Proteger o Controlador de Rede
Aplica-se a: Azure Stack HCI, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Este artigo descreve como configurar a segurança para todas as comunicações entre o Controlador de Rede e outros softwares e dispositivos.
Os caminhos de comunicação que pode proteger incluem a comunicação northbound no plano de gestão, a comunicação de cluster entre máquinas virtuais (VMs) do Controlador de Rede num cluster e comunicação southbound no plano de dados.
Northbound Communication. O Controlador de Rede comunica no plano de gestão com software de gestão compatível com SDN, como Windows PowerShell e System Center Virtual Machine Manager (SCVMM). Estas ferramentas de gestão permitem-lhe definir a política de rede e criar um estado de objetivo para a rede, com o qual pode comparar a configuração de rede real para colocar a configuração real em paridade com o estado de objetivo.
Comunicação de Cluster do Controlador de Rede. Quando configura três ou mais VMs como nós de cluster do Controlador de Rede, estes nós comunicam entre si. Esta comunicação pode estar relacionada com a sincronização e replicação de dados entre nós ou com uma comunicação específica entre os serviços do Controlador de Rede.
Southbound Communication. O Controlador de Rede comunica no plano de dados com a infraestrutura SDN e outros dispositivos, como balanceadores de carga de software, gateways e máquinas anfitriãs. Pode utilizar o Controlador de Rede para configurar e gerir estes dispositivos para sul para que mantenham o estado de objetivo que configurou para a rede.
Northbound Communication
O Controlador de Rede suporta autenticação, autorização e encriptação para comunicação northbound. As secções seguintes fornecem informações sobre como configurar estas definições de segurança.
Autenticação
Quando configura a autenticação para a comunicação northbound do Controlador de Rede, permite que os nós de cluster e os clientes de gestão do Controlador de Rede verifiquem a identidade do dispositivo com o qual estão a comunicar.
O Controlador de Rede suporta os três seguintes modos de autenticação entre clientes de gestão e nós do Controlador de Rede.
Nota
Se estiver a implementar o Controlador de Rede com System Center Virtual Machine Manager, apenas o modo Kerberos é suportado.
Kerberos. Utilize a autenticação Kerberos ao associar o cliente de gestão e todos os nós de cluster do Controlador de Rede a um domínio do Active Directory. O domínio do Active Directory tem de ter contas de domínio utilizadas para autenticação.
X509. Utilize o X509 para autenticação baseada em certificados para clientes de gestão não associados a um domínio do Active Directory. Tem de inscrever certificados em todos os nós de cluster e clientes de gestão do Controlador de Rede. Além disso, todos os nós e clientes de gestão têm de confiar nos certificados uns dos outros.
Nenhum. Utilize Nenhum para fins de teste num ambiente de teste e, por conseguinte, não é recomendado para utilização num ambiente de produção. Quando escolhe este modo, não é efetuada autenticação entre nós e clientes de gestão.
Pode configurar o modo de Autenticação para comunicação northbound com o comando Windows PowerShell Install-NetworkController com o parâmetro ClientAuthentication.
Autorização
Quando configura a autorização para a comunicação northbound do Controlador de Rede, permite que os nós de cluster e os clientes de gestão do Controlador de Rede verifiquem se o dispositivo com o qual estão a comunicar é fidedigno e tem permissão para participar na comunicação.
Utilize os seguintes métodos de autorização para cada um dos modos de autenticação suportados pelo Controlador de Rede.
Kerberos. Quando estiver a utilizar o método de autenticação Kerberos, define os utilizadores e computadores autorizados a comunicar com o Controlador de Rede ao criar um grupo de segurança no Active Directory e, em seguida, adicionar os utilizadores e computadores autorizados ao grupo. Pode configurar o Controlador de Rede para utilizar o grupo de segurança para autorização com o parâmetro ClientSecurityGroup do comando Install-NetworkController Windows PowerShell. Depois de instalar o Controlador de Rede, pode alterar o grupo de segurança com o comando Set-NetworkController com o parâmetro -ClientSecurityGroup. Se utilizar o SCVMM, tem de fornecer o grupo de segurança como um parâmetro durante a implementação.
X509. Quando estiver a utilizar o método de autenticação X509, o Controlador de Rede só aceita pedidos de clientes de gestão cujos thumbprints de certificado são conhecidos pelo Controlador de Rede. Pode configurar estes thumbprints com o parâmetro ClientCertificateThumbprint do comando Install-NetworkController Windows PowerShell. Pode adicionar outros thumbprints de cliente em qualquer altura com o comando Set-NetworkController .
Nenhum. Quando escolhe este modo, não é efetuada autenticação entre nós e clientes de gestão. Utilize Nenhum para fins de teste num ambiente de teste e, por conseguinte, não é recomendado para utilização num ambiente de produção.
Encriptação
A comunicação northbound utiliza Secure Sockets Layer (SSL) para criar um canal encriptado entre clientes de gestão e nós do Controlador de Rede. A encriptação SSL para comunicação northbound inclui os seguintes requisitos:
Todos os nós do Controlador de Rede têm de ter um certificado idêntico que inclua os objetivos de Autenticação do Servidor e Autenticação de Cliente em extensões de Utilização Avançada de Chaves (EKU).
O URI utilizado pelos clientes de gestão para comunicar com o Controlador de Rede tem de ser o nome do requerente do certificado. O nome do requerente do certificado tem de conter o Nome de Domínio Completamente Qualificado (FQDN) ou o endereço IP do Ponto Final REST do Controlador de Rede.
Se os nós do Controlador de Rede estiverem em sub-redes diferentes, o nome do requerente dos respetivos certificados tem de ser o mesmo que o valor utilizado para o parâmetro RestName no comando Install-NetworkController Windows PowerShell.
Todos os clientes de gestão têm de confiar no certificado SSL.
Inscrição e Configuração de Certificados SSL
Tem de inscrever manualmente o certificado SSL nos nós do Controlador de Rede.
Após a inscrição do certificado, pode configurar o Controlador de Rede para utilizar o certificado com o parâmetro -ServerCertificate do comando install-NetworkController Windows PowerShell. Se já tiver instalado o Controlador de Rede, pode atualizar a configuração em qualquer altura com o comando Set-NetworkController .
Nota
Se estiver a utilizar o SCVMM, tem de adicionar o certificado como um recurso de biblioteca. Para obter mais informações, veja Configurar um controlador de rede SDN nos recursos de infraestrutura do VMM.
Comunicação do Cluster do Controlador de Rede
O Controlador de Rede suporta autenticação, autorização e encriptação para comunicação entre nós do Controlador de Rede. A comunicação é através do Windows Communication Foundation (WCF) e TCP.
Pode configurar este modo com o parâmetro ClusterAuthentication do comando Install-NetworkControllerCluster Windows PowerShell.
Para obter mais informações, veja Install-NetworkControllerCluster.
Autenticação
Quando configura a autenticação para a comunicação do Cluster do Controlador de Rede, permite que os nós de cluster do Controlador de Rede verifiquem a identidade dos outros nós com os quais estão a comunicar.
O Controlador de Rede suporta os três seguintes modos de autenticação entre nós do Controlador de Rede.
Nota
Se implementar o Controlador de Rede com o SCVMM, só é suportado o modo Kerberos .
Kerberos. Pode utilizar a autenticação Kerberos quando todos os nós de cluster do Controlador de Rede estiverem associados a um domínio do Active Directory, com contas de domínio utilizadas para autenticação.
X509. O X509 é uma autenticação baseada em certificados. Pode utilizar a autenticação X509 quando os nós de cluster do Controlador de Rede não estão associados a um domínio do Active Directory. Para utilizar o X509, tem de inscrever certificados em todos os nós de cluster do Controlador de Rede e todos os nós têm de confiar nos certificados. Além disso, o nome do requerente do certificado que está inscrito em cada nó tem de ser o mesmo que o nome DNS do nó.
Nenhum. Quando escolhe este modo, não é efetuada qualquer autenticação entre os nós do Controlador de Rede. Este modo é fornecido apenas para fins de teste e não é recomendado para utilização num ambiente de produção.
Autorização
Quando configura a autorização para a comunicação do Cluster do Controlador de Rede, permite que os nós de cluster do Controlador de Rede verifiquem se os nós com os quais estão a comunicar são fidedignos e têm permissão para participar na comunicação.
Para cada um dos modos de autenticação suportados pelo Controlador de Rede, são utilizados os seguintes métodos de autorização.
Kerberos. Os nós do Controlador de Rede aceitam pedidos de comunicação apenas de outras contas de computador do Controlador de Rede. Pode configurar estas contas quando implementar o Controlador de Rede com o parâmetro Nome do comando new-NetworkControllerNodeObject Windows PowerShell.
X509. Os nós do Controlador de Rede aceitam pedidos de comunicação apenas de outras contas de computador do Controlador de Rede. Pode configurar estas contas quando implementar o Controlador de Rede com o parâmetro Nome do comando new-NetworkControllerNodeObject Windows PowerShell.
Nenhum. Quando escolhe este modo, não é efetuada nenhuma autorização entre os nós do Controlador de Rede. Este modo é fornecido apenas para fins de teste e não é recomendado para utilização num ambiente de produção.
Encriptação
A comunicação entre nós do Controlador de Rede é encriptada através da encriptação de nível de Transporte wcF. Esta forma de encriptação é utilizada quando os métodos de autenticação e autorização são certificados Kerberos ou X509. Para mais informações, consulte os seguintes tópicos.
- Como: Proteger um Serviço com Credenciais do Windows
- Como: Proteger um Serviço com Certificados X.509.
Comunicação de Southbound
O Controlador de Rede interage com diferentes tipos de dispositivos para comunicação southbound. Estas interações utilizam protocolos diferentes. Por este motivo, existem diferentes requisitos de autenticação, autorização e encriptação, consoante o tipo de dispositivo e protocolo utilizado pelo Controlador de Rede para comunicar com o dispositivo.
A tabela seguinte fornece informações sobre a interação do Controlador de Rede com diferentes dispositivos de direção sul.
| Dispositivo/serviço para sul | Protocolo | Autenticação utilizada |
|---|---|---|
| Balanceador de Carga do Software | WCF (MUX), TCP (Anfitrião) | Certificados |
| Firewall | OVSDB | Certificados |
| Gateway | WinRM | Kerberos, Certificados |
| Redes Virtuais | OVSDB, WCF | Certificados |
| Encaminhamento definido pelo utilizador | OVSDB | Certificados |
Para cada um destes protocolos, o mecanismo de comunicação é descrito na secção seguinte.
Autenticação
Para comunicação de Southbound, são utilizados os seguintes protocolos e métodos de autenticação.
WCF/TCP/OVSDB. Para estes protocolos, a autenticação é efetuada com certificados X509. Tanto o Controlador de Rede como o Multixer (MUX) Multiplexer (MUX) do Peer Software Load Balancing (SLB) apresentam os respetivos certificados uns aos outros para autenticação mútua. Cada certificado tem de ser considerado fidedigno pelo elemento da rede remoto.
Para autenticação para sul, pode utilizar o mesmo certificado SSL que está configurado para encriptar a comunicação com os clientes Northbound. Também tem de configurar um certificado no SLB MUX e nos dispositivos anfitriões. O nome do requerente do certificado tem de ser igual ao nome DNS do dispositivo.
WinRM. Para este protocolo, a autenticação é efetuada através do Kerberos (para máquinas associadas a um domínio) e através de certificados (para máquinas não associadas a um domínio).
Autorização
Para comunicação de Southbound, são utilizados os seguintes protocolos e métodos de autorização.
WCF/TCP. Para estes protocolos, a autorização baseia-se no nome do requerente da entidade peering. O Controlador de Rede armazena o nome DNS do dispositivo peering e utiliza-o para autorização. Este nome DNS tem de corresponder ao nome do requerente do dispositivo no certificado. Da mesma forma, o certificado do Controlador de Rede tem de corresponder ao nome DNS do Controlador de Rede armazenado no dispositivo ponto a ponto.
WinRM. Se o Kerberos estiver a ser utilizado, a conta de cliente WinRM tem de estar presente num grupo predefinido no Active Directory ou no grupo Administradores Locais no servidor. Se estiverem a ser utilizados certificados, o cliente apresenta um certificado ao servidor que o servidor autoriza a utilizar o nome/emissor do requerente e o servidor utiliza uma conta de utilizador mapeada para efetuar a autenticação.
OVSDB. A autorização baseia-se no nome do requerente da entidade peering. O Controlador de Rede armazena o nome DNS do dispositivo peering e utiliza-o para autorização. Este nome DNS tem de corresponder ao nome do requerente do dispositivo no certificado.
Encriptação
Para comunicação southbound, os seguintes métodos de encriptação são utilizados para protocolos.
WCF/TCP/OVSDB. Para estes protocolos, a encriptação é efetuada com o certificado que está inscrito no cliente ou servidor.
WinRM. O tráfego WinRM é encriptado por predefinição com o fornecedor de suporte de segurança Kerberos (SSP). Pode configurar Encriptação adicional, na forma de SSL, no servidor WinRM.