Настройка шифрования между агентом и шлюзом

Чтобы настроить шифрование соединения между агентом и шлюзом:

  1. При необходимости подключитесь к пространству сателлита.

  2. Создайте секрет.

  3. Создайте и настройте шлюз.

  4. Настройте шифрование на агенте.

Подключение к пространству сателлита

Для подключения агентов к системе используются шлюзы. Шлюзы могут располагаться как в центральном кластере, так и в удаленных кластерах — сателлитах.

Если для соединения с агентом планируется использовать шлюз, расположенный в сателлите, необходимо заранее подключиться к этому сателлиту.

Управление сателлитом осуществляется за счет запускаемых на нем сервисов через веб-интерфейс основного экземпляра системы. Чтобы подключиться к сателлиту, необходимо создать подключение к его пространству. Для этого:

  1. Войдите в веб-интерфейс основного экземпляра системы.

  2. Перейдите в раздел Настройки → Пространства и сервисы → Пространства.

  3. Нажмите на кнопку Создать (plus). Отобразится окно создания подключения.

  4. Введите идентификатор пространства сателлита в поле ID.

  5. Введите название подключения. Название может быть любым.

  6. В поле IP или домен введите IP-адрес или доменное имя (FQDN) одного из узлов кластера, в котором развернут сателлит.

  7. В поле Порт введите номер TCP-порта, указанного на этапе NATS satellite setup установки сателлита.

  8. При необходимости введите описание подключения к пространству.

  9. Нажмите на кнопку Создать. Система создаст подключение к пространству и отобразит соответствующее уведомление. Подключение отобразится в списке раздела Настройки → Пространства и сервисы → Пространства.

У созданного подключения отобразится статус Подключается. По завершении подключения статус изменится на Активен.

Время на инициализацию подключения зависит загруженности кластеров и каналов связи и может достигать 5—​10 минут.

Создание секрета

Чтобы создать секрет с подготовленным TLS-сертификатом:

  1. Перейдите в раздел Ресурсы → Секреты. Система отобразит сведения об имеющихся секретах.

  2. Нажмите на кнопку Создать (plus). Отобразится окно создания секрета.

  3. Введите название секрета.

  4. При необходимости введите описание секрета.

  5. Выберите из выпадающего списка тип секрета Контейнер PKCS.

  6. Задайте настройки выбранного типа секрета:

    1. Загрузите файл сертификата и файл приватного ключа, подготовленные на этапе Добавление TLS-сертификата на агенте.

    2. Оставьте поле Пароль для приватного ключа пустым.

      Система не поддерживает использование приватных ключей с паролем для TLS-шифрования соединения.

  7. Нажмите на кнопку Создать. Система создаст секрет и отобразит соответствующее уведомление. Новый секрет появится в списке раздела Ресурсы → Секреты.

Создание и настройка шлюза

Чтобы настроить шифрование соединения со шлюзом:

  1. Создайте шлюз. При создании задайте следующие параметры:

    1. Выберите пространство, к которому необходимо подключиться:

      • Если необходимо настроить вынесенный шлюз, выберите пространство, созданное на шаге Подключение к пространству сателлита.

      • Если необходимо настроить шлюз в центральном кластере, выберите Центральное пространство.

    2. Укажите IP- или FQDN-адрес для подключения к шлюзу.

      Адрес шлюза с шифрованием должен совпадать с адресом, указанном в файле TLS-сертификата.

    3. Укажите порт для подключения к шлюзу. Допустимые значения: 30 000—​32 767.

      Порт должен быть уникальным в рамках инсталляции системы.

    4. Задайте максимальный размер буфера в МБ для хранения событий ИБ.

      Эффективный размер буфера будет равен 80% от указанного значения.

    5. Переведите переключатель Включить TLS в активное положение и выберите секрет, созданный на шаге Создание секрета.

  2. Запустите шлюз. Шлюз станет доступен для подключения к нему агентов.

Настройка шифрования на агенте

Чтобы подключить агент к шлюзу с шифрованием соединения:

  1. Установите агент.

  2. Настройте сетевой доступ к шлюзу по необходимому порту. Для этого задайте настройки подключения к шлюзу в параметре leafnodes в секции nats_server файла конфигурации rpoint.conf.

    Особенности задания параметра leafnodes с шифрованием

    Для каждого шлюза без TLS-шифрования в поле url указывается URL-адрес в формате nats://<addr>:<port>.

    Для каждого шлюза с TLS-шифрованием адрес указывается в формате tls://<addr>:<port>.

    Здесь:

    • <addr> — адрес подключения к шлюзу.

    • <port> — порт подключения к шлюзу.

    "leafnodes": {
  "remotes": [
    {
      "url": "tls://worker01.rpoint.local:32000"
    }
  ]
}

  3. Запустите агент.

+7 (499) 755 55 70 sales@rvision.ru

О компании Пользовательское соглашение Политика cookies