]> granicus.if.org Git - icinga2/commitdiff
Docs: Improve security chapters 7347/head
authorMichael Friedrich <michael.friedrich@icinga.com>
Mon, 22 Jul 2019 12:44:47 +0000 (14:44 +0200)
committerMichael Friedrich <michael.friedrich@icinga.com>
Mon, 22 Jul 2019 12:44:47 +0000 (14:44 +0200)
doc/06-distributed-monitoring.md
doc/12-icinga2-api.md

index ca200ae5c4b30596ca81ad371227329fd9c4208b..1ce5c15b106cff3a261defdc6189e6d7d409830b 100644 (file)
@@ -173,8 +173,10 @@ While there are certain mechanisms to ensure a secure communication between all
 nodes (firewalls, policies, software hardening, etc.), Icinga 2 also provides
 additional security:
 
-* TLS/SSL certificates are mandatory for communication between nodes. The CLI commands
-help you create those certificates.
+* TLS v1.2+ is required.
+* TLS cipher lists are hardened [by default](09-object-types.md#objecttype-apilistener).
+* TLS certificates are mandatory for communication between nodes. The CLI command wizards
+help you create these certificates.
 * Child zones only receive updates (check results, commands, etc.) for their configured objects.
 * Child zones are not allowed to push configuration updates to parent zones.
 * Zones cannot interfere with other zones and influence each other. Each checkable host or service object is assigned to **one zone** only.
index 8e1a16b9eff282952d476d428e150affbee0b6c9..bb84e66b36e4f7b7ebfdb044cb81a0bfc15d3c94 100644 (file)
@@ -154,6 +154,13 @@ was malformed.
 A status in the range of 500 generally means that there was a server-side problem
 and Icinga 2 is unable to process your request.
 
+### Security <a id="icinga2-api-security"></a>
+
+* HTTPS only.
+* TLS v1.2+ is required.
+* TLS cipher lists are hardened [by default](09-object-types.md#objecttype-apilistener).
+* Authentication is [required](12-icinga2-api.md#icinga2-api-authentication).
+
 ### Authentication <a id="icinga2-api-authentication"></a>
 
 There are two different ways for authenticating against the Icinga 2 API: