Cenários de Segurança do Orchestrator
Publicado: março de 2016
Aplica-se A: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
As seguintes informações fornecem procedimentos recomendados para utilizar o Orchestrator em segurança. Estas informações são fornecidas no formato de cenários. Estão disponíveis os seguintes cenários:
Cenário: transição em segurança do desenvolvimento a testes a ambientes de produção
Cenário: gerir eficazmente as associações a grupos de Utilizadores do Orchestrator
Cenário: transição em segurança do desenvolvimento a testes a ambientes de produção
Os dados de palavra-passe do Orchestrator contidos em runbooks podem ser partilhados com segurança entre instâncias diferentes do Orchestrator. Por exemplo, pode pretender exportar runbooks incorporados num ambiente de desenvolvimento e importá-los para um ambiente de teste ou exportar runbooks testados para um ambiente de produção. Este processo de exportação e importação teria de proteger os dados encriptados em cada fase da exportação de forma a que fosse possível importar os dados exportados para um ambiente diferente do Orchestrator.
Isto é conseguido utilizando a funcionalidade de Importação/Exportação disponível no Runbook Designer. As funcionalidades de exportação e importação estão disponíveis a partir do item Ações na barra de menus do Runbook Designer ou clicando com o botão direito do rato numa pasta do runbook. A funcionalidade de exportação também está disponível clicando com o botão direito do rato num separador de runbook, uma funcionalidade frequentemente designada por "exportação de um único runbook".
Independentemente do modo como um runbook é exportado, os dados encriptados contidos em runbooks serão armazenados em segurança no ficheiro de exportação XML resultante. Isto é conseguido fornecendo uma palavra-passe no momento da exportação. Quando o Orchestrator exporta os runbooks e a configuração relacionada, quaisquer dados encriptados contidos nos Runbooks são desencriptados e encriptados de novo no momento da exportação utilizando a palavra-passe fornecida.
Nota
- A chave de encriptação utilizada para a exportação é diferente da utilizada para armazenar os dados na base de dados do Orchestrator. Essencialmente, a funcionalidade de "exportação" desencripta os dados encriptados e encripta-os novamente no ficheiro de exportação. O ficheiro de exportação contém a palavra-passe encriptada.
- O processo de exportação não protege o próprio runbook nem os dados não encriptados contidos nos Runbooks. A exportação apenas protege os dados encriptados contidos nos Runbooks.
Quando um ficheiro de exportação é novamente importado, a importação requer uma palavra-passe. Se a palavra-passe corresponder, então os dados encriptados contidos na exportação serão importados e encriptados novamente para armazenamento na base de dados do Orchestrator utilizando a chave de encriptação.
Nota
- A funcionalidade de palavra-passe de Exportação/Importação não suporta regras de complexidade de palavra-passe que podem ser exigidas pela sua organização. É permitido um valor em branco para a palavra-passe, embora não seja recomendado para as exportações que contêm dados confidenciais que foram encriptados.
- Se a palavra-passe para a exportação se perder, continua a ser possível realizar uma importação dos runbooks e da configuração relacionada. No ecrã Importação basta limpar a opção Importar dados encriptados do Orchestrator. Os dados encriptados pela plataforma do Orchestrator não serão importados e criados com valores em branco na base de dados do Orchestrator.
Cenário: gerir eficazmente as associações a grupos de Utilizadores do Orchestrator
O Orchestrator tem duas funções de utilizador principais: Autores e Operadores de Runbook. Estas funções de utilizador têm direitos diferentes no Orchestrator. Os Autores de Runbook são indivíduos que têm acesso administrativo abundante ao Orchestrator incluindo à sua base de dados e configuração. Os Autores de Runbook concedem acesso aos Operadores de Runbook. Os Operadores de Runbook têm acesso à Consola Orchestration e ao Serviço Web com base nos direitos que lhes são concedidos pelos Autores de Runbook.
| Função de Utilizador | Identificado por | Direitos |
|---|---|---|
| Autor de Runbook | Associação ao Grupo de Utilizadores do Orchestrator (ver abaixo) | - Administradores do Orchestrator - Ler, escrever, atualizar a configuração do Orchestrator - Controlo total da base de dados do Orchestrator - Direitos totais de encriptação/desencriptação - Acesso às Atividades do Runbook que podem interagir com sistemas externos através de Pacotes de Integração |
| Operador de Runbook | Permissões de Pasta do Runbook concedidas pelos Autores de Runbook no Runbook Designer | - Direitos não administrativos ao Orchestrator - Acesso à Consola Orchestration e ao Serviço Web - Ver e invocar runbooks com base nos direitos concedidos por Autores de Runbook - Sem acesso à base de dados do Orchestrator - Sem direitos de encriptação/desencriptação |
Nota
A colocação de uma conta de utilizador no grupo de Utilizadores do Orchestrator identifica esta conta de utilizador como sendo de administrador do Orchestrator. Todos os utilizadores do Orchestrator são essencialmente administradores com privilégios idênticos e que têm acesso total ao Orchestrator e aos dados contidos na base de dados. Isto inclui acesso a encriptar e desencriptar dados contidos na base de dados do Orchestrator.
O Orchestrator gere a segurança através de associação a dois grupos de segurança criados no momento da instalação. Estes são o grupo de Utilizadores do Orchestrator e o grupo de Sistema do Orchestrator. A associação a um ou ambos os grupos identifica as contas que são consideradas como sendo de administradores do Orchestrator ("pessoas fidedignas"). Os direitos administrativos incluem a capacidade de atualizar runbooks e os dados de configuração relacionados, atualizar a configuração de servidores runbook, interagir com sistemas externos através de pacotes de integração, instalar e implementar pacotes de integração, interagir programaticamente com a base de dados do Orchestrator, atualizar a configuração da base de dados e encriptar/desencriptar dados encriptados armazenados na base de dados do Orchestrator.
Nota
A associação a um ou ambos os grupos concede acesso administrativo total ao Orchestrator incluindo acesso a todos os dados contidos na base de dados do Orchestrator e direitos totais de encriptação/desencriptação.
| Grupo de segurança | Pessoa associada | Objetivo do grupo de segurança |
|---|---|---|
| Grupo de Utilizadores do Orchestrator | Os autores de Runbook e qualquer pessoa que implemente pacotes de integração | Este grupo de segurança define as contas de utilizador que poderão iniciar o Runbook Designer, o Deployment Manager e o utilitário de Configuração do Arquivo de Dados. A associação a este grupo concede acesso privilegiado à base de dados do Orchestrator. Isto inclui a capacidade de ler e atualizar a configuração da base de dados, bem como acesso e desencriptação de dados encriptados. |
| Grupo de Sistema do Orchestrator | Nenhuma (utilizado para contas de serviço) | Este grupo de segurança define as contas de serviço que necessitem de acesso privilegiado à base de dados do Orchestrator. Isto inclui a capacidade de ler e atualizar a configuração da base de dados, bem como acesso e desencriptação de dados encriptados. |
As seguintes funções de utilizador são consideradas pessoas fidedignas/não fidedignas no Orchestrator.
| Domínio de segurança | Contexto | Direitos de criptografia | Identificado por | Pessoa fidedigna |
|---|---|---|---|---|
| Tempo de Execução | Serviços do Orchestrator Credenciais Alternativas "Invocar Runbook" |
Encriptação e desencriptação total | Grupo de Sistemas do Orchestrator no Active Directory/Credenciais na Atividade de Runbook "Invocar Runbook" | Sim |
| Tempo de Criação | Runbook Designer Deployment Manager Configuração do Arquivo de Dados |
Encriptação e desencriptação total | Grupo de Utilizadores do Orchestrator no Active Directory | Sim |
| Operador | Consola Orchestration Serviço Web |
Sem acesso explícito a dados encriptados ou desencriptados. | Direitos de utilizador definidos no Runbook Designer pela função de Autor de Runbook | Não |
| Administrador da base de dados | MS SQL Server 20008 R2 | Encriptação e desencriptação total | Direitos para o SQL Server como DBA com direitos para a base de dados do Orchestrator | Sim |
| Administrador do Windows | Windows Server 2008 R2 | Não são concedidos direitos explícitos, no entanto, os administradores do Windows são considerados pessoas fidedignas. | Direitos para o Windows | Sim |