EMC® VNXe™ セキュリティ構成ガイド - EMC Japan

by user

on 28 марта 2017

Category: Documents

>> Downloads: 15

107

views

Report

Comments

Description

Download EMC® VNXe™ セキュリティ構成ガイド - EMC Japan

Transcript

EMC® VNXe™ セキュリティ構成ガイド - EMC Japan

EMC® VNXe™
リリース 2
セキュリティ構成ガイド
P/N 300-012-190 Rev 05
EMCジャパン株式会社
〒151-0053 東京都渋谷区代々木2-1-1新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
Copyright © 2011 - 2013 EMC Corporation.不許複製。
January 2013 発行
EMC Corporationは、この資料に記載される情報が、発行日時点で正確であるとみなしていま
す。この情報は予告なく変更されることがあります。
このドキュメントの情報は「現状のまま」提供されます。EMC Corporationは、このドキュメ
ントに記載されている情報についていかなる種類の表現または保証もいたしかねます。また、
特に、特定の目的のための、市販性または適合性の暗黙の保証を否定します。
この資料に記載される、いかなるEMCソフトウェアの使用、複製、頒布も、当該ソフトウェア
ライセンスが必要です。
製品ラインに関する最新版の安全規格情報については、EMC Powerlinkの［テクニカルドキュ
メントおよびアドバイザリ］セクションを参照してください。
EMC製品名の最新のリストについては、http://japan.emc.comサイトの「EMC Corporation
Trademarks」を参照してください。
他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標
です。
2
EMC VNXeセキュリティ構成ガイド
目次
序文.....................................................................................................................................................5
第 1 章 : はじめに.........................................................................................................................7
概要..............................................................8
関連ドキュメント..................................................8
第 2 章 : アクセス制御..............................................................................................................11
アクセス方法.....................................................12
VNXeの出荷時におけるデフォルトの管理アカウントとサービスアカウ
ント..........................................................14
VNXeアカウント管理...............................................14
Unisphere for VNXe...............................................15
VNXe Unisphere CLI（コマンドラインインタフェース）.............16
VNXeサービスSSHインタフェース....................................18
VNXeサービスシリアルポートインタフェース......................19
第 3 章 : ロギング.......................................................................................................................21
ロギング.........................................................22
リモートログオプション.........................................23
第 4 章 : 通信セキュリティ.......................................................................................................25
ポートの使用.....................................................26
VNXeネットワークポート.....................................26
VNXeが通信する可能性のあるポート............................30
VNXe証明書.......................................................32
DHCPを使用した管理インタフェースの構成...........................33
IPアドレスのVNXeシステムへの自動的な割り当て................34
EMC VNXeセキュリティ構成ガイド
3
目次
IPバージョン6をサポートするVNXeインタフェース、サービス、および
機能..........................................................35
IPv6を使用したVNXe管理インタフェースアクセス....................37
Connection Utilityの実行.........................................38
CIFS暗号化.......................................................38
第 5 章 : データセキュリティ設定........................................................................................41
データセキュリティ設定..........................................42
不使用時のデータの暗号化.........................................43
第 6 章 : セキュリティ保守.......................................................................................................47
安全な保守.......................................................48
ライセンス更新..............................................48
ソフトウェアのアップグレード................................48
第 7 章 : セキュリティアラートの設定................................................................................51
アラートの設定...................................................52
アラート設定の構成..........................................53
第 8 章 : その他のセキュリティ設定...................................................................................55
データの消去.....................................................56
物理的なセキュリティ制御.........................................56
ウイルス対策保護.................................................56
4
EMC VNXeセキュリティ構成ガイド
序文
製品ラインのパフォーマンスと機能を継続的に改善および強化するための努力の一環とし
て、EMCではハードウェアおよびソフトウェアの新規バージョンを定期的にリリースして
います。そのため、本書で説明されている機能の中には、現在お使いのソフトウェアまた
はハードウェアのバージョンによっては、サポートされていないものもあります。製品機
能の最新情報については、お使いの製品のリリースノートを参照してください。
製品が正常に機能しない、またはこのマニュアルの説明どおりに動作しない場合には、EMC
の担当者にお問い合わせください。
EMC VNXeセキュリティ構成ガイド
5
序文
注意事項の表記法
EMCでは、特別な注意を要する事項に次の表記法を使用します。
注：非常に重要である、または重要であるが身体への傷害や事業損失/データ消失にはつながら
ない状況を示します。
事業損失またはデータ消失を招く可能性のある状況を示します。
回避しなかった場合に軽度または中程度の傷害を招く可能性がある危険な状況を示し
ます。
回避しなかった場合に死亡または重傷を招く可能性がある危険な状況を示します。
回避しなかった場合に死亡または重傷を招く危険な状況を示します。
問い合わせ先
VNXeのサポート情報、製品情報、ライセンス情報は、以下の場所で入手できます。
製品情報：ドキュメント、リリースノート、ソフトウェアの更新、またはEMC製
品、ライセンス、サービスに関する情報については、EMCオンラインサポートWeb
サイト（登録が必要です）http://www.emc.com/vnxesupportをご覧ください。
テクニカルサポート：テクニカルサポートおよびサービスリクエストについて
は、EMCオンラインサポートを参照してください。［サービスセンター］には、
サービスリクエストを作成するためのオプションを含む複数のオプションが表示
されます。サービスリクエストを開始するには、有効なサポート契約が必要です。
有効なサポート契約の入手方法の詳細や、アカウントに関する質問については、EMC
販売担当者にお問い合わせください。
注：お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサ
ポート担当者へのお問い合わせはご遠慮ください。
ご意見
マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしてお
ります。
本書についてのご意見を以下のメールアドレスにお送りください。
[email protected]
6
EMC VNXeセキュリティ構成ガイド
第1章
はじめに
本章では、VNXeに実装されている各種セキュリティ機能について簡単に
説明します。
トピックは次のとおりです。
トピック :
●
●
概要（8ページ）
関連ドキュメント（8ページ）
EMC VNXeセキュリティ構成ガイド
7
はじめに
概要
EMC®VNXe™では、さまざまなセキュリティ機能を利用することで、ユーザーアクセスと
ネットワークアクセスの制御、システムアクセスとシステム使用の監視、ストレージ
データの転送などを行うことができます。この文書では、使用可能なVNXeセキュリティ機
能について説明します。
この文書は、VNXeのシステム構成と操作に携わる管理者を対象にしています。
このガイドでは、表 1（8ページ）に示されているカテゴリー内のセキュリティ設定につ
いて説明します。
表 1. セキュリティ設定カテゴリー
セキュリティカテゴ
リー
説明
アクセス制御
ハードウェア、ソフトウェア、製品の特定の機能を保護するた
めの、エンドユーザーまたはその他のエンティティによるア
クセスの制限。
ログ
イベントのログの管理。
通信セキュリティ
製品ネットワーク通信の保護。
データセキュリティ
製品データの保護。
保守性
EMCまたはEMCのサービスパートナーによって実施される
製品サービスオペレーションの制御維持。
アラートシステム
セキュリティ関連のイベントが発生する際のセキュリティア
ラートおよび通知生成。
その他のセキュリティ前述のセクションのどれにも該当しない、データ消去や物理
設定
的なセキュリティなどのセキュリティ設定。
関連ドキュメント
具体的な構成方法は、VNXeのドキュメントに記載されています。VNXeのドキュメントはEMC
オンラインサポートのWebサイトhttp://www.emc.com/vnxesupportから入手できます。こ
のガイドでは、関連情報として次のドキュメントを引用しています。
8
●
VNXeハードウェアのインストール
●
Unisphere for VNXeオンラインヘルプ
●
CIF共有フォルダでのVNXeの使用
●
NFS共有フォルダでのVNXeの使用
●
Microsoft ExchangeでのVNXeの使用
●
汎用iSCSIストレージでのCelerra VNXeの使用
●
VMwareストレージでのVNXeの使用
EMC VNXeセキュリティ構成ガイド
はじめに
●
VNXe CLIユーザーガイド
関連ドキュメント
9
はじめに
10
EMC VNXeセキュリティ構成ガイド
第2章
アクセス制御
本章では、VNXeに実装されている各種アクセス制御機能について説明し
ます。
トピックは次のとおりです。
トピック :
●
●
●
●
●
●
●
アクセス方法（12ページ）
VNXeの出荷時におけるデフォルトの管理アカウントとサービスア
カウント（14ページ）
VNXeアカウント管理（14ページ）
Unisphere for VNXe（15ページ）
VNXe Unisphere CLI（コマンドラインインタフェース）（16ペー
ジ）
VNXeサービスSSHインタフェース（18ページ）
VNXeサービスシリアルポートインタフェース（19ページ）
EMC VNXeセキュリティ構成ガイド
11
アクセス制御
アクセス方法
VNXeでは、表 2（12ページ）に示されているアクセス方法がサポートされています。
表 2. アクセス方法
タイプ
説明
管理アカウントこれらのアカウントには、VNXeシステムとこのシステムのストレージリソースに関連する管
理タスクと監視タスクを実行する権限（表 6（16ページ）を参照）があります。
パスワードは、VNXe管理インタフェースで管理および作成し、次のどちらの管理インタフェー
スのアクセスにも使用できます。
●
EMC Unisphere™：
HTTPS経由でアクセスするWebベースのグラフィカルインタフェースであり、VNXeスト
レージおよびシステム設定の構成、管理、監視のためのツールが含まれます。
●
VNXe Unisphere CLI：
VNXe Unisphere CLIでは、Unisphereで使用できる機能のサブセットが提供されます。
12
EMC VNXeセキュリティ構成ガイド
アクセス制御
表 2. アクセス方法（続き）
タイプ
説明
サービスアカ
ウント
このアカウントは、特別なサービス機能を実行します。この1件のアカウントにより、SSH接
続またはシリアルポート接続で、複数のサービスインタフェースにアクセスできます。
VNXe管理インタフェースには、次のものが含まれます。
●
Unisphere for VNXe：
管理アカウントを使用して、次のアクションを実行できるUnisphereサービスページにア
クセスするためのサービスパスワードを入力します。
●
「システムサービス情報の収集」：
システムに関する情報を収集し、ファイルに保存します。EMCサービス担当者は、収
集した情報を使用してシステムを分析できます。
●
「システムの再初期化」：
VNXeシステムを当初の出荷時設定にリセットします。両方のSP（ストレージプロセッ
サ）がインストールされ、正常に稼働しており、サービスモードになっていないと、こ
のアクションは実行できません。
注：「サービスモード」とは、メンテナンスとトラブルシューティングを目的とする、
動作が制限されたモードです。このモードになっているVNXeシステムのインタフェー
スは、Unisphereの一部のインタフェースと、問題を切り分けて解決できる特定のCLI
インタフェースに制限されます。
●
「システムサービスパスワードの変更」：
［サービスシステム］ページにアクセスするためのサービスパスワードを変更しま
す。
●
VNXe Unisphere CLI：
VNXe Unisphere CLIは、Unisphereで使用できる同じ機能を提供するコマンドラインイ
ンタフェースです。
●
VNXe SSHサービススクリプトインタフェース：
SSHクライアントを通じてアクセスできるコマンドラインインタフェースであり、VNXeの問
題の診断、トラブルシューティング、および解決のための、サービス固有の機能を利用
できます。
●
VNXeシリアルポートサービスインタフェース：
シリアルポートインタフェースを介してアクセスする場合を除き、SSHサービスインタ
フェースと同じ診断およびトラブルシューティング機能が提供されます。
アクセス方法
13
アクセス制御
VNXeの出荷時におけるデフォルトの管理アカウントとサービスアカウント
VNXeシステムは、初めてVNXeシステムにアクセスして構成する際に使用できるように、デ
フォルトのユーザーアカウント設定が行われた状態で出荷されます。表 3（14ページ）
を参照してください。
表 3. 出荷時におけるデフォルトのユーザーアカウント設定
アカウントタイプ
ユーザー名
パスワード
権限
管理（Unisphere）
admin
Password123#
デフォルトパスワードの
リセット、システム設定の
構成、ユーザーアカウン
トの作成、ストレージの割
り当てを行うための管理
者権限。
サービス
service
service
保守作業の実行。
注：初期構成プロセスでは、デフォルトの管理者とサービスアカウントのパスワードを変更する
必要があります。
VNXeアカウント管理
表 4（14ページ）に、VNXeアカウントの管理方法を示します。
表 4. アカウントの管理方法
アカウントの役割
説明
管理
VNXeの初期システム構成プロセスが完了すると、UnisphereまたはVNXe Unisphere
CLIからVNXe管理アカウントを管理できます。VNXeローカルアカウントのパスワー
ド設定の作成、変更、削除、またはリセットを行えるほか、アカウントを使用するユー
ザーに提供される権限を決定する役割をアカウントに割り当てることや変更するこ
とができます。
サービス
VNXeサービスアカウントの作成または削除を行うことはできません。サービスア
カウントのパスワードは、Unisphereサービスページから［サービスパスワードの変更］
機能を使用してリセットできます。
注： VNXeシステムの出荷時のデフォルトアカウントパスワードは、VNXeシステムのシャーシにあ
るパスワードリセットボタンを押してリセットできます。詳細については、「Unisphereオンライ
ンヘルプ」を参照してください。
14
EMC VNXeセキュリティ構成ガイド
アクセス制御
Unisphere for VNXe
Unisphereのアクセス認証は、ユーザー（ローカルまたはLDAP）アカウントの認証情報に
基づいて実行されます。ユーザーアカウントが作成され、それ以降は、Unisphereの［管
理］ページで管理を行います。Unisphereに適用される許可は、ユーザーアカウントに関
連づけられた役割によって異なります。
セッション規則
Unisphereセッションには次の特徴があります。
●
有効期限は1時間
●
セッションタイムアウトは構成できない
●
認証時にセッションIDが生成され、各セッションが継続する間、このIDが使用され
ます。
パスワードの使用
Unisphereアカウントのユーザー名とパスワードは、表 5（15ページ）に示す要件を満
たす必要があります。
表 5. Unisphereアカウントの要件
制限
パスワードの要件
文字の最小数
8
大文字の最小数
1
小文字の最小数
1
数字の最小数
1
特殊文字の最小数
サポートされる特殊文字：
1
!,@#$%^*_~?
文字の最大数
40
注：アカウントのパスワードは、Unisphereで［設定］＞［その他の構成］＞［管理］の順にク
リックして変更できます。パスワードを変更する際、直近の3種類のパスワードは再使用できま
せん。詳細については、「Unisphereオンラインヘルプ」を参照してください。
Unisphere for VNXe
15
アクセス制御
承認
表 6（16ページ）に、VNXeローカルユーザーに割り当てることができる役割と、それ
らの役割に関連づけられる権限を示します。さらに、これらの役割をLDAPユーザーや
グループに割り当てることができます。
表 6. ローカルユーザーの役割と権限
タスク
オペレータ
ストレージ管理 Administrator
者
自身のローカルログインパスワードの変更
x
x
ホストの追加
x
x
ストレージの変更
x
x
ストレージの削除
x
x
ストレージリソース（仮想ディスク、共有、ストレージグルー
プなど）にストレージオブジェクトを追加する
x
x
x
x
x
x
ストレージ構成とステータスの表示
x
VNXeユーザーアカウントを表示する
VNXeユーザーアカウントの追加、削除、または変更を行う
現在のソフトウェアまたはライセンスのステータスの表示
x
x
x
x
ソフトウェアまたはライセンスのアップグレード
x
初期構成の実行
x
ストレージサーバ構成の変更
x
VNXeのシステム設定を変更する
x
VNXeのネットワーク設定を変更する
x
管理インタフェース言語の変更
x
x
x
注：アカウントの役割は、Unisphereで［設定］＞［その他の構成］＞［管理］の順にクリックし
て変更できます。詳細については、「Unisphereオンラインヘルプ」を参照してください。
VNXe Unisphere CLI（コマンドラインインタフェース）
VNXe Unisphere CLIは、Unisphereで使用できる同じ機能を提供するコマンドラインイ
ンタフェースです。
16
EMC VNXeセキュリティ構成ガイド
アクセス制御
Unisphere CLIを稼働するには、特別なVNXeコマンドラインソフトウェアが必要です。
このソフトウェアは、EMCオンラインサポートのWebサイト
（http://www.emc.com/vnxesupport）からダウンロードすることができます。
セッション規則
Unisphere CLIクライアントでは、セッションはサポートされません。アカウントの
ユーザー名とパスワードを指定するには、発行するコマンドごとにコマンドライン構
文に従う必要があります。
特定のアカウントのアクセス認証情報（ユーザー名とパスワード）をローカルファイ
ルに保存するには、Unisphere CLIの–saveuserコマンドを使用します。アクセス認証情
報を保存した後、コマンドを実行するたびにそれらの情報が、指定されたVNXeデスティ
ネーションとポートにCLIによって自動的に適用されます。
パスワードの使用
Unisphere CLIに対する認証は、Unisphereで作成と管理が行われる管理アカウントに
従って行われます。現在のログインアカウントに関連づけられている役割に基づき、
Unisphereに適用される同じ権限が個々のコマンドに適用されます。
設定の保存
Unisphere CLIを実行するホストに次の設定を保存できます。
●
アクセスする各システムに対するユーザーアクセス認証情報（ユーザー名やパス
ワードなど）。
●
システムからインポートしたSSL証明書。
●
Unisphere CLIを使用してアクセスするデフォルトシステムに関する情報（システ
ム名またはIPアドレスやシステムポート番号など）。
これらの設定は、Unisphere CLIにより、Unisphere CLIがインストールされているホ
スト上の安全なローカルロックボックスに保存されます。保存されているデータは、
保存したユーザーが保存先のホスト上でのみ使用できます。ロックボックスは次の場
所にあります。
●
Windows XPの場合：
C:\Documents and Settings\<account_name>\Local
Settings\ApplicationData\EMC\UEM CLI\
●
Windows 7の場合：
C :\Users\${user_name}\AppData\Local\.EMC\UEM CLI\
●
UNIX/Linuxの場合：
<home_directory>/EMC/UEM CLI
VNXe Unisphere CLI（コマンドラインインタフェース）
17
アクセス制御
config.xmlファイルとconfig.keyファイルを探します。Unisphere CLIをアンインス
トールしても、これらのディレクトリとファイルは削除されないため、そのまま保持
することができます。ただし、セキュリティ上の理由により、これらのファイルを削
除することをお勧めします。
VNXeサービスSSHインタフェース
VNXe SSHサービスインタフェースには、Unisphere サービスページ（［設定］＞［サー
ビスシステム］）で使用できる機能のサブセットを実行するためのコマンドラインイ
ンタフェースが付属しています。
サービスアカウントを使用して、ユーザーは次の機能を実行できます。
●
VNXeシステムの設定とオペレーションを監視およびトラブルシューティングするため
にVNXeサービスコマンドを実行する。
●
権限のないLinuxユーザーアカウントのメンバーとして、標準的なLinuxコマンドを使
用する。このアカウントには、専用のシステムファイル、構成ファイル、ユーザー/
顧客データなどに対するアクセス権はありません。
セッション
VNXe SSHサービスインタフェースセッションは、SSHクライアントによって確立され
た設定に基づいて維持されます。セッションの特性は、SSHクライアント構成設定に
よって決まります。
パスワードの使用
サービスアカウントは、基本的なLinuxコマンドを実行するためにEMCサービス担当者
が使用できるアカウントです。
VNXeサービスインタフェースのデフォルトのパスワードはserviceです。VNXeシステ
ムの初期構成を行う際には、デフォルトのサービスパスワードを変更する必要があり
ます。パスワードへの制限事項は、Unisphere管理アカウントに適用される制限事項と
同じです（表 5（15ページ）を参照）。VNXeサービスアカウントのパスワード設定管
理に使用されるVNXeサービスコマンドsvc_service_passwordについては、「VNXeサービス
コマンドテクニカルノート」を参照してください。
承認
表 7（19ページ）に示すように、サービスアカウントの権限は2つの方法で定義され
ます。
18
EMC VNXeセキュリティ構成ガイド
アクセス制御
表 7. サービスアカウントの権限定義
許可タイプ
説明
Linuxファイルシステム権サービスアカウントを使用してVNXeシステムに対して実行できるタスクと実
限
行できないタスクのほとんどは、ファイルシステム権限によって定義されま
す。たとえば、何らかの方法でシステム動作を変更するほとんどのLinuxツー
ルおよびユーティリティは、スーパーユーザーのアカウント権限を必要としま
す。サービスアカウントにはこのようなアクセス権がないため、サービスア
カウントは自身に実行権限がないLinuxツールおよびユーティリティを使用で
きません。
ACL（アクセスコントロー
ルリスト）
VNXeのACLメカニズムは非常に特殊なルールリストを使用して、サービス
アカウントによるシステムリソースへのアクセス権を明示的に付与または拒
否します。標準のLinuxファイルシステム権限によって定義されない、VNXe
システムのほかの領域に対するサービスアカウント権限は、これらの規則
によって指定されます。
VNXeサービスコマンド
VNXeのOE（オペレーティング環境）には、問題診断、システム構成、およびシステム
リカバリに使用される一連のコマンドがインストールされています。これらのコマン
ドを使用すると、Unisphereを使用した場合よりも、さらに詳しい情報を収集し、より
深いレベルのシステム制御を行うことができます。「VNXeサービスコマンドテクニ
カルノート」では、これらのコマンドとその一般的な使用例について説明します。
VNXeサービスシリアルポートインタフェース
VNXeサービスシリアルポートインタフェースでは、サービスSSHインタフェースと同じ
機能が提供され、同じ制限が適用されます。相違点は、ユーザーがインタフェースにアク
セスするために、SSHクライアントではなくシリアルポート接続を使用することです。
サービスコマンドの一覧については、「VNXe Service Commands Technical Notes」を参
照してください。
VNXeサービスシリアルポートインタフェース
19
アクセス制御
20
EMC VNXeセキュリティ構成ガイド
第3章
ロギング
本章では、VNXeに実装されている各種ロギング機能について説明します。
トピックは次のとおりです。
トピック :
●
●
ロギング（22ページ）
リモートログオプション（23ページ）
EMC VNXeセキュリティ構成ガイド
21
ロギング
ロギング
VNXeシステムでは、システム上で発生するイベントを追跡するために次の種類のログが維
持されます。表 8（22ページ）を参照してください。
表 8. ログ
ログタイプ
説明
システムロユーザーによる処置が可能なVNXeイベントを通知するためにUnisphereに表示される情報。こ
グ
れらの情報は、システムに指定されているデフォルトの言語設定に応じてローカライズされま
す。「ユーザーによる処置が可能な」イベントには監査イベントも含まれます。ログに記録され
たイベントがすべてGUIに表示されるわけではありません。重大度の閾値を満たしていない監
査ログエントリーは、ログには記録されますがGUIには表示されません。
システムア VNXeシステムのステータスまたは動作の診断または監視のためにサービス担当者によって
ラート
使用される情報。これらの情報は英語でのみ記録されます。
ログの表示と管理
VNXeシステムで使用できるロギング機能を以下に示します。表 9（22ページ）を参照
してください。
表 9. ロギング機能
特徴
説明
ログのロールオーバー VNXeログシステムに記録されたログが200万エントリーに達すると、ログの記録
時間が最も古い50万エントリーがパージされ、150万ログエントリーに戻ります。
リモートログを有効にするとログエントリーのアーカイブを行えます。これにより、
ログエントリーをリモートネットワークノードにアップロードし、そのノード上でアー
カイブやバックアップが行えるようになります。詳細については、
dctm://esa/37000001802cb91b?DMS_OBJECT_SPEC=RELATION_ID&DMS_ANCHOR=#R18780セクションを参照してください。
ログレベル
VNXeではログレベルを設定できません。
dctm://esa/37000001802cb91c?DMS_OBJECT_SPEC=RELATION_ID&DMS_ANCHOR=#R18780のセクションで説明しているように、ログレベルはエクスポートさ
れたログファイルでのみ構成できます。
アラートの統合
VNXeのアラート情報は次の方法で表示できます。
●
アラートのみの表示：
Unisphereで、［システム］＞［システムアラート］の順に選択します。
●
すべてのログイベントの表示：
VNXe Unisphere CLIを使用し、コマンドcemcli list eventを入力します。
22
EMC VNXeセキュリティ構成ガイド
ロギング
表 9. ロギング機能（続き）
特徴
説明
外部ログの管理
リモートログを有効にするとログエントリーのアーカイブを行えます。これにより、
ログエントリーをリモートネットワークノードにアップロードし、そのノード上でアー
カイブやバックアップが行えるようになります。リモートノードでは、システムログな
どのツールを使用し、ログ結果のフィルタや分析を行うことができます。詳細につ
いては、dctm://esa/37000001802cb927?DMS_OBJECT_SPEC=RELATION_ID&DMS_ANCHOR=#R18780セクションを参照してください。
時間の同期化
ログ時間はGMT形式で記録され、NTPサーバを介してローカルネットワーク時間
と同期化されるVNXeシステム時間に従って維持されます。
リモートログオプション
VNXeは、リモートネットワークアドレスへのユーザー/監査メッセージのログをサポー
トします。デフォルトでは、VNXeはポート514でUDPを使用してログ情報を転送します。次
のリモートログ設定は、Unisphereで構成できます。Unisphereにログインし、［設定＞管
理設定］をクリックし、次に［ネットワーク］タブを選択します。
●
VNXeがリモートログ情報を送信するネットワークの名前またはアドレス
●
送信するユーザーレベルのログメッセージのタイプ。［ファシリティ］フィールド
を使用して、ログメッセージのタイプを設定します。EMCでは、［ユーザーレベルの
メッセージ］オプションを選択することを推奨しています。
●
ログ転送に使用するポート番号とタイプ（UDPまたはTCP）
●
ログメッセージ内のテキストの言語設定
VNXeのメッセージログを受信するホストを構成する方法
VNXeシステムに対してリモートログを構成する前に、システムログを実行しているリ
モートホストを、VNXeシステムからのメッセージログを受信するように構成する必
要があります。多くのシナリオでは、受信側コンピュータのルートアカウントまたは
管理者アカウントにより、リモートシステム上のsyslog-ng.confファイルを編集し
て、ログ情報を受信するようにリモートシステムログサーバを構成できます。
注：リモートシステムログサーバの設定と実行の詳細については、リモートシステムで実行
されているオペレーティングシステムのマニュアルを参照してください。
リモートログオプション
23
ロギング
24
EMC VNXeセキュリティ構成ガイド
第4章
通信セキュリティ
本章では、VNXeに実装されている各種通信セキュリティ機能について説
明します。
トピックは次のとおりです。
トピック :
●
●
●
●
●
●
●
ポートの使用（26ページ）
VNXe証明書（32ページ）
DHCPを使用した管理インタフェースの構成（33ページ）
IPバージョン6をサポートするVNXeインタフェース、サービス、お
よび機能（35ページ）
IPv6を使用したVNXe管理インタフェースアクセス（37ページ）
Connection Utilityの実行（38ページ）
CIFS暗号化（38ページ）
EMC VNXeセキュリティ構成ガイド
25
通信セキュリティ
ポートの使用
UnisphereとCLIインタフェースによる通信は、ポート443でHTTPSを使用して行われます。
ポート80でHTTPを使用してUnisphereにアクセスすると、自動的にポート443にリダイレク
トされます。
VNXeネットワークポート
表 10（31ページ）は、VNXeに存在する可能性のある各種ネットワークサービス（および
対応するポート）の概要をまとめたものです。
表 10. VNXeネットワークポート
サービス
プロトコル
ポート
説明
SSH/SSHD/SFTP
TCP
22
SSHアクセス（有効の場合）、および
SFTP（SSH経由のFTP）を可能にしま
す。SFTPはクライアント/サーバプロ
トコルです。ユーザーはSFTPを使用
して、ローカルサブネット上にある
VNXeシステムでファイル転送を実行
できます。
閉じている場合、SSHを使用した管理
接続は使用できなくなります。
動的DNS更新
UDP
53
DHCP（Dynamic Host Control Protocol）と併用する場合に、DNSクエリー
をDNSサーバに転送するために使用
されます。
閉じている場合、名前解決を使用でき
なくなります。
DHCPクライアント
UDP
67
初期の構成プロセスで、VNXeをDHCP
クライアントとして利用できます。また、
クライアント（VNXe）からDHCPサーバ
にメッセージを転送して、管理インタ
フェース情報を自動的に取得するた
めに使用されます。さらに、すでに導
入されたVNXeの管理インタフェース
のためにDHCPの構成に使用されま
す。
閉じている場合、DHCPによる動的IP
アドレスの割り当てが行われなくなり
ます。
26
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
表 10. VNXeネットワークポート（続き）
サービス
プロトコル
ポート
説明
DHCPクライアント
UDP
68
初期の構成プロセスで、VNXeをDHCP
クライアントとして利用できます。また、
DHCPサーバからクライアント（VNXe）
へのメッセージを受信して、管理イン
タフェース情報を自動的に取得するた
めに使用されます。さらに、すでに導
入されたVNXeの管理インタフェース
のためにDHCPの構成に使用されま
す。
閉じている場合、DHCPによる動的IP
アドレスの割り当てが行われなくなり
ます。
HTTP
TCP
80
HTTPトラフィックをUnisphereとVNXe
Unisphere CLIにリダイレクトします。
閉じている場合、デフォルトHTTPポー
トへの管理トラフィックは使用できなく
なります。
rpcbind
TCP/UDP
111
（ネットワークインフ
ラストラクチャ）
標準のportmapperまたはrpcbindサー
ビスにより開かれた、補助的なVNXe
ネットワークサービスです。
これは停止できません。定義上、クラ
イアントシステムがポートへネットワー
ク接続できる場合、クエリーも実行で
きます。認証は行われません。
NTP
UDP
123
NTP時間の同期化。
閉じている場合、アレイの時刻が同期
されなくなります。
NETBIOSセッション
サービス
（CIFS）
TCP
139
NETBIOSセッションサービスはVNXe
CIFSファイル共有サービスと関連づけ
られている、この機能のコアコンポー
ネントです。CIFSサービスが有効であ
る場合、このポートは開かれていま
す。これは特に、Windows OSの初期
バージョン（Windows 2000以前）で必
要です。
VNXe CIFSサービスへの正当なアク
セス権を持つクライアントは、継続的
な処理を行うために、このポートへの
ネットワーク接続を必要とします。
ポートの使用
27
通信セキュリティ
表 10. VNXeネットワークポート（続き）
サービス
プロトコル
ポート
説明
SNMP
UDP
161、162
SNMP通信。
閉じている場合、SNMPに依存してい
るVNXeアラートが送信されなくなりま
す。
HTTPS
TCP
443
UnisphereおよびVNXe Unisphere CLI
へのセキュアなHTTPトラフィック。
閉じている場合、アレイと通信できな
くなります。
CIFS
TCP
445
Windows 2000以降のクライアント用
CIFS接続ポート。VNXe CIFSサービス
への正当なアクセス権を持つクライア
ントは、継続的な処理を行うために、
このポートへのネットワーク接続を必
要とします。
動的DNS更新
UDP
動的に割り当てられ
るポート（1024以上）
DHCP（Dynamic Host Control Protocol）と併用する場合に、DNSクエリー
への応答をDNSサーバから受信する
ために使用されます。
閉じている場合、名前解決を使用でき
なくなります。
mountd
TCP
1234
マウントサービスに使用されます。こ
れは、NFSサービスのコアコンポーネ
ントです（バージョン2および3）。
TCP
2049
NFSサービスの提供に使用されます。
Portable Archive In- TCP
terchange（PAX）
4658
PAXは、標準的なUNIXテープ形式で
動作するVNXeアーカイブプロトコル
です。
（NFS）
NFS
（バックアップサービ
ス）
このサービスは、複数の内部ネット
ワークインタフェースにバインドされ
る必要があり、その結果として外部イ
ンタフェースにもバインドされます。た
だし、外部ネットワーク経由の着信リ
クエストは拒否されます。
PAXのバックグラウンド情報は、バッ
クアップおよびNDMPの関連するEMC
マニュアルに記載されています。この
トピックには、さまざまなバックアップ
ツールを扱ったテクニカルモジュール
があります。
28
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
表 10. VNXeネットワークポート（続き）
サービス
プロトコル
ネットワークブロック TCP
サービス（NBS）
ポート
説明
5033
iSCSIに類似した（およびその先駆け
である）EMC独自のプロトコル。この
ポートを開くNBSサービスは、コア
VNXeサービスで、停止することはでき
ません。
外部的には、NBSはスナップショットお
よびレプリケーション制御機能に使用
されます。
レプリケーション
サービス
TCP
5081
Data Mover間のレプリケーションコマ
ンド。
レプリケーション
サービス
TCP
5083
レプリケーションサービスと関連づけ
られています。
レプリケーション
サービス
TCP
5084
レプリケーションサービスと関連づけ
られています。
レプリケーション
サービス
TCP
5085
レプリケーションサービスと関連づけ
られています。
統計情報モニタサー TCP
ビス
7777
統計情報モニタサービス
RCP
TCP
8888
Replicatorにより使用されます（セカン
ダリ側）。これは、何らかのデータのレ
プリケーションが必要になると同時に、
Replicatorにより開かれたままになり
ます。開始されたサービスを停止する
方法はありません。
TCP
10000
NDMPサーバにサードパーティソフト
ウェアをインストールせずに、ネット
ワークバックアップアプリケーション
を介してNDMPサーバのバックアップ
とリカバリを制御できます。VNXeシス
テムでは、Data MoverはNDMPサーバ
として機能します。
（レプリケーション
サービス）
NDMP
NDMPテープバップアップを使用しな
い場合は、NDMPサービスを無効化で
きます。
NDMPサービスの認証は、ユーザー
名とパスワードのペアが使用されま
す。ユーザー名は設定可能です。さま
ざまな環境におけるパスワードの設
定方法については、NDMPマニュアル
を参照してください。
ポートの使用
29
通信セキュリティ
表 10. VNXeネットワークポート（続き）
サービス
プロトコル
ポート
説明
usermapper
TCP
12345
このポートは、usermapperサービスに
より開かれます。VNXe CIFSサービス
と関連づけられたコアサービスで、特
定の環境では停止すべきではありま
せん。
CIFS
これは、SIDベースのWindows認証情
報をUNIXベースのUIDおよびGID値を
マップするために使用されるメソッドで
す。
IWD
UDP
動的に割り当て済み IWD初期構成デーモン。
閉じている場合、ネットワーク経由で
アレイを初期化できなくなります。
rquotad
TCP
動的に割り当て済み rquotadデーモンは、ファイルシステ
ムをマウントしたNFSクライアントに
クォータ情報を提供します。
nlockmgr
TCP
動的に割り当て済み NFSファイルロックに使用されます。
NFSクライアントからのロック要求を処
理し、ステータスサービスと連携して
動作します。
status
TCP
動的に割り当て済み NFSファイルロックのステータスモニ
タで、nlockmgrと連携して動作し、NFS
（本質的にステータスや情報を持たな
いプロトコル）にクラッシュおよびリカ
バリ機能を提供します。
VNXeが通信する可能性のあるポート
VNXeは、一部の状況、例えば、LDAPサーバとの通信などで、ネットワーククライアント
の機能を果たす可能性があります。このような状況では、VNXeは通信を開始し、ネット
ワークインフラストラクチャでこれらの接続をサポートする必要があります。表 10（31
ページ）は、対応するサービスを適切に機能させるために、VNXeにアクセスを許可すべき
ポートを示します。これには、VNXe Unisphere CLIが含まれます。
30
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
表 11. VNXeにより開始される可能性のあるネットワーク接続
サービス
プロトコル
ポート
説明
SMTP
TCP
25
システムによるメールの送信を可能にします。
閉じている場合、メール通知を使用できなくな
ります。
DNS
UDP
53
DNSクエリー。
閉じている場合、名前解決を使用できなくな
ります。
DHCP
UDP
67～68
VNXeがDHCPクライアントとして機能すること
を可能にします。
閉じている場合、DHCPによる動的IPアドレス
の割り当てが行われなくなります。
HTTP
TCP
80
HTTPトラフィックをUnisphereとVNXe Unisphere CLIにリダイレクトします。
閉じている場合、デフォルトHTTPポートへの
管理トラフィックは使用できなくなります。
NTP
UDP
123
NTP時間の同期化。
閉じている場合、アレイの時刻が同期されな
くなります。
SNMP
UDP
161、162*
SNMP通信。
閉じている場合、SNMPに依存しているVNXe
アラートが送信されなくなります。
LDAP
TCP
389*
セキュリティ保護なしのLDAPクエリー。
閉じている場合、セキュリティ保護なしのLDAP
認証クエリーを使用できなくなります。代わり
にセキュリティ保護されたLDAPを構成できま
す。
HTTPS
TCP
443
UnisphereおよびVNXe Unisphere CLIへの
HTTPSトラフィック。
閉じている場合、アレイと通信できなくなりま
す。
CIFS
TCP
445
Windows NTドメインコントローラすべて。
CIFS
TCP
445
Windowsドメインコントローラすべて。
ポートの使用
31
通信セキュリティ
表 11. VNXeにより開始される可能性のあるネットワーク接続
（続き）
サービス
プロトコル
リモートシステム UDPまたはTCP
ログ
ポート
説明
514*
システムメッセージをリモートホストに記録し
ます。
また、ログの転送方法（UDPまたはTCP）や、
システムが使用するホストポートを構成する
ことができます。
LDAPS
TCP
639*
セキュリティで保護されたLDAPクエリー。
閉じている場合、セキュリティで保護された
LDAP認証を使用できなくなります。
CIM XML
TCP
5989
システム間のレプリケーションに関係するさま
ざまな内部タスクで使用されます。CIM-XML
を使用して行われた呼び出しすべてで認証お
よび承認が必要です。
IWD
UDP
動的に割り当て済
み
IWD初期構成デーモン。
閉じている場合、ネットワーク経由でアレイを
初期化できなくなります。
rquotad
TCP
動的に割り当て済
み
rquotadデーモンは、ファイルシステムをマウ
ントしたNFSクライアントにクォータ情報を提供
します。
nlockmgr
TCP
動的に割り当て済
み
NFSファイルロックに使用されます。NFSクラ
イアントからのロック要求を処理し、ステータ
スサービスと連携して動作します。
status
TCP
動的に割り当て済
み
NFSファイルロックのステータスモニタで、
nlockmgrと連携して動作し、NFS（本質的にス
テータスや情報を持たないプロトコル）にクラッ
シュおよびリカバリ機能を提供します。
注： LDAPとLDAPSのポート番号は、ディレクトリサービスを構成するときにUnisphere内から上書
きできます。デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそれを上書き
できます。また、リモートシステムログのポート番号とSNMPポート番号はUnisphereの内部から上
書きできます。
VNXe証明書
VNXeは、最初の初期化の際に、OpenSSLを使用して自己署名の証明書を自動的に生成しま
す。証明書は、NVRAMとバックエンドLUNの両方に保存されます。これ以降、クライアント
32
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
が管理ポート経由でVNXeに接続しようとすると、VNXeがクライアントにこの証明書を提示
するようになります。
この証明書は3年間有効ですが、VNXeにより、有効期限の1か月前に再生成されます。また
svc_custom_certサービスコマンドを使用して、新しい証明書をアップロードできます。こ
のコマンドは、Unisphere管理インタフェースで使用するために、指定されたSSL証明書を
PEM形式でインストールします。サービスコマンドの詳細については、「VNXeサービス
コマンドテクニカルノート」を参照してください。UnisphereやVNXe Unisphere CLIを
使用して証明書を表示することはできません。ただし、ブラウザクライアントや、管理
ポートへの接続を試行するWebツールで証明書を表示することはできます。
DHCPを使用した管理インタフェースの構成
システムを設置してケーブルを接続し、電源を投入した後は、VNXe管理インタフェースに
IPアドレスを割り当てる必要があります。DHCP（Dynamic Host Control Protocol）サー
バとDNS（ドメインネームシステム）サーバが含まれる動的ネットワークでVNXeを実行
している場合は、管理IPアドレスを自動的に割り当てることができます。
注： VNXeシステムを動的なネットワーク環境で実行していない場合、または、固定IPアドレスを手
動で割り当てる場合、VNXe Connection Utilityをインストールして実行する必要があります
（Connection Utilityの実行（38ページ）を参照）。
ネットワーク構成では、利用可能なIPアドレスの範囲、正しいサブネットマスク、ゲー
トウェイ、ネームサーバアドレスを設定する必要があります。DHCPサーバとDNSサーバ
の設定については、特定のネットワークのマニュアルを参照してください。
DHCPは、動的なIPアドレスをネットワーク上のデバイスに割り当てるプロトコルです。
DHCPでは、中央サーバからIPアドレスを管理しており、VNXeシステムが組織のネットワー
クに接続されたときに、一意の新しいIPアドレスを自動的に割り当てることができます。
この動的なアドレス指定により、ネットワークの管理がシンプルになります。シンプルに
なる理由は、管理者がタスクを管理する必要がなく、ソフトウェアがIPアドレスを追跡す
るからです。
DNSサーバはドメイン名をIPアドレスに変換するIPベースのサーバです。数値のIPアドレ
スとは異なり、ドメイン名は英字であるため、通常、簡単に覚えることができます。IP
ネットワークはIPアドレスに基づいているため、ドメイン名を使用するたびに、DNSサー
バは、名前を対応するIPアドレスに変換する必要があります。たとえば、ドメイン名
http://japan.emc.comは、IPアドレス10.250.16.87に変換されます。
DHCPプロトコルでの情報交換は、元々セキュリティで保護されておらず、悪意のあるサー
バと通信する可能性もありますが、アクセス制御の面では、管理IPネットワークは物理的
に安全であり、DHCP情報の不正な交換を防止するために役立つと期待されています。また
DHCP/ダイナミックDNSの構成時には、ユーザー名、パスワードなどの管理情報は交換され
ません。
管理IP項目の構成（DHCPの環境設定、DNSサーバおよびNTPサーバの構成）は、セキュリ
ティに関しては、既存のUnisphereのフレームワークに含まれています。リースの期限切
れに伴う新しいIPアドレスの取得など、DNSイベントとDHCPイベントはVNXe監査ログに記
録されます。VNXe管理IP構成のためにDHCPを使用しない場合、その他のネットワークポー
トは開かれません。
DHCPを使用した管理インタフェースの構成
33
通信セキュリティ
IPアドレスのVNXeシステムへの自動的な割り当て
はじめに
VNXeシステム、DHCPサーバ、およびDNSサーバの間にネットワーク接続が確立されている
ことを確認します。
手順
DHCPネットワークを構成すると、IPアドレスをVNXeシステムに自動的に割り当てることが
できます。
1. VNXeシステムの電源をオンにします。
VNXeの背面にあるSP障害ライトが点灯すると（青が点灯し、アンバーが3秒間に一度点
滅すると）、システムが初期化されておらず、管理IPアドレスが割り当てられていな
いことがわかります。VNXeシステムを実行しているDHCPクライアントソフトウェア
は、ローカルネットワークでIPアドレスを要求します。DHCPサーバはIPアドレスを
VNXeに動的に割り当て、この情報をDNSサーバに送信します。VNXeの管理IPは、ネット
ワークドメインに登録されます。IPアドレスが割り当てられるとSP障害ライトはオフ
になり、VNXeシステムを正しく構成するために、Unisphereにログインできるようにな
ります。VNXe管理IPを固定IPアドレスとして手動で構成する場合、IPが自動的に割り
当てられ、SP障害ライトがオフになった後でも、アドレスを手動で構成できます。た
だし、手動での構成は、構成ウィザードのEULA（エンドユーザー使用許諾契約書）に
同意する前に実行する必要があります。
2. Webブラウザを開いて、次の構文を使用して管理インタフェースにアクセスします。
serial_number.domain
各項目の意味は以下のとおりです。
serial_numberは、VNXeのシリアル番号です。この番号は、VNXeに付属していた梱包材
で確認できます。
domainは、VNXeシステムが配置されているネットワークドメインです。
例：
FM100000000017.mylab.emc.com.
証明書のエラーが表示されたら、ブラウザの指示に従ってエラーを無視します。
3. デフォルトのユーザー名（admin）とパスワード（Password123#）を使用してVNXeシス
テムにログインします。
Unisphereを初めて起動すると、構成ウィザードが実行され、パスワード、DNSサーバ、
NTPサーバ、ストレージプール、ストレージサーバ設定、ESRS機能、ConnectEMC機能
を構成できます。
34
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
4. ［DNS（ドメインネームサーバ）］パネルが表示されるまで、構成ウィザードの手順
を進めます。
5. ［DNS（ドメインネームサーバ）］パネルでは、［デフォルトのDNSサーバアドレス
を自動的に取得する］を選択します。
6. VNXeクイックスタートポスターまたはオンラインヘルプの情報に基づいて、ウィ
ザードの手順を続行します。
IPバージョン6をサポートするVNXeインタフェース、サービス、および機能
システムでは、インタフェースを構成したり、IPv6（インターネットプロトコルバー
ジョン6）アドレスを使用して、さまざまなサービスや機能を構成したりできます。ここ
では、IPv6プロトコルをサポートする機能について説明します。
●
インタフェース（SF、iSCSI）：IPv4またはIPv6アドレスをインタフェースに固定的に
割り当てる
●
ホスト：ホストのネットワーク名、IPv4アドレスまたはIPv6アドレスを入力する
●
経路：IPv4またはIPv6プロトコルの経路を構成する
●
診断：IPv4またはIPv6の宛先デスティネーションアドレスを使用して、診断のための
ping CLIコマンドを開始する Unisphereの［デスティネーションに対するpingコマンドの実行］ス
クリーンは、IPv6デスティネーションアドレスもサポートします。
すべてのVNXeコンポーネントはIPv4をサポートし、ほとんどのコンポーネントがIPv6をサ
ポートします。次の表に、設定のタイプとコンポーネントごとに、IPv6サポートの有無を
示します。
設定のタイプ
コンポーネント
IPv6をサポート
Unisphereの管理設定
管理用ポート
○
DNS（ドメインネームサーバ）
○
NTP（Network Time Protocol）サーバ
○
リモートログサーバ
○
Microsoft Exchange
○
VMwareデータストア（NFS）
○
VMwareデータストア（VMFS）
○
Hyper-Vデータストア
○
Unisphereホスト構成の設定
IPバージョン6をサポートするVNXeインタフェース、サービス、および機能
35
通信セキュリティ
設定のタイプ
コンポーネント
IPv6をサポート
Unisphereのアラート設定
SNMPトラップ送信先
○
SMTPサーバ
○
EMCの接続
X
EMCセキュアリモートサポート（ESRS） X
ストレージサーバ設定
iSCSIサーバ
○
共有フォルダサーバ
○
NIS（Network Information Service）サー ○
バ（NFS共有フォルダサーバ用）
その他
Active Directoryサーバ（CIFS共有フォ
ルダサーバ用）
○
iSNS（Internet Storage Name Service）
サーバ
○
PING送信先
○
リモートログ
○
LDAP
○
Unisphereリモート
X
レプリケーション
X
IPv6アドレス標準
IPv6（インターネットプロトコルバージョン6）は、IETF（Internet Engineering
Task Force）が開発したIPアドレス標準であり、現在、多くのインターネットサービ
スが使用しているIPv4アドレス標準を補完し、将来、最終的な移行先となる標準です。
IPv4は32ビットのIPアドレスを使用しており、約43億のアドレスを提供しています。
インターネットユーザーとインターネット接続デバイスの爆発的な増加により、利用
可能なIPv4アドレススペースが不足しています。IPv6は128ビットのアドレスを使用
して、約340兆のアドレスを提供できるため、アドレスの不足は解決されます。また
IPv6は、モビリティ、自動構成、全体的な拡張性の問題など、IPv4の他の問題も解決
します。
IPv6アドレスは、次のように、コロンで区切られた8フィールド、16ビットの16進数値
で表現されます。
36
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
IPv6アドレスの各値は0～9の数字またはA～Fの文字です。
IPv6標準の詳細については、IETF Webサイト（http://www.ietf.org）でIPv6標準（RFC
2460）の情報を参照してください。
IPv6を使用したVNXe管理インタフェースアクセス
VNXeで管理接続を設定するとき、次のタイプのIPアドレスを受け入れるようにシステムを
構成できます。
●
固定IPv6（インターネットプロトコルバージョン6）アドレス、DHCPから取得された
IPv4アドレス、および固定IPv4アドレス
●
IPv4アドレスのみ
IPv6アドレスを管理インタフェースに固定的に割り当てることができます。管理インタ
フェースのIPv6アドレスは、手動/固定または無効という2種類のモードのいずれかに設定
できます。IPv6を無効化する場合でも、プロトコルはインタフェースからバインド解除を
実行しません。disableコマンドでは、管理インタフェースに割り当てられたユニキャス
トIPv6アドレスが削除され、VNXeはIPv6でアドレス指定されたリクエストに応答しなくな
ります。IPv6はデフォルトで無効化されています。
システムを設置してケーブルを接続し、電源を投入した後は、VNXe管理インタフェースに
IPアドレスを割り当てる必要があります。VNXeを動的なネットワークで実行していない場
合、または、固定IPアドレスを手動で割り当てる場合、VNXe Connection Utilityをダウ
ンロードしてインストールし、実行する必要があります。Connection Utilityの詳細につ
いては、Connection Utilityの実行（38ページ）を参照してください。
管理インタフェースで、IPv6を使用して、受信リクエストをVNXeに転送することができま
す。IPv4のみ、IPv6のみ、またはIPv4とIPv6の混在環境で動作するようにVNXeで管理イン
タフェースを構成できます。また、UnisphereのUIとCLI（コマンドラインインタフェー
ス）を使用してVNXeを管理できます。
NTP（Network Time Protocol）やDNS（Domain Naming System）などの送信サービスでは、
明示的なIPv6アドレスまたはDNS名を利用したIPv6アドレス指定がサポートされます。DNS
名がIPv6とIPv4の両方に解決される場合、VNXeはIPv6を使用してサーバと通信します。
管理ネットワークインタフェースでは、IPv6に関連する属性など、管理インタフェース
の管理に使用するCLIコマンドを設定したり、表示したりします。これらの管理ネットワー
クインタフェースコマンドと属性の詳細については「VNXe Unisphere CLIユーザーガ
イド」を参照してください。
IPv6を使用したVNXe管理インタフェースアクセス
37
通信セキュリティ
Connection Utilityの実行
注： DHCPサーバやDNSサーバを含む動的なネットワーク環境でVNXeシステムを実行している場合、
VNXe Connection Utilityを使用する必要はありません。その代わり、VNXe管理インタフェースに対
して、動的なIPアドレス（IPv4のみ）を自動的に割り当てることができます（DHCPを使用した管理
インタフェースの構成（33ページ）を参照）。VNXeシステムで固定IPアドレスを使用する場合、
Connection Utilityを使用して、手動で特定のIPアドレスを使用するように構成します。単純なミ
スや詳細に関する知識不足により、同じ管理IPアドレスで2台のVNXeシステムを構成することがあ
り、この場合は、固定アドレスの割り当てに問題が発生することになります。この状況では、競合
が発生してネットワーク接続が切断されます。DHCPを使用してIPアドレスを動的に割り当てている
場合、このような競合は最小限に抑えられます。IPアドレスの割り当てにDHCPを使用するようにVNXe
システムを構成した場合、固定的に割り当てられたIPアドレスを使用する必要はありません。
Connection Utilityインストールソフトウェアは、EMCオンラインサポートWebサイトか
ら入手できます。ソフトウェアのダウンロード後に、プログラムをWindowsホストにイン
ストールします。VNXeと同じサブネット上にあるコンピュータでConnection Utilityを実
行すると、未構成のVNXeシステムが自動検出されます。別のサブネット上でConnection
Utilityを実行した場合は、構成データをUSBドライブに保存し、VNXeシステムに移すこと
ができます。
注：両方のSP（ストレージプロセッサ）がサービスモードになっている場合、管理IPアドレスは
変更できません。
Connection Utilityを実行して構成をVNXeシステムに転送したら、VNXe管理インタフェー
スに割り当てたIPアドレスを使用して、Webブラウザ経由でVNXeシステムに接続すること
ができます。
VNXeシステムに初めて接続すると、VNXe構成ウィザードが起動されます。構成ウィザード
では、VNXeシステムの初期構成を設定できます。初期構成を設定したら、ストレージリ
ソース作成作業を開始できます。
CIFS暗号化
VNXeでSMB 3.0およびWindows 2012がサポートされているため、CIFSを使用できるホスト
に対しては、CIFS暗号化機能が提供されます。CIFS暗号化により、CIFSファイル共有で
データに安全にアクセスできます。この暗号化は、信頼されていないネットワーク上で
も、データにセキュリティを提供します。具体的には、アレイとホストの間で送信される
SMBデータをエンドツーエンドで暗号化できます。データは、信頼されていないネット
ワーク上で、傍受やのぞき見といった攻撃から保護されます。
CIFS暗号化は共有ごとに構成できます。暗号化するように共有を定義すると、SMB3クライ
アントは、その共有に関連する全リクエストを暗号化する必要があります。暗号化しない
と、その共有へのアクセスが拒否されます。
CIFS暗号化を有効化するには、CIFSサーバを追加するときに［CIFS暗号化］オプションを
設定するか、CIFS共有のcreateとsetコマンドを使用して設定します。また、CIFS共有フォ
38
EMC VNXeセキュリティ構成ガイド
通信セキュリティ
ルダを作成するときに、［CIFS暗号化］オプションを設定します。SMBクライアントには必
要な設定はありません。
注： CIFS暗号化の設定については、Unisphere for VNXeのオンラインヘルプおよび「VNXe Unisphere
CLIユーザーガイド」を参照してください。
CIFS暗号化
39
通信セキュリティ
40
EMC VNXeセキュリティ構成ガイド
第5章
データセキュリティ設定
本章では、サポートされているストレージタイプに対応するVNXeで使用
可能なセキュリティ機能を説明します。
トピックは次のとおりです。
トピック :
●
●
データセキュリティ設定（42ページ）
不使用時のデータの暗号化（43ページ）
EMC VNXeセキュリティ構成ガイド
41
データセキュリティ設定
データセキュリティ設定
表 12（42ページ）に、サポートされているVNXeストレージタイプで使用可能なセキュリ
ティ機能を示します。
表 12. セキュリティ機能
ストレージタイポート
プ
プロトコル
セキュリティ設定
iSCSIストレー
ジ
TCP
●
Unisphereを介した、iSCSIホスト（イニシエータ）レベ
ルのアクセス制御が可能です。これにより、クライア
ントはプライマリストレージまたはスナップショット、あ
るいはこの両方にアクセスできます。
●
CHAP認証がサポートされます。これにより、VNXe
iSCSIサーバ（ターゲット）は、iSCSIベースストレージ
にアクセスする iSCSIホスト（イニシエータ）を認証で
きます。
●
双方向CHAP認証がサポートされます。これにより、
iSCSIホスト（イニシエータ）はVNXe iSCSIサーバを認
証できます。
●
Active Directoryのユーザーアカウントとグループア
カウントによって、ドメインアクションと管理アクション
に対する認証が提供されます。
●
Windowsのディレクトリサービスによって、ファイルア
クセス制御と共有アクセス制御が提供されます。
●
SMB署名で、セキュリティシグネチャがサポートされ
ます。
●
CIFS暗号化は、CIFS対応のホストに、SMB 3.0およ
びWindows 2012経由で提供されます。CIFS暗号化の
詳細については、
dctm://esa/37000001802cb92e?DMS_OBJECT_SPEC=RELATION_ID&DMS_ANCHOR=#R18780
を参照してください。
●
アドオンソフトウェアで、オプションのファイルレベル
リテンション設定サービスがサポートされます。
●
Unisphereで、共有ベースのアクセス制御が提供され
ます。
●
NFSバージョン2および3で特定されているNFS認証と
アクセス制御方式のサポート。
●
アドオンソフトウェアで、オプションのファイルレベル
リテンション設定サービスがサポートされます。
3260
CIFSストレージ 445
NFSストレージ 2049
42
EMC VNXeセキュリティ構成ガイド
TCP、UDP
TCP
データセキュリティ設定
表 12. セキュリティ機能（続き）
ストレージタイポート
プ
プロトコル
バックアップと
リストア
セキュリティ設定
●
NDMP共有シークレットに基づいてNDMPセキュリティ
を実装できます。
不使用時のデータの暗号化
暗号化とは、特別な知識を持つ者以外、データを読めないように変換する処理です。VNXe
システムのSED（自己暗号化ドライブ）は、AES-256ビット暗号化を使用します。この暗号
化は、データがメディアに書き込まれる前に各ドライブ内で実行されます。これにより、
盗難やハードウェア障害、ドライブリカバリサービスなどの方法によりドライブを物理
的に解体して直接ドライブを読み取ろうとする試みからドライブ上のデータを保護しま
す。また、この暗号化は、情報がリカバリ可能でなくなるように複数回ドライブを上書き
することなくドライブ上の情報をすばやく確実に消去する手段にもなります。
暗号化データを読み取るには、ドライブをロック解除するためのSEDの認証キーが必要で
す。認証されたSEDのみがロック解除してアクセス可能になります。ドライブをロック解
除すると、SEDは暗号化されたデータを元の形式に復号化します。
自己暗号化ドライブ
VNXeシステムは、SED（自己暗号化ドライブ）を使用して、不使用時のデータの暗号化
をサポートしています。SEDのすべてのデータは、ドライブに保存されているデータ暗
号化キーにより、暗号化されます。暗号化は出荷前に工場で設定され、設定後に元に
戻すことはできません。SEDの暗号化/復号化処理は透過的かつ自動的に行われ、パ
フォーマンスを劣化させません。
SEDへのアクセス制御は、認証キーの使用により実施されます。認証キーを使用して、
ドライブをロック/ロック解除し、ドライブに保存されているデータ暗号化キーを暗号
化/復号化します。電源を入れ直したとき、ユーザー定義のストレージプールの一部
であるSEDは、ロックされた状態で表示され、アクセスは許可されません。ドライブを
ロック解除し、ユーザーデータにアクセスできるようにするには、認証キーを使用し
ます。
SP（ストレージプロセッサ）の組み込みキーマネージャは、認証キーの鍵管理を行
います。鍵管理の責任は次のとおりです。
●
認証キーの生成
●
安全なキーストレージ
●
自己管理キーのライフサイクル
●
冗長キーコピーの同期化
VNXeシステムのドライブは、すべてSEDまたはすべて非自己暗号化のドライブです。非
自己暗号化ドライブはVNXe SEDシステムに追加できません。追加しようとすると、エ
不使用時のデータの暗号化
43
データセキュリティ設定
ラーが発生します。同様に、SEDをVNXe非自己暗号化ドライブシステムに追加するこ
ともできません。
安全なアレイ
安全なアレイとは、アレイにSEDのみがインストールされているアレイです。VNXeで、
SEDと非暗号化ドライブを混在させることはできません。VNXe内のすべてのSEDは、デ
フォルトではロック解除されており、ストレージプールが関連づけられたときのみ
ロックされます。許可キーが作成され、すべてのドライブがロックされている間適用
され、以後のやり取りで必要になります。逆に、ドライブと関連づけられているすべ
てのストレージプールが破棄された場合は、ドライブ上のすべてのデータは暗号で破
棄され（許可キーが削除され、データは回復不可能になります）、ドライブがロック
解除されます。
SEDがストレージプールに含まれると、アクセス制御が有効になり、認証キーが設定
されます。その後は、アレイに保存されている認証キーを使用しなければドライブを
使用できなくなります。ドライブ上のユーザーデータに異なるアレイや外部からアク
セスすることはできません。DPE（ディスクプロセッサエンクロージャ）の最初の4
台のドライブを除き、属しているストレージプールを破棄することにより、ドライブ
は他のアレイに転用可能です。ストレージプールを破壊すると、ドライブ上にある
ユーザーデータは暗号で消去され、これらのドライブでのアクセス制御を無効にし、
すべてのパスワードを製造元のセキュアIDにリセットします。ストレージプールに属
していないドライブは、ユーザーデータを保持せず、アクセスの制限はありません。
これらのドライブは問題なく移動できます。
誤ってドライブのないストレージプールを削除した場合、出荷時のデフォルトに戻され
るまでアクセスできなくなります。暗号でドライブを戻すと、ドライブ上のデータが消
去され、認証が無効になります。SEDを出荷時のデフォルトに戻すには、svc_key_restore
サービスコマンドを使用します。このサービスコマンドについては、テクニカルノー
ト、「VNXeサービスコマンド」を参照してください。SEDを出荷時のデフォルトに戻す
ための追加情報およびヘルプについては、サービスプロバイダに問い合わせてくださ
い。
既存のドライブとの交換またはアレイ拡張の一環として新規SEDをVNXeに導入すると
き、自動的に検出されアレイに含められます。新規ドライブがストレージプールの一
部だった古いドライブと交換される場合、アクセス制御が有効になり、新規ドライブ
に認証キーが設定されます。
注：ドライブを削除すると、ストレージプールが劣化し、ストレージプールの冗長性が減少
します。
SEDを搭載しているシステムでは、特定のハードウェア部品を交換すると、SEDの動作
に影響します。
●
44
SPとシャーシの両方を同時に交換することはサポートされません。認証キーにアク
セスできなくなります。
EMC VNXeセキュリティ構成ガイド
データセキュリティ設定
認証キーは、作成後すぐに外部ドライブにバックアップすることを強くお勧めしま
す。認証キーのマスターコピーを紛失または破損した場合は、システムに保存され
たデータにアクセスできなくなります。認証キーをバックアップする手順について
は、VNXe Unisphereオンラインヘルプまたは「VNXe Unisphere CLIユーザーガイ
ド」を参照してください。
●
すべてのドライブが削除され、新しいアレイに挿入されるアレイ変換は、サポート
されません。
認証キー
キーマネージャは、初めてVNXe SEDシステムにストレージプールを作成するときに、
SEDの認証キーをランダムに自動生成します。システムに後から追加したものも含め
て、VNXeシステム内のすべてのドライブに同じ認証キーが適用されます。
VXNeは認証キーを暗号化し、トリプルミラー冗長性方式でシステムドライブの保護
された領域に格納します。Unisphere UIオプションまたはUnisphere CLIコマンドを使
用して、認証キーを外部デバイスにバックアップできます。
認証キーは、作成後すぐに外部ドライブにバックアップすることを強くお勧めします。
認証キーのマスターコピーを紛失または破損した場合は、システムに保存されたデータ
にアクセスできなくなります。認証キーをバックアップする手順については、VNXe
Unisphereオンラインヘルプまたは「VNXe Unisphere CLIユーザーガイド」を参照して
ください。
破損した認証キーに対するアラートを受信した場合、キーをリストアする必要があり
ます。VNXeの両方のSPをサービスモードにし、VNXeにあるいずれかのSPで
［svc_key_restore］サービスコマンドを実行します。
注： SPをサービスモードにする手順については、VNXe Unisphereオンラインヘルプを参照し
てください。［svc_key_restore］サービスコマンドの詳細については、「VNXeサービスコマ
ンドテクニカルノート」を参照してください。
次の例外はありますが、VNXeシステム上のすべてのストレージプールが削除された場
合、認証キーのマスターコピーも削除されます。ただし、ストレージプールを含む
システムを再初期化した場合、システムが復帰したとき、ストレージプールは削除さ
れていますが、認証キーは有効です。
VNXeシステム上のすべてのストレージプールが削除された後は、バックアップ認証キー
は役に立ちません（ストレージプールを含むシステムを再初期化した場合を除く）。そ
の後で、最初の新しいストレージプールを作成したとき、認証キーの新しいマスター
コピーが自動的に生成されます。この場合、前の認証キーの既存のバックアップ認証キー
はすべて無効になり、新しいバックアップ認証キーを作成する必要があります。
不使用時のデータの暗号化
45
データセキュリティ設定
46
EMC VNXeセキュリティ構成ガイド
第6章
セキュリティ保守
本章では、VNXeに実装されている各種セキュリティ保守機能について説
明します。
トピックは次のとおりです。
トピック :
●
安全な保守（48ページ）
EMC VNXeセキュリティ構成ガイド
47
セキュリティ保守
安全な保守
VNXeでは、リモートシステムのメンテナンスと更新のタスクを実施する、次の安全性の
ための機能が提供されています。
●
VNXeライセンスのアクティベーション
●
VNXeソフトウェアのアップグレード
●
VNXeソフトウェアのホットフィックス
ライセンス更新
VNXeライセンス更新機能は、ファイルレベルリテンション設定の保持やRepliStor™レプ
リケーションなど、特定のVNXe機能のライセンスの取得とインストールに使用します。表
13（48ページ）に、VNXeライセンス更新機能に関連するセキュリティ機能を示します。
表 13. VNXeライセンス更新セキュリティ機能
プロセス
セキュリティ
EMCオンラインサポートWebサイトからライセンライセンスの取得は、EMCオンラインサポート
スを取得する
Webサイト（japan.emc.com\vnxesupport）の認証
されたセッションで行います。
ライセンスファイルの受信
ライセンスは、EMCオンラインサポートWebサイ
ト（japan.emc.com\vnxesupport）の認証されたト
ランザクションで指定したメールアドレスに送信
されます。
Unisphereクライアントで、VNXeシステムにライセ VNXeシステムへのライセンスファイルのアップ
ンスのアップロードとインストールを行う
ロードは、HTTPSを介して認証されたUnisphere
セッション内で行います。
VNXeシステムは、デジタル署名を使用して、受
信したライセンスファイルを検証します。ライセ
ンスされた各機能は、ライセンスファイル内の固
有の署名によって検証されます。
ソフトウェアのアップグレード
VNXeソフトウェア更新機能は、VNXeシステム上で実行しているソフトウェアをアップグ
レードまたは更新するソフトウェアの取得とインストールを行う場合に使用します。表
14（49ページ）に、VNXeソフトウェアアップグレード機能に関連するセキュリティ機能
を示します。
48
EMC VNXeセキュリティ構成ガイド
セキュリティ保守
表 14. ソフトウェアアップグレードセキュリティ機能
プロセス
説明
EMCオンラインサポート WebサイトからVNXe ライセンスの取得は、EMCオンラインサポー
ソフトウェアをダウンロードする
トWebサイト（japan.emc.com\vnxesupport）の
認証されたセッションで行います。
VNXeソフトウェアのアップロード
VNXeシステムへのソフトウェアのアップロード
は、HTTPSを介して認証されたUnisphereセッ
ションで行います。
安全な保守
49
セキュリティ保守
50
EMC VNXeセキュリティ構成ガイド
第7章
セキュリティアラートの設定
本章では、VNXeで発生したアラートを管理者に通知するためのさまざま
な方法を説明します。
トピックは次のとおりです。
トピック :
●
アラートの設定（52ページ）
EMC VNXeセキュリティ構成ガイド
51
セキュリティアラートの設定
アラートの設定
VNXeアラートは、VNXeシステム上で発生する、ユーザーによる処置が可能なイベントを管
理者に通知します。表 15（52ページ）に、VNXeイベントによるレポートを示します。
表 15. アラートの設定
アラートタイプ
説明
視覚的な通知
ユーザーがインタフェースにログインした際や、アラート条件が発生した際にリア
ルタイムに、情報ポップアップメッセージが表示されます。ポップアップには、ア
ラート条件の基本的な情報が示されます。詳細情報は、［システム＞システムア
ラート］ページで確認できます。
注： VNXeの視覚的なアラート通知は構成できません。
メール通知
アラートメッセージを送信する1件以上のメールアドレスを指定できます。次の
設定を構成できます。
●
VNXeシステムアラートの送信先のメールアドレス。
●
メール通知に必要な重大度レベル（緊急、エラー、または情報）。
注： VNXeアラートメール通知を使用するには、VNXeシステムでターゲットSMTP
サーバを構成する必要があります。
SNMPトラップ
VNXeネットワークシステムによって生成されたアラート情報のリポジトリとして機
能する、指定されたホスト（トラップ送信先）にアラート情報を転送します。
SNMPトラップはUnisphereで構成できます。以下の項目を設定します。
●
ネットワークSNMPトラップ送信先のIPアドレス
●
トラップ送信先がトラップを受信するポート番号
●
トラップデータ転送のオプションのセキュリティ設定
●
認証プロトコル： SNMPトラップに使用されるハッシュアルゴリズム（SHA
またはMD5）
●
プライバシープロトコル： SNMPトラップに使用される暗号化アルゴリズ
ム（DES、AES、AES192、またはAES256）
詳細については、Unisphereオンラインヘルプを参照してください。
ConnectEMC
製品の問題点の診断に役立つように、EMCに自動的にアラート通知を送信しま
す。
注： ConnectEMC通知を使用するには、VNXeシステムでターゲットSMTPサー
バを構成する必要があります。
52
EMC VNXeセキュリティ構成ガイド
セキュリティアラートの設定
表 15. アラートの設定（続き）
アラートタイプ
説明
EMCセキュアリモートサ ESRSはIPベースの接続を提供します。これにより、EMCサポートはVNXeシステ
ポート（ESRS）
ムからエラーファイルとアラートメッセージを受け取って、リモートでトラブルシュー
ティングを行い、迅速かつ効果的な解決に導くことができるようになります。
注： VNXe OE（オペレーティング環境）バージョン2以降で使用できます。ESRS
を使用するには、VNXeシステムでESRSを有効化する必要があります。
アラート設定の構成
VNXeからのメール通知とSNMPトラップについて、VNXeアラート設定を構成できます。
メール通知のアラート設定の構成
Unisphereを使用して、以下を実行します。
1. ［設定］＞［その他の構成］＞［アラートの設定］の順に選択します。
2. ［メールアラート］のセクションで、アラートメールメッセージが生成される重大度レ
ベルを次のいずれかに構成します。
●
情報
●
警告
●
エラー
●
重要
●
緊急
注： VNXeアラートメールを使用するには、VNXeシステムでターゲットSMTPサーバを構成する必
要があります。
SNMPトラップのアラート設定の構成
Unisphereを使用して、以下を実行します。
1. ［設定］＞［その他の構成］＞［アラートの設定］の順に選択します。
2. ［アラートの設定］のセクションで、SNMPトラップが生成される重大度レベルを次のいず
れかに構成します。
アラートの設定
53
セキュリティアラートの設定
54
●
情報
●
警告
●
エラー
●
重要
●
緊急
EMC VNXeセキュリティ構成ガイド
第8章
その他のセキュリティ設定
本章では、VNXeの安全な運用を確実に行うためのその他の情報を説明し
ます。
トピックは次のとおりです。
トピック :
●
●
●
データの消去（56ページ）
物理的なセキュリティ制御（56ページ）
ウイルス対策保護（56ページ）
EMC VNXeセキュリティ構成ガイド
55
その他のセキュリティ設定
データの消去
削除されたオブジェクトを再構築することはできません。しかし、データを消去しなけれ
ばならない場合は、EMCのデータ消去サービスを利用できます。
物理的なセキュリティ制御
VNXeシステムを設置する場所は、システムの物理的なセキュリティが確保されるように選
択および変更する必要があります。たとえば、十分なドアとロックを用意すること、シス
テムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼性の高い
電源を使用すること、標準的な配線のベストプラクティスに従うことなど、基本的な対
策を行います。
さらに、次のVNXeシステムコンポーネントについては、特別の配慮が必要です。
●
パスワードリセットボタン： VNXeのデフォルトの管理者アカウントとサービスア
カウントの両方について、管理者がパスワードをリセットするまで、一時的に出荷時
のデフォルトパスワードにリセットします。
●
シリアルポートコネクタ：シリアルポート接続を介して認証されたアクセスを許
可します。
ウイルス対策保護
VNXeは、EMC CAVA（Common AntiVirus Agent）をサポートします。VEE（VNX Event
Enabler）4.9.3.0のコンポーネントであるCAVAは、VNXeシステムを使用するクライアント
にウイルス対策ソリューションを提供します。Microsoft Windows Server環境で業界標準
のCIFSプロトコルを使用します。CAVAは、サードパーティのウイルス対策ソフトウェア
を使用し、VNXeシステム上のファイルに既知のウイルスが感染する前に、ウイルスを識別
および削除します。EMCオンラインサポートWebサイトで［ダウンロード＞VNXe製品サポート］
の順に選択し、CAVAインストーラを含むVEEインストーラと、VEEリリースノートを入手
できます。
56
EMC VNXeセキュリティ構成ガイド