Proteger o controlador de rede
Aplica-se a: Azure Local, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016
Este artigo descreve como configurar a segurança para toda a comunicação entre o controlador de rede e outros softwares e dispositivos.
Os caminhos de comunicação que você pode proteger incluem comunicação Northbound no plano de gerenciamento, comunicação de cluster entre máquinas virtuais (VMs) do Controlador de Rede em um cluster e comunicação Southbound no plano de dados.
Comunicação Northbound. O controlador de rede se comunica no plano de gerenciamento com software de gerenciamento compatível com SDN, como o Windows PowerShell e o System Center Virtual Machine Manager (SCVMM). Essas ferramentas de gerenciamento fornecem a capacidade de definir a diretiva de rede e criar um estado de meta para a rede, com o qual você pode comparar a configuração de rede real para colocar a configuração real em paridade com o estado de meta.
Comunicação de Cluster do Controlador de Rede. Quando você configura três ou mais VMs como nós de cluster do Controlador de Rede, esses nós se comunicam entre si. Essa comunicação pode estar relacionada à sincronização e replicação de dados entre nós ou à comunicação específica entre os serviços do controlador de rede.
Comunicação Southbound. O controlador de rede se comunica no plano de dados com a infraestrutura SDN e outros dispositivos, como balanceadores de carga de software, gateways e máquinas host. Você pode usar o controlador de rede para configurar e gerenciar esses dispositivos para o sul para que eles mantenham o estado de destino que você configurou para a rede.
Comunicação com destino ao norte
O controlador de rede suporta autenticação, autorização e criptografia para comunicação Northbound. As seções a seguir fornecem informações sobre como definir essas configurações de segurança.
Autenticação
Ao configurar a autenticação para comunicação Northbound do Controlador de Rede, você permite que nós de cluster e clientes de gerenciamento do Controlador de Rede verifiquem a identidade do dispositivo com o qual estão se comunicando.
O Controlador de Rede suporta os seguintes três modos de autenticação entre clientes de gerenciamento e nós do Controlador de Rede.
Nota
Se você estiver implantando o Controlador de Rede com o System Center Virtual Machine Manager, somente o modo Kerberos será suportado.
Kerberos. Use a autenticação Kerberos ao unir o cliente de gerenciamento e todos os nós de cluster do Controlador de Rede a um domínio do Ative Directory. O domínio do Ative Directory deve ter contas de domínio usadas para autenticação.
X509. Use X509 para autenticação baseada em certificado para clientes de gerenciamento que não ingressaram em um domínio do Ative Directory. Você deve registrar certificados para todos os nós de cluster do Controlador de Rede e clientes de gerenciamento. Além disso, todos os nós e clientes de gerenciamento devem confiar nos certificados uns dos outros.
Nenhum. Use Nenhum para fins de teste em um ambiente de teste e, portanto, não é recomendado para uso em um ambiente de produção. Quando você escolhe esse modo, não há autenticação executada entre nós e clientes de gerenciamento.
Você pode configurar o modo de autenticação para comunicação Northbound usando o comando do Windows PowerShell Install-NetworkController com o parâmetro ClientAuthentication.
Autorização
Ao configurar a autorização para comunicação Northbound do Controlador de Rede, você permite que nós de cluster e clientes de gerenciamento do Controlador de Rede verifiquem se o dispositivo com o qual eles estão se comunicando é confiável e tem permissão para participar da comunicação.
Use os seguintes métodos de autorização para cada um dos modos de autenticação suportados pelo controlador de rede.
Kerberos. Ao usar o método de autenticação Kerberos, você define os usuários e computadores autorizados a se comunicar com o Controlador de Rede criando um grupo de segurança no Ative Directory e, em seguida, adicionando os usuários e computadores autorizados ao grupo. Você pode configurar o Controlador de Rede para usar o grupo de segurança para autorização usando o parâmetro ClientSecurityGroup do comando Install-NetworkController do Windows PowerShell. Depois de instalar o controlador de rede, você pode alterar o grupo de segurança usando o comando Set-NetworkController com o parâmetro -ClientSecurityGroup. Se estiver usando o SCVMM, você deverá fornecer o security group como parâmetro durante a implantação.
X509. Quando você estiver usando o método de autenticação X509, o Controlador de Rede só aceita solicitações de clientes de gerenciamento cujas impressões digitais de certificado são conhecidas pelo Controlador de Rede. Você pode configurar essas impressões digitais usando o parâmetro ClientCertificateThumbprint do comando Install-NetworkController do Windows PowerShell. Você pode adicionar outras impressões digitais do cliente a qualquer momento usando o comando Set-NetworkController.
Nenhum. Quando você escolhe esse modo, não há autenticação executada entre nós e clientes de gerenciamento. Use Nenhum para fins de teste em um ambiente de teste e, portanto, não é recomendado para uso em um ambiente de produção.
Encriptação
A comunicação Northbound usa SSL (Secure Sockets Layer) para criar um canal criptografado entre clientes de gerenciamento e nós do controlador de rede. A criptografia SSL para comunicação Northbound inclui os seguintes requisitos:
Todos os nós do Controlador de Rede devem ter um certificado idêntico que inclua as finalidades de Autenticação de Servidor e Autenticação de Cliente nas extensões de Uso Avançado de Chave (EKU).
O URI usado pelos clientes de gerenciamento para se comunicar com o Controlador de Rede deve ser o nome da entidade do certificado. O nome da entidade do certificado deve conter o FQDN (Nome de Domínio Totalmente Qualificado) ou o endereço IP do Ponto de Extremidade REST do Controlador de Rede.
Se os nós do Controlador de Rede estiverem em sub-redes diferentes, o nome do assunto de seus certificados deverá ser o mesmo que o valor usado para o parâmetro RestName no comando Install-NetworkController do Windows PowerShell.
Todos os clientes de gerenciamento devem confiar no certificado SSL.
Registro e configuração de certificado SSL
Você deve registrar manualmente o certificado SSL nos nós do Controlador de Rede.
Depois que o certificado for registrado, você poderá configurar o Controlador de Rede para usar o certificado com o parâmetro -ServerCertificate do comando Install-NetworkController do Windows PowerShell. Se você já tiver instalado o controlador de rede, poderá atualizar a configuração a qualquer momento usando o comando Set-NetworkController .
Nota
Se você estiver usando o SCVMM, deverá adicionar o certificado como um recurso de biblioteca. Para obter mais informações, consulte Configurar um controlador de rede SDN na malha do VMM.
Comunicação de cluster do controlador de rede
O Controlador de Rede suporta autenticação, autorização e criptografia para comunicação entre nós do Controlador de Rede. A comunicação é através do Windows Communication Foundation (WCF) e TCP.
Você pode configurar esse modo com o parâmetro ClusterAuthentication do comando Install-NetworkControllerCluster do Windows PowerShell.
Para obter mais informações, consulte Install-NetworkControllerCluster.
Autenticação
Ao configurar a autenticação para a comunicação do Cluster do Controlador de Rede, você permite que os nós do cluster do Controlador de Rede verifiquem a identidade dos outros nós com os quais estão se comunicando.
O Controlador de Rede suporta os seguintes três modos de autenticação entre nós do Controlador de Rede.
Nota
Se você implantar o controlador de rede usando o SCVMM, somente o modo Kerberos será suportado.
Kerberos. Você pode usar a autenticação Kerberos quando todos os nós de cluster do Controlador de Rede são associados a um domínio do Ative Directory, com contas de domínio usadas para autenticação.
X509. X509 é autenticação baseada em certificado. Você pode usar a autenticação X509 quando os nós de cluster do Controlador de Rede não estiverem associados a um domínio do Ative Directory. Para usar o X509, você deve registrar certificados em todos os nós de cluster do Controlador de Rede e todos os nós devem confiar nos certificados. Além disso, o nome do assunto do certificado registrado em cada nó deve ser o mesmo que o nome DNS do nó.
Nenhum. Quando você escolhe esse modo, não há autenticação executada entre os nós do controlador de rede. Esse modo é fornecido apenas para fins de teste e não é recomendado para uso em um ambiente de produção.
Autorização
Ao configurar a autorização para comunicação de Cluster de Controlador de Rede, você permite que os nós de cluster do Controlador de Rede verifiquem se os nós com os quais estão se comunicando são confiáveis e têm permissão para participar da comunicação.
Para cada um dos modos de autenticação suportados pelo controlador de rede, os seguintes métodos de autorização são usados.
Kerberos. Os nós do Controlador de Rede aceitam solicitações de comunicação somente de outras contas de máquina do Controlador de Rede. Você pode configurar essas contas ao implantar o Controlador de Rede usando o parâmetro Name do comando New-NetworkControllerNodeObject do Windows PowerShell.
X509. Os nós do Controlador de Rede aceitam solicitações de comunicação somente de outras contas de máquina do Controlador de Rede. Você pode configurar essas contas ao implantar o Controlador de Rede usando o parâmetro Name do comando New-NetworkControllerNodeObject do Windows PowerShell.
Nenhum. Quando você escolhe esse modo, não há nenhuma autorização executada entre os nós do controlador de rede. Esse modo é fornecido apenas para fins de teste e não é recomendado para uso em um ambiente de produção.
Encriptação
A comunicação entre os nós do Controlador de Rede é criptografada usando criptografia no nível de Transporte WCF. Essa forma de criptografia é usada quando os métodos de autenticação e autorização são certificados Kerberos ou X509. Para mais informações, consulte os seguintes tópicos.
- Como: Proteger um serviço com credenciais do Windows
- Como: Proteger um serviço com certificados X.509.
Comunicação com destino ao sul
O controlador de rede interage com diferentes tipos de dispositivos para comunicação Southbound. Essas interações usam protocolos diferentes. Devido a isso, há diferentes requisitos para autenticação, autorização e criptografia, dependendo do tipo de dispositivo e protocolo usado pelo controlador de rede para se comunicar com o dispositivo.
A tabela a seguir fornece informações sobre a interação do controlador de rede com diferentes dispositivos southbound.
| Dispositivo/serviço Southbound | Protocolo | Autenticação usada |
|---|---|---|
| Load Balancer de Software | WCF (MUX), TCP (Host) | Certificados |
| Firewall | OVSDB | Certificados |
| Gateway | WinRM | Kerberos, Certificados |
| Rede Virtual | OVSDB, WCF | Certificados |
| Roteamento definido pelo usuário | OVSDB | Certificados |
Para cada um desses protocolos, o mecanismo de comunicação é descrito na seção a seguir.
Autenticação
Para comunicação Southbound, os seguintes protocolos e métodos de autenticação são usados.
WCF/TCP/OVSDB. Para esses protocolos, a autenticação é realizada usando certificados X509. Tanto o controlador de rede quanto o multiplexador de balanceamento de carga de software (SLB) (MUX)/máquinas host de mesmo nível apresentam seus certificados uns aos outros para autenticação mútua. Cada certificado deve ser confiável pelo par remoto.
Para autenticação southbound, você pode usar o mesmo certificado SSL configurado para criptografar a comunicação com os clientes Northbound. Você também deve configurar um certificado no SLB MUX e dispositivos host. O nome do assunto do certificado deve ser igual ao nome DNS do dispositivo.
WinRM. Para esse protocolo, a autenticação é executada usando Kerberos (para máquinas que ingressaram no domínio) e usando certificados (para máquinas que não ingressaram no domínio).
Autorização
Para comunicação Southbound, os seguintes protocolos e métodos de autorização são usados.
WCF/TCP. Para esses protocolos, a autorização é baseada no nome do assunto da entidade par. O controlador de rede armazena o nome DNS do dispositivo ponto a ponto e o usa para autorização. Esse nome DNS deve corresponder ao nome do assunto do dispositivo no certificado. Da mesma forma, o certificado do controlador de rede deve corresponder ao nome DNS do controlador de rede armazenado no dispositivo de mesmo nível.
WinRM. Se o Kerberos estiver sendo usado, a conta de cliente do WinRM deverá estar presente em um grupo predefinido no Ative Directory ou no grupo Administradores Locais no servidor. Se os certificados estiverem sendo usados, o cliente apresentará um certificado ao servidor que o servidor autoriza usando o nome/emissor da entidade e o servidor usará uma conta de usuário mapeada para executar a autenticação.
OVSDB. A autorização é baseada no nome do assunto da entidade par. O controlador de rede armazena o nome DNS do dispositivo ponto a ponto e o usa para autorização. Esse nome DNS deve corresponder ao nome do assunto do dispositivo no certificado.
Encriptação
Para comunicação Southbound, os seguintes métodos de criptografia são usados para protocolos.
WCF/TCP/OVSDB. Para esses protocolos, a criptografia é executada usando o certificado registrado no cliente ou servidor.
WinRM. O tráfego do WinRM é criptografado por padrão usando o provedor de suporte de segurança (SSP) Kerberos. Você pode configurar a criptografia adicional, na forma de SSL, no servidor WinRM.