|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
恢复SUSE® Security配置
恢复SUSE® Security配置
您可以通过应用配置备份文件来恢复之前的SUSE® Security配置。您可以手动生成备份,或通过导航到*设置 > 配置*从SUSE® Security控制台导出一个备份,并选择以下选项之一:
-
所有配置:包括注册表配置、集成、系统设置和策略。
-
仅策略:包括规则和安全策略。
您还可以通过使用 REST API 来自动化备份。例如,请参见 导出和导入配置文件。
如果所有控制器停止运行并且实时配置状态丢失,SUSE® Security 可以在 持久存储 正确配置时自动恢复配置。
|
从 SUSE® Security v5.4.7 开始,敏感配置数据通过使用名为 版本 5.3.0 到 5.4.6 使用固定的硬编码加密密钥。在升级或恢复期间,SUSE® Security 会自动检测使用旧密钥加密的数据,并使用从 在恢复配置数据之前,请始终升级到 v5.4.7 或更高版本。 |
|
SUSE® Security 不支持部分恢复(例如,仅恢复网络规则)或时间点恢复。使用自动化脚本定期备份配置文件并管理带时间戳的备份。 有关更多信息,请参见 导出和导入配置文件。 |
|
请勿修改备份配置文件。导出后编辑备份文件可能导致恢复失败或导致系统状态不可预测。 |
|
仅使用备份配置文件来恢复SUSE® Security,并且只能在导出它们的同一集群上进行。将备份恢复到不同的集群可能会导致不可预测的行为。 |
加密密钥管理
`neuvector-store-secret`包含*密钥加密密钥(KEK)。SUSE® Security使用KEK生成*数据加密密钥(DEKs),以加密敏感的配置数据。
密钥行为:
-
您必须维护并备份`neuvector-store-secret`。
-
如果 Secret 丢失或密钥值不符合长度要求,SUSE® Security 会自动创建或更新它。
-
当SUSE® Security创建或更新 Secret 时,它会生成一个提醒您备份的警报。
-
如果KEK更改或丢失,之前加密的数据将无法解密。
在滚动升级或恢复期间:
-
使用从KEK派生的DEK重新加密使用传统硬编码密钥加密的数据。
-
使用从KEK派生的DEK加密的数据只能由SUSE® Security使用相同的KEK解密。
当重新加密发生时,SUSE® Security记录该操作并生成事件。
通过加密保护的敏感数据
SUSE® Security加密存储在以下键值路径下的敏感数据:
-
object/config/server/ldap1 -
object/config/server/oidc1 -
object/config/server/saml1 -
object/config/system -
object/config/registry -
object/config/federation/membership -
object/config/federation/clusters/… -
object/cert/…
|
始终将`neuvector-store-secret`与SUSE® Security配置数据一起备份。 在数据丢失后或恢复到新集群时,您必须恢复SUSE® Security*相同的Secret*。没有相应Secret的配置备份无法解密。 |