Publicité
Sécurité : Gestion sécurisée des données sensibles
Règles SSD
REMARQUE
REMARQUE
REMARQUE
590
Commutateurs administrables CiscoSx350, SG350X, SG350XG, Sx550X et SG550XG, version du microprogramme 2.3.5.x, version 0.5
•
Les utilisateurs SNMP sur un canal SNMP et XML non sécurisé (SNMPv1, v2 et v3
sans confidentialité) sont considérés comme Tous les utilisateurs.
•
Les noms de communauté SNMP ne sont pas utilisés comme noms d'utilisateur pour
correspondre aux règles SSD.
•
L'accès d'un utilisateur SNMPv3 spécifique peut être contrôlé en configurant une
règle SSD avec un nom d'utilisateur qui correspond au nom d'utilisateur SNMPv3.
•
Il doit toujours y avoir au moins une règle avec une autorisation en lecture : Texte en
clair uniquement ou Les deux, car seuls les utilisateurs qui disposent de ces
autorisations peuvent accéder aux pages SSD.
•
Les changements apportés au mode de lecture par défaut et aux autorisations en lecture d'une
règle deviennent effectifs et sont appliqués aux utilisateurs concernés et au canal de toutes les
sessions de gestion actives immédiatement, à l'exclusion de la session qui effectue les
changements même si la règle est applicable. Lorsqu'une règle est changée (ajout,
suppression, modification), un système met à jour toutes les sessions CLI/GUI concernées.
Lorsque la règle SSD appliquée lors de la connexion à une session est modifiée à partir de cette
session, l'utilisateur doit se déconnecter puis se reconnecter pour voir la modification.
Lors d'un transfert de fichier initié par une commande XML ou SNMP, le protocole sous-jacent
utilisé est TFTP. Par conséquent, la règle SSD du canal non sécurisé s'appliquera.
Règles SSD et authentification des utilisateurs
SSD accorde une autorisation SSD uniquement aux utilisateurs authentifiés et autorisés, et
conformément aux règles SSD. Un appareil dépend de son processus d'authentification des
utilisateurs pour authentifier et autoriser l'accès de gestion. Pour protéger un appareil et ses
données contre tout accès non autorisé, y compris les données confidentielles et les
configurations SSD, il est recommandé de sécuriser le processus d'authentification des
utilisateurs. Pour sécuriser le processus d'authentification des utilisateurs, vous pouvez utiliser
la base de données d'authentification locale, mais aussi sécuriser la communication via les
serveurs d'authentification externes, tels qu'un serveur RADIUS. La configuration de la
communication sécurisée vers les serveurs d'authentification externes constitue des données
confidentielles et est protégée par SSD.
Les informations d'identification des utilisateurs contenues dans la base de données
d'authentification locale sont déjà protégées par un mécanisme non lié à SSD.
Si un utilisateur présent sur un canal exécute une action qui utilise un autre canal, l'appareil
applique l'autorisation en lecture et le mode de lecture par défaut à partir de la règle SSD qui
correspond aux informations d'identification des utilisateurs et à l'autre canal. Par exemple, si
un utilisateur se connecte via un canal sécurisé et démarre une session de chargement TFTP,
l'autorisation en lecture SSD de l'utilisateur sur le canal non sécurisé (TFTP) est appliquée.
22
Publicité
