Escenarios de seguridad de Orchestrator
Publicado: marzo de 2016
Se aplica a: System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator
La información siguiente ofrece procedimientos recomendados de utilización de Orchestrator de manera segura. Esta información se proporciona con el formato de escenarios. A continuación se describen los escenarios disponibles:
Escenario: transición segura de entornos de entornos de desarrollo a entornos de prueba y de producción
Escenario: administración eficaz de la pertenencia a grupos de usuarios de Orchestrator
Escenario: transición segura de entornos de entornos de desarrollo a entornos de prueba y de producción
Los datos de contraseñas de Orchestrator contenidos en los Runbooks pueden compartirse de forma segura entre las distintas instancias de Orchestrator. Por ejemplo, es posible que desee exportar los Runbooks creados en un entorno de desarrollo para importarlos en un entorno de prueba o que quiera exportar los Runbooks probados a entornos de producción. Este proceso de exportación e importación requiere proteger los datos cifrados en cada una de las fases de la exportación de forma que sea posible importar los datos exportados en un entorno de Orchestrator distinto.
Esto se consigue con la funcionalidad de importación y exportación disponible en Runbook Designer. Las características de exportación e importación están disponibles desde el elemento Acciones de la barra de menú de Runbook Designer o haciendo clic con el botón secundario en una carpeta de Runbook. La característica de exportación también está disponible al hacer clic con el botón secundario en una pestaña de Runbook. Esta característica también se conoce como “exportación de Runbook simple”.
Independientemente del modo en que se exporte el Runbook, los datos cifrados que contienen los Runbooks se almacenarán de forma segura en el archivo XML exportado. Esto se consigue al especificar una contraseña para la exportación. Cuando Orchestrator exporta los Runbooks y la configuración relacionada, los datos cifrados contenidos en los Runbooks se descifran y se vuelven a cifrar durante la exportación mediante la contraseña proporcionada.
Nota
- La clave de cifrado utilizada para la exportación es distinta de la que se usa para almacenar los datos en la base de datos de Orchestrator. En general, la característica de "exportación" descifra los datos cifrados y los vuelve a cifrar en el archivo exportado. El archivo exportado contiene la contraseña cifrada.
- El proceso de exportación no protege el Runbook en sí mismo ni los datos no cifrados contenidos en los Runbooks. La exportación solo protege los datos cifrados contenidos en los Runbooks.
Cuando se vuelve a importar un archivo, es necesario proporcionar la contraseña para que se realice la importación. Si la contraseña coincide, se importarán los datos cifrados contenidos en la exportación y se volverán a cifrar para almacenarlos en la base de datos de Orchestrator mediante la clave de cifrado.
Nota
- La característica de contraseña de importación o exportación no es compatible con las reglas de complejidad de contraseña que pueden ser necesarias en su organización. Es posible dejar un valor en blanco para la contraseña, aunque no se recomienda esta posibilidad en exportaciones que contengan datos confidenciales cifrados.
- Si se pierde la contraseña de su exportación, es posible importar los Runbooks junto con su configuración relacionada. En la pantalla de importación, desactive la opción Importar datos cifrados de Orchestrator. De este modo, no se importarán los datos cifrados de plataforma de Orchestrator y se crearán valores en blanco en la base de datos de Orchestrator.
Escenario: administración eficaz de la pertenencia a grupos de usuarios de Orchestrator
Orchestrator dispone de dos roles de usuario principales: los autores de Runbooks y los operadores. Estos roles de usuario tienen distintos derechos en Orchestrator. Los autores de Runbooks son personas que disponen de acceso administrativo enriquecido a Orchestrator, incluida su base de datos y su configuración. Los autores de Runbooks son los que conceden acceso a los operadores de Runbooks. Los operadores de Runbooks tienen acceso a la consola de Orchestration y al Servicio Web en función de los derechos que les concedan los autores de Runbooks.
| Rol de usuario | Identificado por | Derechos |
|---|---|---|
| Autor de Runbook | Pertenencia al grupo de usuarios de Orchestrator (más detalles a continuación) | - Administradores de Orchestrator - Lectura, escritura y actualización de la configuración de Orchestrator - Control total de la base de datos de Orchestrator - Derechos completos de cifrado y descifrado - Acceso a las actividades de Runbooks que pueden interactuar con sistemas externos mediante paquetes de integración |
| Operador de Runbook | Permisos de carpeta de Runbooks concedidos por los autores de Runbooks en Runbook Designer | - Derechos de Orchestrator no administrativos - Acceso a la consola de Orchestration y al servicio web - Visualización e invocación de Runbooks según los derechos concedidos por los autores de Runbooks - Sin acceso a la base de datos de Orchestrator - Sin derechos de cifrado y descifrado |
Nota
Incluir una cuenta de usuario en el grupo de usuarios de Orchestrator identifica a esta cuenta de usuario como administrador de Orchestrator. Todos los usuarios de Orchestrator son administradores con los mismos privilegios que disponen de acceso completo a Orchestrator y los datos contenidos en la base de datos. Esto incluye el acceso para cifrar y descifrar los datos contenidos en la base de datos de Orchestrator.
Orchestrator administra la seguridad a través de la pertenencia a dos grupos de seguridad creados durante la instalación. Estos grupos son el grupo de usuarios de Orchestrator y grupo del sistema Orchestrator. La pertenencia a uno o ambos grupos identifica las cuentas que se consideran como administradores de Orchestrator ("roles de confianza"). Los derechos administrativos incluyen la capacidad para actualizar Runbooks, así como los datos de configuración relacionados, actualizar la configuración de los servidores de Runbooks, interactuar con los sistemas externos mediante paquetes de integración, instalar e implementar paquetes de interacción, interactuar mediante programación con la base de datos de Orchestrator, actualizar la configuración de la base de datos y cifrar o descifrar los datos almacenados en la base de datos de Orchestrator.
Nota
La pertenencia a uno o ambos grupos concede acceso administrativo completo a Orchestrator, incluido el acceso a todos los datos contenidos en la base de datos de Orchestrator. También concede derechos completos de cifrado o descifrado.
| Grupo de seguridad | Rol asociado | Propósito del grupo de seguridad |
|---|---|---|
| Grupo de usuarios de Orchestrator | Autores de Runbooks y cualquier usuario que implemente paquetes de integración | Este grupo de seguridad define las cuentas de usuario que podrán iniciar Runbook Designer, Deployment Manager y la utilidad Configuración del almacén de datos. La pertenencia a este grupo concede acceso con privilegios a la base de datos de Orchestrator. Dicho acceso incluye la capacidad para leer y actualizar la configuración de la base de datos, así como el acceso y la capacidad para descifrar datos. |
| Grupo del sistema Orchestrator | Ninguno (utilizado para las cuentas de servicio) | Este grupo de seguridad define las cuentas de servicio que requieren acceso con privilegios a la base de datos de Orchestrator. Dicho acceso incluye la capacidad para leer y actualizar la configuración de la base de datos, así como el acceso y la capacidad para descifrar datos. |
Los roles de usuario siguientes se consideran roles de confianza o que no son de confianza en Orchestrator.
| Dominio de seguridad | Contexto | Derechos de criptografía | Identificado por | Rol de confianza |
|---|---|---|---|---|
| Tiempo de ejecución | Servicios de Orchestrator Credenciales alternativas para "Invocar Runbooks" |
Cifrado y descifrado completo | Grupo de sistemas de Orchestrator en Active Directory o credenciales para la actividad "Invocar Runbooks" | Sí |
| Tiempo de diseño | Runbook Designer Deployment Manager Configuración del almacén de datos |
Cifrado y descifrado completo | Grupo de usuarios de Orchestrator en Active Directory | Sí |
| Operador | Consola de Orchestration Servicio web |
Sin acceso explícito a los datos cifrados o descifrados. | Derechos de usuario definidos en Runbook Designer por el rol Autor de Runbooks | No |
| Administrador de base de datos | MS SQL Server 20008 R2 | Cifrado y descifrado completo | Derechos de SQL Server como administrador de base de datos con derechos sobre la base de datos de Orchestrator | Sí |
| Administrador de Windows | Windows Server 2008 R2 | Sin derechos explícitos, aunque los administradores de Windows se consideran roles de confianza | Derechos de Windows | Sí |