Processus de détection de falsification

Lorsqu’elle est activée, la détection de sabotage valide vos paramètres de contrôle du quorum en vérifiant toute modification non autorisée (altération). La détection de falsification utilise un code d’authentification de message basé sur le hachage (HMAC).

1. Lorsqu’un paramètre est modifié ou créé, votre instance crée un HMAC. Le protocole HMAC est basé sur la valeur de l’enregistrement de paramètre (dare_property).
2. Chaque fois que votre instance utilise ces paramètres, la détection d’altération les valide à l’aide du HMAC.
3. Si le paramètre est validé avec succès, il peut être utilisé par la plateforme, sinon ce n’est pas le cas.

La détection de falsification s’exécute quotidiennement sur votre instance

La détection d’altération vérifie l’altération de vos paramètres à l’aide d’une tâche planifiée quotidienne et signale les échecs de validation dans vos journaux de nœud et de sécurité. La détection de falsification envoie une notification aux administrateurs de sécurité et KMF en cas d’échec de validation.

La détection de falsification s’exécute avant l’exécution d’un retrait de clé

La détection d’effraction valide également vos propriétés lorsque vous demandez un retrait de clé. Si vos paramètres ne passent pas la validation, le retrait de clé ne s’exécute pas. Dans ce cas, vous devez résoudre tous les problèmes de validation avant que le retrait de clé puisse avoir lieu.

Identification de l’altération

La détection de falsification met à jour vos journaux en cas d’échec de validation.

Si la détection d’altération ne parvient pas à valider l’un de vos paramètres de contrôle du quorum, ces échecs s’affichent dans vos journaux de nœud et de sécurité. L’entrée de journal inclut le sys_id de l’enregistrement des paramètres (dare_property) dont la validation a échoué.

2022-06-28 13:45:46 (582) Default-thread-5 B6FAC1F6C3D01110CF37169D7940DD6E txid=231c4d72c310 SEVERE HMAC_VALIDATION_FAILED:The dare_property record with sys_id: 776e3200c3210110900b169d7940dd76 failed HMAC validation

2022-06-28 13:47:35 (264) Default-thread-8 B6FAC1F6C3D01110CF37169D7940DD6E txid=8e8cc972c310 SEVERE HMAC_VALIDATION_FAILED:The dare_property record with sys_id: 758b3200c3210110900b169d7940dd76 failed HMAC validation

La journalisation affiche des informations similaires à ces exemples en cas d’échec de validation. Les validations réussies n’apparaissent pas dans les journaux.

La détection de falsification affiche un message d’avertissement sur la page des paramètres de contrôle du quorum

Si la validation d’un paramètre de contrôle du quorum a échoué, un avertissement s’affiche lorsque vous consultez la page des paramètres de la politique de contrôle du quorum sur votre instance. L’avertissement inclut la sys_id de l’enregistrement des paramètres (dare_property) dont la validation a échoué.

La détection d’altération envoie des notifications aux utilisateurs disposant des Security Admin rôles et KMF Admin

Si la détection d’altération ne valide aucun de vos paramètres de contrôle du quorum, vos administrateurs de sécurité et vos administrateurs KMF reçoivent une notification semblable à cet exemple.

Résolution des problèmes de falsification grâce à l’assistance ServiceNow

Si la détection de sabotage ne valide aucun de vos paramètres de contrôle du quorum, contactez ServiceNow l’assistance pour obtenir de l’aide afin de résoudre le problème. Une fois qu’un agent d’assistance a résolu l’échec de validation, les administrateurs de sécurité et KMF reçoivent une notification indiquant que le problème a été résolu.