Datakryptering i Orchestrator
Publicerat: mars 2016
Gäller för: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
I följande avsnitt finns information om datakryptering i Orchestrator:
Vilka data krypteras och dekrypteras i Orchestrator?
Hur hanteras krypterade data i Orchestrator?
Hur flyttas krypterade data mellan Orchestrator-instanser?
Bästa praxis för krypterade variabler
Från och med System Center 2012 infördes krypterade variabler i Orchestrator. Detta innebär att du kan använda variabler på ett säkrare sätt när du anger känsliga data för Runbook-aktiviteter. Krypterade värden används på samma sätt som globala standardvariabler, det vill säga genom en prenumeration. Om du prenumererar på dessa variabler i aktivitetsfält som återpubliceras, kan variabelinnehållet visas i databussen. Därför bör du endast prenumerera på krypterade variabler för fält som inte återpubliceras. Denna bästa praxis är inte tvingande i Orchestrator, men du bör ta med den i din planeringsprocess.
Om krypterade data måste publiceras i databussen för att skickas till ett annat system (till exempel en produkt som körs på en annan server), bör du se till att kanalen till den produkten är skyddad. BMC Remedy har till exempel stöd för en skyddad anslutningsmetod, och produkter med webbgränssnitt tillåter normalt sett användning av SSL-anslutningen (med HTTPS-protokollet).
Vilka data krypteras och dekrypteras i Orchestrator?
Orchestrator tillhandahåller en uppsättning krypterings- och dekrypteringsnycklar som används för att generera krypterade Orchestrator-plattformsdata. Dessa tjänster används för att skydda data som flaggats för kryptering i Orchestrator-databasen och avkryptera data till vanlig text så att de går att använda i en vanlig Runbook. Dessa kärnkrypteringstjänster hanteras av Orchestrator-databasen och Management-servern. Rättigheterna till dessa tjänster beviljas genom medlemskap i Orchestrator-användargruppen eller Orchestrator-systemgruppen.
.jpeg "System_CAPS_ICON_note.jpg"){kind=icon} Obs! |
|---|
Orchestrator-runbooks kan innehålla data som har krypterats med en extern krypteringstjänst och användas som Runbook-publicerade data. Orchestrator hanterar inte data från ett sådant externt system annorlunda än andra data. |
Orchestrator använder kryptering i följande produktfunktionsområden:
| Funktionsområde | Beskrivning |
|---|---|
| Runbook-aktiviteter | Alla egenskaper som maskeras när någon skriver i fältet är krypterade egenskaper. Detta omfattar lösenord på fliken Säkerhetsreferenser, men kan också omfatta andra egenskaper. |
| Alternativ-menyn | Alternativ-menyn används för att spara autentiseringsuppgifter och annan information som används för att konfigurera integreringspaket. Egenskaper för anslutningsinställningar kan innehålla krypterade egenskaper. |
| Variabler | Variabler där kryssrutan Krypterad variabel är markerad kommer att krypteras. |
| Obs! |
|---|
Krypterade variabler är avsedda att användas via prenumerationer i egenskaper som kräver ett krypterat värde, till exempel ett lösenord som används i en Runbook-aktivitet. Om det finns en prenumeration på en krypterad variabel i ett okrypterat fält, anges det krypterade värdet. Värdet i vanlig text finns endast tillgängligt när det används i en krypterad egenskap. |
Hur hanteras krypterade data i Orchestrator?
Orchestrator har en kryptografisk kärntjänst vars utformning bygger på AES med kryptering på cellnivå i SQL Server. Därmed sköts all kryptering och dekryptering centralt av SQL Server. Krypteringsnycklar hanteras centralt av SQL Server. Både huvudnyckeln för SQL Server-tjänsten och huvudnyckeln för Orchestrator-databasen behövs för att kryptera och dekryptera data.
Orchestrator använder kryptografi för både körtidsanvändning och designanvändning. Runbook-redigerare använder ofta Runbook-aktiviteter i Runbook Designer, och dessa aktiviteter interagerar ofta med externa system för att "identifiera" egenskapsrutnät, listvärden och andra egenskaper. När en Runbook testas i Runbook Tester måste krypterade data i de skyddade fälten också dekrypteras så att de kan överlämnas till målsystemet. Slutligen måste Runbook-servrar kunna dekryptera krypterade data så att Runbooks kan interagera med externa system. Därför måste databasens kryptografiska tjänster gå att komma åt från Runbook-servrar, Runbook Designer och Runbook Tester.
Eftersom de kryptografiska kärntjänsterna finns i Orchestrator-databasen, definierar åtkomsten till databasen i praktiken åtkomsten till okrypterade data.
Runbook-servrar har direkt åtkomst till databasen. Därmed har de direkt åtkomst till de kryptotjänster som tillhandahålls av SQL Server. Körtidsåtkomsten till de kryptotjänster som tillhandahålls av SQL Server är begränsad till medlemmar av Orchestrator-systemgruppen.
Runbook Designers och Runbook Tester får åtkomst till databasen indirekt via Management-servern. Management-servern erbjuder en ny tjänst som hanterar begäranden av kryptering/dekryptering från Runbook Designer och Runbook Tester. Management-servern passerar genom säkerhetskontexten för Runbook-redigeraren, och dessa autentiseringsuppgifter används för att få åtkomst till kryptotjänsterna. Designåtkomsten till de kryptotjänster som tillhandahålls av SQL Server är begränsad till medlemmar av Orchestrator-användargruppen.
Åtkomst till krypterade data från Orchestrator hanteras av Orchestrator-användargruppen och Orchestrator-systemgruppen. Medlemmar av dessa båda säkerhetsgrupper har i praktiken omfattande administrativ åtkomst till Orchestrator, inklusive rättigheter att få åtkomst till de kryptografiska kärntjänsterna och dekryptera data som lagras krypterade i databasen.
Hur flyttas krypterade data mellan Orchestrator-instanser?
När Orchestrator-databasen installeras, skapas en huvudkrypteringsnyckel för databasen. Denna databashuvudnyckel används tillsammans med SQL Server-huvudnyckeln för att kryptera och dekryptera data som lagras i Orchestrator-databasen. Detta innebär att krypterade data i praktiken är "nyckelbundna" till den instans av SQL Server 2008 R2 där de krypterades. Det går till exempel inte att "kopiera" en krypterad sträng från en kolumn i en instans av SQL Server 2008 R2, "klistra in" värdet i en annan instans av en Orchestrator-databas och dekryptera dessa data om inte båda databashuvudnyckeln och serverhuvudnyckeln matchar nycklarna på systemet där data krypterades.
Därför måste en av dessa båda förutsättningar vara uppfyllda för att flytta krypterade data mellan Orchestrator-instanser:
Både SQL Server-tjänstens huvudnyckel och Orchestrator-databasens huvudnyckel är samma som nycklarna på systemet där aktuella data ursprungligen krypterades.
Exportera Runbooks och relaterade krypterade data och importera dem till det nya systemet.
I grunden skapar exportfunktionen en exportfil vars krypterade data har krypterats med ett lösenord som anges av användaren under exporten. Den här exportfilen innehåller krypterade data som kan dekrypteras genom att ange samma lösenord under importen. Data krypteras och lagras i databasen med hjälp av krypteringsnycklar för den nya databasen.