estas opciones de seguridad.

Authentication

Al configurar la autenticación para la comunicación northbound de controladora de red, permite que los nodos de clúster de controladora de red y los clientes de administración comprueben la identidad del dispositivo con el que se comunican.

Controladora de red admite los siguientes tres modos de autenticación entre los clientes de administración y los nodos de Controladora de red.

Nota

Si va a implementar controladora de red con System Center Virtual Machine Manager, solo se admite el modo Kerberos.

  1. Kerberos. Use la autenticación Kerberos al unir el cliente de administración y todos los nodos de clúster de Controladora de red a un dominio de Active Directory. El dominio de Active Directory debe tener cuentas de dominio usadas para la autenticación.

  2. X509. Use X509 para la autenticación basada en certificados para los clientes de administración que no están unidos a un dominio de Active Directory. Debe inscribir certificados en todos los nodos de clúster de Controladora de red y clientes de administración. Además, todos los nodos y clientes de administración deben confiar en los certificados de los demás.

  3. No. Use None con fines de prueba en un entorno de prueba y, por lo tanto, no se recomienda su uso en un entorno de producción. Al elegir este modo, no se realiza ninguna autenticación entre nodos y clientes de administración.

Puede configurar el modo de autenticación para la comunicación northbound mediante el comando install-NetworkController de Windows PowerShell con el parámetro ClientAuthentication.

Autorización

Al configurar la autorización para la comunicación northbound de controladora de red, permite que los nodos de clúster de controladora de red y los clientes de administración comprueben que el dispositivo con el que se comunican es de confianza y tiene permiso para participar en la comunicación.

Use los siguientes métodos de autorización para cada uno de los modos de autenticación admitidos por Controladora de red.

  1. Kerberos. Cuando se usa el método de autenticación Kerberos, se definen los usuarios y equipos autorizados para comunicarse con controladora de red mediante la creación de un grupo de seguridad en Active Directory y, a continuación, se agregan los usuarios y equipos autorizados al grupo. Puede configurar Controladora de red para usar el grupo de seguridad para la autorización mediante el parámetro ClientSecurityGroup del comando Install-NetworkController de Windows PowerShell. Después de instalar Controladora de red puede cambiar el grupo de seguridad mediante el comando Set-NetworkController con el parámetro -ClientSecurityGroup. Si usa SCVMM, debe proporcionar el grupo de seguridad como parámetro durante la implementación.

  2. X509. Cuando se usa el método de autenticación X509, Controladora de red solo acepta solicitudes de clientes de administración cuyas huellas digitales de certificado se conocen como Controladora de red. Puede configurar estas huellas digitales mediante el parámetro ClientCertificateThumbprint del comando Install-NetworkController de Windows PowerShell. Puede agregar otras huellas digitales de cliente en cualquier momento mediante el comando Set-NetworkController.

  3. No. Al elegir este modo, no se realiza ninguna autenticación entre nodos y clientes de administración. Use None con fines de prueba en un entorno de prueba y, por lo tanto, no se recomienda su uso en un entorno de producción.

Cifrado

La comunicación northbound usa Capa de sockets seguros (SSL) para crear un canal cifrado entre los clientes de administración y los nodos de Controladora de red. El cifrado SSL para la comunicación northbound incluye los siguientes requisitos:

  • Todos los nodos de controladora de red deben tener un certificado idéntico que incluya los fines de autenticación de servidor y autenticación de cliente en extensiones de uso mejorado de clave (EKU).

  • El URI usado por los clientes de administración para comunicarse con Controladora de red debe ser el nombre del firmante del certificado. El nombre del firmante del certificado debe contener el nombre de dominio completo (FQDN) o la dirección IP del punto de conexión de REST de Controladora de red.

  • Si los nodos de Controladora de red están en subredes diferentes, el nombre del firmante de sus certificados debe ser el mismo que el valor usado para el parámetro RestName en el comando Install-NetworkController de Windows PowerShell.

  • Todos los clientes de administración deben confiar en el certificado SSL.

Configuración y inscripción de certificados SSL

Debe inscribir manualmente el certificado SSL en los nodos de Controladora de red.

Una vez inscrito el certificado, puede configurar Controladora de red para usar el certificado con el parámetro -ServerCertificate del comando Install-NetworkController de Windows PowerShell. Si ya ha instalado Controladora de red, puede actualizar la configuración en cualquier momento mediante el comando Set-NetworkController.

Nota

Si usa SCVMM, debe agregar el certificado como recurso de biblioteca. Para obtener más información, consulte Configuración de una controladora de red de SDN en el tejido de VMM.

Comunicación de clúster de Controladora de red

Controladora de red admite la autenticación, la autorización y el cifrado para la comunicación entre sus nodos. La comunicación se realiza a través de Windows Communication Foundation (WCF) y TCP.

Puede configurar este modo con el parámetro ClusterAuthentication del comando Install-NetworkControllerCluster de Windows PowerShell.

Para obtener más información consulte Install-NetworkControllerCluster.

Authentication

Al configurar la autenticación para la comunicación de clúster de controladora de red, permite que los nodos de clúster de controladora de red comprueben la identidad de los demás nodos con los que se comunican.

Controladora de red admite los tres modos siguientes de autenticación entre sus nodos.

Nota

Si implementa Controladora de red mediante SCVMM, solo se admite el modo Kerberos.

  1. Kerberos. Puede usar la autenticación Kerberos cuando todos los nodos de clúster de Controladora de red están unidos a un dominio de Active Directory, con cuentas de dominio usadas para la autenticación.

  2. X509. X509 es la autenticación basada en certificados. Puede usar la autenticación X509 cuando los nodos de clúster de Controladora de red no están unidos a un dominio de Active Directory. Para usar X509 debe inscribir certificados en todos los nodos de clúster de Controladora de red y todos los nodos deben confiar en los certificados. Además, el nombre del firmante del certificado inscrito en cada nodo debe ser el mismo que el nombre DNS del nodo.

  3. No. Al elegir este modo, no se realiza ninguna autenticación entre los nodos de controladora de red. Este modo solo se proporciona con fines de prueba y no se recomienda para su uso en un entorno de producción.

Authorization

Al configurar la autorización para la comunicación de clúster de controladora de red, permite que los nodos de clúster de controladora de red comprueben que los nodos con los que se comunican son de confianza y tienen permiso para participar en la comunicación.

Para cada uno de los modos de autenticación admitidos por Controladora de red, se usan los métodos de autorización siguientes.

  1. Kerberos. Los nodos de Controladora de red aceptan solicitudes de comunicación solo de otras cuentas de máquina de Controladora de red. Puede configurar estas cuentas al implementar Controladora de red mediante el parámetro Name del comando New-NetworkControllerNodeObject de Windows PowerShell.

  2. X509. Los nodos de Controladora de red aceptan solicitudes de comunicación solo de otras cuentas de máquina de Controladora de red. Puede configurar estas cuentas al implementar Controladora de red mediante el parámetro Name del comando New-NetworkControllerNodeObject de Windows PowerShell.

  3. No. Al elegir este modo, no se realiza ninguna autorización entre los nodos de controladora de red. Este modo solo se proporciona con fines de prueba y no se recomienda para su uso en un entorno de producción.

Cifrado

La comunicación entre los nodos de Controladora de red se cifra mediante el cifrado de nivel de transporte de WCF. Esta forma de cifrado se usa cuando los métodos de autenticación y autorización son certificados Kerberos o X509. Para obtener más información, vea los siguientes temas.

Comunicación southbound

Controladora de red interactúa con diferentes tipos de dispositivos para la comunicación southbound. Estas interacciones usan protocolos diferentes. Por este motivo, hay diferentes requisitos para la autenticación, la autorización y el cifrado en función del tipo de dispositivo y protocolo que usa Controladora de red para comunicarse con el dispositivo.

En la tabla siguiente se proporciona información sobre la interacción de Controladora de red con diferentes dispositivos southbound.

Dispositivo o servicio southbound Protocolo Autenticación usada
Equilibrador de carga de software WCF (MUX), TCP (Host) Certificados
Firewall OVSDB Certificados
Puerta de enlace WinRM Kerberos, certificados
Redes virtuales OVSDB, WCF Certificados
Enrutamiento definido por el usuario OVSDB Certificados

Para cada uno de estos protocolos, el mecanismo de comunicación se describe en la siguiente sección.

Authentication

Para la comunicación southbound se usan los siguientes protocolos y métodos de autenticación.

  1. WCF/TCP/OVSDB. Para estos protocolos, la autenticación se realiza mediante certificados X509. Tanto Controladora de red como el multiplexor (MUX) de equilibrio de carga de software (SLB) o las máquinas host del mismo nivel presentan sus certificados entre sí para la autenticación mutua. El nodo del mismo nivel remoto debe confiar en cada certificado.

    Para la autenticación southbound puede usar el mismo certificado SSL configurado para cifrar la comunicación con los clientes northbound. También debe configurar un certificado en los dispositivos MUX SLB y host. El nombre del firmante del certificado debe ser el mismo que el nombre DNS del dispositivo.

  2. WinRM. Para este protocolo, la autenticación se realiza mediante Kerberos (para máquinas unidas a un dominio) y mediante certificados (para máquinas no unidas a un dominio).

Autorización

Para la comunicación southbound se usan los siguientes protocolos y métodos de autorización.

  1. WCF/TCP. Para estos protocolos la autorización se basa en el nombre del firmante de la entidad del mismo nivel. Controladora de red almacena el nombre DNS del dispositivo del mismo nivel y lo usa para la autorización. Este nombre DNS debe coincidir con el nombre del firmante del dispositivo en el certificado. Del mismo modo, el certificado de Controladora de red debe coincidir con el nombre DNS de Controladora de red almacenado en el dispositivo del mismo nivel.

  2. WinRM. Si se usa Kerberos, la cuenta de cliente de WinRM debe estar presente en un grupo predefinido en Active Directory o en el grupo Administradores locales en el servidor. Si se usan certificados, el cliente presenta un certificado al servidor que el servidor autoriza mediante el nombre del firmante o emisor, y el servidor usa una cuenta de usuario asignada para realizar la autenticación.

  3. OVSDB. La autorización se basa en el nombre del firmante de la entidad del mismo nivel. La controladora de red almacena el nombre DNS del dispositivo del mismo nivel y lo usa para la autorización. Este nombre DNS debe coincidir con el nombre del firmante del dispositivo en el certificado.

Cifrado

Para la comunicación southbound se usan los siguientes métodos de cifrado para los protocolos.

  1. WCF/TCP/OVSDB. Para estos protocolos el cifrado se realiza mediante el certificado inscrito en el cliente o servidor.

  2. WinRM. El tráfico de WinRM se cifra de forma predeterminada mediante el proveedor de compatibilidad para seguridad (SSP) de Kerberos. Puede configurar Cifrado adicional, en forma de SSL, en el servidor WinRM.