Orchestrator Security scenario 's
Gepubliceerd: maart 2016
Is van toepassing op: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
De volgende informatie bevat aanbevolen procedures voor veilig gebruik van Orchestrator. Deze informatie wordt verstrekt in de vorm van scenario's. De volgende scenario's zijn beschikbaar:
Scenario: Veilige overgang van ontwikkeling naar testen naar productieomgevingen
Scenario: Lidmaatschap van Orchestrator-gebruikersgroepen effectief beheren
Scenario: Veilige overgang van ontwikkeling naar testen naar productieomgevingen
De wachtwoordgegevens voor Orchestrator die zich in runbooks bevinden, kunnen veilig worden gedeeld tussen verschillende exemplaren van Orchestrator. U wilt bijvoorbeeld runbooks exporteren die zijn gemaakt in een ontwikkelingsomgeving en ze importeren in een testomgeving, of u wilt geteste runbooks exporteren naar een productieomgeving. In dit export- en importproces moeten de versleutelde gegevens in elke fase van de export zodanig zijn beveiligd, dat de geëxporteerde gegevens kunnen worden geïmporteerd in een andere Orchestrator-omgeving.
Dit wordt bereikt met de import/export-functionaliteit die beschikbaar in Runbook Designer. De export- en importfuncties zijn beschikbaar in het menu Acties op de menubalk van Runbook Designer, of door met de rechtermuisknop op een runbookmap te klikken. De exportfunctie is ook beschikbaar door met de rechtermuisknop op een runbooktabblad te klikken, een functie die "export van één runbook" wordt genoemd.
Ongeacht de manier waarop een runbook wordt geëxporteerd, worden de versleutelde gegevens die zich in runbooks bevinden, veilig opgeslagen in het resulterende XML-exportbestand. Dit wordt bereikt door het verstrekken van een wachtwoord bij het exporteren. Wanneer Orchestrator de runbooks en de bijbehorende configuratie exporteert, worden eventuele versleutelde gegevens in runbooks ontsleuteld en worden ze bij het exporteren weer versleuteld met behulp van het verstrekte wachtwoord.
Notitie
- De versleutelingssleutel die voor het exporteren wordt gebruikt, is een andere dan de versleutelingssleutel die wordt gebruikt voor het opslaan van de gegevens in de Orchestrator-database. Het komt erop neer dat de exportfunctie de versleutelde gegevens ontsleutelt en ze opnieuw versleutelt in het exportbestand. Het exportbestand bevat het versleutelde wachtwoord.
- Het exportproces beveiligt niet het runbook zelf of de niet-versleutelde gegevens in runbooks. Alleen versleutelde gegevens die zich in runbooks bevinden, worden beveiligd.
Wanneer een exportbestand opnieuw wordt geïmporteerd, moet voor het importeren een wachtwoord worden verstrekt. Als het wachtwoord correct is, worden de versleutelde gegevens in het exportbestand geïmporteerd en opnieuw versleuteld voor opslag in de Orchestrator-database met behulp van de versleutelingssleutel.
Notitie
- De wachtwoordfunctie voor exporteren/importeren ondersteunt geen regels voor wachtwoordcomplexiteit die mogelijk door uw organisatie worden vereist. Een lege waarde voor het wachtwoord is toegestaan, hoewel dit wordt afgeraden voor exportacties met gevoelige gegevens die versleuteld zijn.
- Als het wachtwoord voor uw export kwijt is, kan nog altijd een import van de runbooks en hun bijbehorende configuratie worden uitgevoerd. Daartoe schakelt u op het importscherm de optie Gecodeerde Orchestrator-gegevens importeren uit. Alle op het Orchestrator-platform versleutelde gegevens worden niet geïmporteerd en worden met lege waarden gemaakt in de Orchestrator-database.
Scenario: Lidmaatschap van Orchestrator-gebruikersgroepen effectief beheren
Orchestrator heeft twee belangrijke gebruikersrollen: runbookauteurs en runbookoperators. Deze gebruikersrollen hebben verschillende rechten in Orchestrator. Runbookauteurs zijn personen met uitgebreide beheerderstoegang tot Orchestrator, inclusief de database en configuratie ervan. Runbookauteurs verlenen toegang aan runbookoperators. Runbookoperators hebben toegang tot de Orchestration-console en Orchestration-webservice op basis van rechten die zijn verleend door runbookauteurs.
| Gebruikersrol | Aangegeven door | Rechten |
|---|---|---|
| Runbookauteur | Lidmaatschap van de Orchestrator-gebruikersgroep (zie hierna) | - Beheerders van Orchestrator - Orchestrator-configuratie lezen, schrijven, bijwerken - Volledig beheer van de Orchestrator-database - Volledige rechten voor versleutelen/ontsleutelen - Toegang tot runbookactiviteiten die interactie kunnen hebben met externe systemen via integratiepakketten |
| Runbookoperator | Machtigingen voor de runbookmap verleend door runbookauteurs in Runbook Designer | - Niet-beheerdersrechten voor Orchestrator - Toegang tot de Orchestration-console en Orchestration-webservice - Runbooks weergeven en oproepen op basis van rechten verleend door runbookauteurs - Geen toegang tot de Orchestrator-database - Geen rechten voor versleutelen/ontsleutelen |
Notitie
Als een gebruikersaccount in de Orchestrator-gebruikersgroep wordt geplaatst, wordt dit gebruikersaccount aangemerkt als een beheerder van Orchestrator. Alle Orchestrator-gebruikers zijn in wezen beheerders met gelijke rechten, met volledige toegang tot Orchestrator en tot de gegevens in de database. Dit houdt ook toegang in tot het versleutelen en ontsleutelen van gegevens in de Orchestrator-database.
Orchestrator beheert de beveiliging door middel van het lidmaatschap van twee beveiligingsgroepen die tijdens de installatie worden gemaakt. Dit zijn de Orchestrator-gebruikersgroep en de Orchestrator-systeemgroep. Het lidmaatschap van een van beide of beide groepen kenmerkt accounts die als beheerders van Orchestrator worden beschouwd ("vertrouwde persona's"). Beheerdersrechten omvatten de volgende mogelijkheden: runbooks en de bijbehorende configuratiegegevens bijwerken, de configuratie van runbookservers bijwerken, interactie met externe systemen via integratiepakketten, integratiepakketten installeren en implementeren, interactie met de Orchestrator-database via een programma, de databaseconfiguratie bijwerken en in de Orchestrator-database opgeslagen gegevens versleutelen/ontsleutelen.
Notitie
Het lidmaatschap van een van beide of beide groepen betekent volledige toegang op beheerdersniveau tot Orchestrator, met inbegrip van toegang tot alle gegevens in de Orchestrator-database en volledige rechten voor versleutelen/ontsleutelen.
| Beveiligingsgroep | Gekoppelde persona | Doel van beveiligingsgroep |
|---|---|---|
| Orchestrator-gebruikersgroep | Runbookauteurs en iedereen die integratiepakketten implementeert | Deze beveiligingsgroep definieert gebruikersaccounts die in staat zijn om de hulpprogramma's Runbook Designer, Deployment Manager en Configuratie van gegevensarchief te starten. Lidmaatschap van deze groep betekent uitgebreide toegang tot de Orchestrator-database Dit omvat de mogelijkheid om de databaseconfiguratie te lezen en bij te werken, en toegang tot en ontsleuteling van versleutelde gegevens. |
| Orchestrator-systeemgroep | Geen (gebruikt voor serviceaccounts) | Deze beveiligingsgroep definieert de serviceaccounts waarvoor uitgebreide toegang tot de Orchestrator-database vereist is. Dit omvat de mogelijkheid om de databaseconfiguratie te lezen en bij te werken, en toegang tot en ontsleuteling van versleutelde gegevens. |
De volgende gebruikersrollen worden beschouwd als vertrouwde/niet-vertrouwde persona's in Orchestrator.
| Beveiligingsdomein | Context | Cryptografierechten | Aangegeven door | Vertrouwde persona |
|---|---|---|---|---|
| Uitvoeringstijd | Orchestrator-services Andere referenties voor "Runbook aanroepen" |
Volledig versleutelen en ontsleutelen | Orchestrator-systeemgroep in Active Directory / referenties voor runbookactiviteit "Runbook aanroepen" | Ja |
| Ontwerptijd | Runbook Designer Deployment Manager Configuratie van gegevensarchief |
Volledig versleutelen en ontsleutelen | Orchestrator-gebruikersgroepen in Active Directory | Ja |
| Operator | Orchestration-console Webservice |
Geen expliciete toegang tot versleutelde of ontsleutelde gegevens. | Gebruikersrechten gedefinieerd in Runbook Designer door de rol Runbookauteur | Nee |
| Databasebeheerder | MS SQL Server 20008 R2 | Volledig versleutelen en ontsleutelen | Rechten voor SQL Server als databasebeheerder (DBA) met rechten voor de Orchestrator-database | Ja |
| Windows-administrator | Windows Server 2008 R2 | Er worden geen expliciete rechten verleend, hoewel Windows-administrators worden beschouwd als vertrouwde persona's. | Rechten voor Windows | Ja |