Защита агентов OpsMgr

У каждого сервера, который содержит агент OpsMgr и транслирует события на серверы управления, имеются свои требования к безопасности. Необходима защита на уровне сервера и условия дляя сбора данных OpsMgr. Весь трафик между компонентами OpsMgr — агентами, серверами управления и базами данных — шифруется автоматически, т. е. он вполне защищен. В средах с высокими требованиями к безопасности следует рассмотреть возможность применения технологий шифрования наподобие IPSec, чтобы искажать идентификаторы событий, пересылаемые между агентами и серверами OpsMgr, и таким образом предотвратить их просмотр в пакетах OpsMgr. В OpsMgr используется взаимная аутентификация между агентами и серверами управления. Это означает, что агент и сервер управления должны доверять общему центру сертификации — простое требование, если агенты находятся в том же лесе, что и сервер управления. Если агент находится в другом лесе или рабочей группе, можно задействовать взаимную аутентификацию с помощью клиентских сертификатов. Если необходимо выполнять мониторинг всего не доверяемого домена, то в таком домене можно установить сервер-шлюз, а агенты использовать взаимную аутентификацию с сервером-шлюзом, для чего понадобятся сертификаты на шлюзе и сервере управления. Тогда не понадобится помещать сертификат на каждом члене не доверяемого домена. При развертывании серверов OpsMgr через брандмауэр необходимо учесть специальные условия. На брандмауэре потребуется открыть порт 5723 , чтобы OpsMgr мог через него обмениваться данными. Из всех портов чаще всего требуется открывать дляя агентов порт брандмауэра, а это только порт 5723 дляя мониторинга пересылки данных от агента к серверам управления. Другие порты, такие как 51909 для ACS, нужны реже показаны основные передачи данных и порты между компонентами OpsMgr. Обратите внимание на направленность стрелок от сервера управления к системам UNIX/Linux. Ее причиной является то, что сервер управления собирает информацию от агентов UNIX/Linux, но эти агенты не выгружают информацию. Из-за этого так низко возможное количество агентов UNIX/Linux.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *