Сценарии обеспечения безопасности Orchestrator

 

Опубликовано: Март 2016

Применимо к:System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator

Приведенная ниже информация иллюстрирует лучшие способы безопасного использования Orchestrator. Эта информация предоставляется в виде сценариев. Доступны следующие сценарии:

• Сценарий: безопасный переход от разработки к тестированию и далее к производственным средам

• Сценарий: эффективное управление членством в группе "Пользователи Orchestrator"

Сценарий: безопасный переход от разработки к тестированию и далее к производственным средам

Данные пароля Orchestrator, содержащиеся в модулях Runbook, могут безопасно использоваться разными экземплярами Orchestrator. Например, предположим, что требуется экспортировать модули Runbook, встроенные в среду разработки, и импортировать их в тестовую среду или экспортировать протестированные модули Runbook в производственную среду. Для реализации этого процесса экспорта и импорта на каждом этапе экспорта данные должны безопасно шифроваться таким образом, чтобы экспортированные данные можно было импортировать в другую среду Orchestrator.

Это достигается с помощью функций импорта-экспорта, доступных в Runbook Designer. Для вызова функций экспорта и импорта выберите элемент Действия в строке меню Runbook Designer или щелкните правой кнопкой мыши папку Runbook. Функцию экспорта можно также вызвать, щелкнув правой кнопкой мыши вкладку Runbook. Эта функция обычно называется "одиночный экспорт Runbook".

Независимо от того, как экспортируется модуль Runbook, зашифрованные данные, содержащиеся в модулях Runbook, будут безопасно сохранены в результирующем XML-файле экспорта. Это достигается путем предоставления пароля при экспорте. Когда Orchestrator экспортирует модули Runbook и их связанную конфигурацию, все зашифрованные данные, содержащиеся в модулях Runbook, расшифровываются и снова зашифровываются при экспорте с использованием предоставленного пароля.

Примечание

Ключ шифрования, используемый для экспорта, отличается от используемого для хранения данных в базе данных Orchestrator. По существу, функция "экспорта" расшифровывает зашифрованные данные и снова зашифровывает их в файле экспорта. Файл экспорта содержит зашифрованный пароль. Процесс экспорта не защищает ни сам модуль Runbook, ни незашифрованные данные, содержащиеся в модулях Runbook. Экспорт защищает только содержащиеся в модулях Runbook зашифрованные данные.

Когда файл экспорта повторно импортируется, для импорта требуется пароль. Если пароль принимается, зашифрованные данные, содержащиеся в файле экспорта, импортируются и снова зашифровываются для хранения в базе данных Orchestrator с помощью ключа шифрования.

Примечание

Функция пароля экспорта-импорта не поддерживает правила сложности пароля, которые могут требоваться в организации. Пустое значение пароля допускается, хотя и не рекомендуется для экспорта, который содержит зашифрованные конфиденциальные данные. В случае утери пароля для экспорта остается возможность выполнить импорт модулей Runbook и их связанной конфигурации. На экране "Импорт" просто снимите флажок Импортировать данные, зашифрованные в Orchestrator. Все данные, зашифрованные платформой Orchestrator, не будут импортированы; в базе данных Orchestrator для них будут созданы пустые значения.

Сценарий: эффективное управление членством в группе "Пользователи Orchestrator"

В Orchestrator имеются две основные роли пользователей: авторы и операторы Runbook. Эти роли пользователей имеют разные права в Orchestrator. Авторы Runbook — это пользователи, которые имеют широкий административный доступ к Orchestrator, включая его базу данных и конфигурацию. Авторы Runbook предоставляют доступ операторам Runbook. Операторы Runbook имеют доступ к консоли и веб-службе Orchestration в соответствии с правами, предоставленными им авторами Runbook.

Роль пользователя	Кто определяет	Права
Автор Runbook	Членство в группе пользователей Orchestrator (см. ниже)	Администраторы Orchestrator Чтение, запись, обновление конфигурации Orchestrator Полный доступ к базе данных Orchestrator Полные права шифрования и расшифровки Доступ к действиям Runbook, которые могут взаимодействовать с внешними системами через пакеты интеграции
Оператор Runbook	Разрешения доступа к папкам Runbook, предоставляемые авторами Runbook в Runbook Designer	Неадминистративные права доступа к Orchestrator Доступ к консоли и веб-службе Orchestration Просмотр и вызов модулей Runbook в соответствии с правами, предоставляемыми авторами Runbook Отсутствие доступа к базе данных Orchestrator Отсутствие прав на шифрование и расшифровку

Примечание

Размещение учетной записи пользователя в группе "Пользователи Orchestrator" определяет эту учетную запись пользователя как являющуюся администратором Orchestrator. Все пользователи Orchestrator фактически являются одинаково привилегированными администраторами с полным доступом к Orchestrator и данным, содержащимся в базе данных. Эти права включают доступ к шифрованию и расшифровке данных, содержащихся в базе данных Orchestrator.

Orchestrator управляет безопасностью через членство в двух группах безопасности, создаваемых во время установки. Это группа "Пользователи Orchestrator" и системная группа Orchestrator. Членство в одной или обеих этих группах определяет учетные записи, которые считаются администраторами Orchestrator ("доверенные лица"). Права администратора включают следующие возможности: обновление модулей Runbook и их связанных данных конфигурации, обновление конфигурации серверов Runbook, взаимодействие с внешними системами через пакеты интеграции, установка и развертывание пакетов интеграции, взаимодействие с помощью программного кода с базой данных Orchestrator, обновление конфигурации базы данных и шифрование-расшифровка зашифрованных данных, хранимых в базе данных Orchestrator.

Примечание
Членство в одной или обеих этих группах предоставляет полный административный доступ к Orchestrator, включая доступ ко всем данным, содержащимся в базе данных Orchestrator, и полные права на шифрование-расшифровку.

Группа безопасности	Связанное лицо	Назначение группы безопасности
Группа "Пользователи Orchestrator"	Авторы Runbook и все, кто развертывает пакеты интеграции	Эта группа безопасности определяет учетные записи пользователей, которые смогут запускать Runbook Designer, Deployment Manager и служебную программу настройки хранилища данных. Членство в этой группе предоставляет привилегированный доступ к базе данных Orchestrator. Этот доступ включает возможность чтения и обновления конфигурации базы данных, а также доступ к зашифрованным данным и их расшифровке.
Системная группа Orchestrator	Нет (используется для учетных записей служб)	Эта группа безопасности определяет учетные записи служб, которые требуют привилегированного доступа к базе данных Orchestrator. Этот доступ включает возможность чтения и обновления конфигурации базы данных, а также доступ к зашифрованным данным и их расшифровке.

Следующие роли пользователей считаются доверенными/недоверенными лицами в Orchestrator.

Домен безопасности	Контекст	Права на шифрование	Кто определяет	Доверенное лицо
Время выполнения	Службы Orchestrator Альтернативные учетные данные "Вызов Runbook"	Полные права на шифрование и расшифровку	Системная группа Orchestrator в Active Directory / учетные данные для действия Runbook "Вызов Runbook"	Да
Время разработки	Конструктор документации по задаче Deployment Manager Конфигурация хранилища данных	Полные права на шифрование и расшифровку	Группа пользователей Orchestrator в Active Directory	Да
Оператор	Консоль Orchestration Веб-служба	Нет явного доступа к зашифрованным или расшифрованным данным.	Права пользователя определяются ролью "автор Runbook" в Runbook Designer	Нет
Администратор базы данных	MS SQL Server 20008 R2	Полные права на шифрование и расшифровку	Права на доступ к серверу SQL Server как АБД с правами на доступ к базе данных Orchestrator	Да
Администратор Windows	Windows Server 2008 R2	Явные права не предоставляются, однако администраторы Windows считаются доверенными лицами.	Права на администрирование Windows	Да