...

EMC® VNXe® Series 3.1 セキュリティ構成ガイド

by user

on
Category: Documents
14

views

Report

Comments

Transcript

EMC® VNXe® Series 3.1 セキュリティ構成ガイド
EMC® VNXe® Series
バージョン 3.1
セキュリティ構成ガイド
302-000-198 REV 04
Copyright © 2014-2015 EMC Corporation. All rights reserved.(不許複製・禁無断転載)
2015 年 7 月発行
EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される
ことがあります。
この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す
る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし
ません。
EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての
名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
ご使用の製品に関する規制等についての最新情報は、EMC オンライン サポート(https://support.emc.com)を参照してください。
EMC ジャパン株式会社
〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
2
3.1 セキュリティ構成ガイド
目次
第1章
5
概要
概要................................................................................................................ 6
関連ドキュメント...............................................................................................6
第2章
7
アクセス制御
アクセス方法................................................................................................... 8
ストレージ システムの出荷時におけるデフォルトの管理アカウントとサービス ア
カウント........................................................................................................... 9
ストレージ システム アカウントの管理............................................................ 10
Unisphere..................................................................................................... 10
Unisphere CLI(コマンド ライン インターフェイス)............................................. 12
ストレージ サービス SSH インターフェイス...................................................... 13
ストレージ システム SP Ethernet サービス ポートと IPMItool........................... 14
SMI-S Provider.............................................................................................. 14
vSphere Storage API for Storage Awareness のサポート.................................15
Unisphere Central によるシングル サイン オン............................................... 16
シングル サイン オンのプロセス フロー............................................. 17
ローカル ストレージ システムへのログイン........................................ 18
シングル サイン オンと NAT サポート.................................................19
ファイル システム オブジェクトに対するセキュリティ........................................ 19
マルチプロトコル環境のファイル システム アクセス........................................ 19
ユーザー マッピング......................................................................... 20
NFS、CIFS、FTP のアクセス ポリシー.................................................. 20
ファイル レベル セキュリティの認証情報........................................... 21
第3章
25
ロギング
ロギング........................................................................................................ 26
リモート ログ オプション..................................................................................27
第4章
29
通信セキュリティ
ポートの使用.................................................................................................30
ストレージ システムのネットワーク ポート.......................................... 30
ストレージ システムが接続するポート............................................... 37
ストレージ システム証明書............................................................................ 41
DHCP を使用した管理インターフェイスの構成................................................ 42
ストレージ システムへの IP アドレスの自動割り当て..........................42
インターネット プロトコル バージョン 6 をサポートするストレージ システムのイン
ターフェイス、サービス、機能......................................................................... 43
IPv6 を使用したストレージ システム管理インターフェイスへのアクセス........... 45
Connection Utility の実行..............................................................................46
CIFS 暗号化...................................................................................................46
第5章
49
データ セキュリティ設定
データ セキュリティ設定................................................................................. 50
3.1 セキュリティ構成ガイド
3
目次
第6章
セキュリティ メンテナンス
53
安全な保守................................................................................................... 54
ライセンス更新................................................................................. 54
ソフトウェアのアップグレード............................................................. 54
ストレージ システムの EMC セキュア リモート サポート................................... 55
第7章
セキュリティ アラートの設定
57
アラートの設定.............................................................................................. 58
アラート設定の構成..........................................................................59
第8章
その他のセキュリティ設定
61
物理的セキュリティ統制.................................................................................62
ウイルス対策保護......................................................................................... 62
付録 A
SSL/TSL 暗号スイート
63
サポートされている SSL/TSL 暗号スイート......................................................64
4
3.1 セキュリティ構成ガイド
第1章
概要
本章では、ストレージ システムに実装されている各種セキュリティ機能について簡単に説明
します。
次のトピックが含まれます。
l
l
概要........................................................................................................................ 6
関連ドキュメント.......................................................................................................6
概要
5
概要
概要
ストレージ システムでは、さまざまなセキュリティ機能を利用することで、ユーザー アクセス
とネットワーク アクセスの制御、システム アクセスとシステム使用の監視、ストレージ データ
の転送などを行うことができます。 この文書では、使用可能なセキュリティ機能について説
明します。
この文書は、ストレージ システム構成と操作に携わる管理者を対象にしています。
このガイドでは、「セキュリティ設定カテゴリー(6 ページ)」に示されているカテゴリー内の
セキュリティ設定について説明します。
表 1 セキュリティ設定カテゴリー
セキュリティ カテゴリー 説明
アクセス制御
ハードウェア、ソフトウェア、製品の特定の機能を保護するための、エン
ド ユーザーまたはその他のエンティティによるアクセスの制限。
ログ
イベント ログの管理。
通信セキュリティ
製品ネットワーク通信の保護。
データ セキュリティ
製品データの保護。
保守性
製造業者またはそのサービス パートナーによって実施される製品サー
ビス オペレーションの制御維持。
アラート システム
セキュリティ関連のイベントについて生成されるアラートおよび通知の管
理。
その他のセキュリティ設
定
物理的なセキュリティなど、前述のセクションのどれにも該当しないセキ
ュリティ設定。
関連ドキュメント
具体的な構成方法は、VNXe のドキュメントに記載されています。VNXe のドキュメントは
EMC オンライン サポートの Web サイト www.emc.com/vnxesupport から入手できます。 こ
のガイドでは、関連情報として次のドキュメントを引用しています。
6
l
VNXe ハードウェアのインストール
l
Unisphere for VNXe Online Help(Unisphere for VNXe オンライン ヘルプ)
l
CIFS ファイル システムでの VNXe システムの使用
l
NFS ファイル システムでの VNXe システムの使用
l
FC(ファイバー チャネル)LUN または iSCSI LUN での VNXe システムの使用
l
VMware NFS または VMware VMFS での VNXe の使用
l
VNXe CLI ユーザー ガイド
l
VNXe 向けの EMC セキュア リモート サポートの要件および構成に関するテクニカル ノ
ート
l
VNXe 用 SMI-S Provider プログラマ向けガイド
3.1 セキュリティ構成ガイド
第2章
アクセス制御
本章では、ストレージ システムに実装されている各種アクセス制御機能について説明しま
す。
次のトピックが含まれます。
l
l
l
l
l
l
l
l
l
l
l
l
アクセス方法........................................................................................................... 8
ストレージ システムの出荷時におけるデフォルトの管理アカウントとサービス アカウン
ト.............................................................................................................................9
ストレージ システム アカウントの管理.................................................................... 10
Unisphere............................................................................................................. 10
Unisphere CLI(コマンド ライン インターフェイス)..................................................... 12
ストレージ サービス SSH インターフェイス...............................................................13
ストレージ システム SP Ethernet サービス ポートと IPMItool................................... 14
SMI-S Provider...................................................................................................... 14
vSphere Storage API for Storage Awareness のサポート......................................... 15
Unisphere Central によるシングル サイン オン....................................................... 16
ファイル システム オブジェクトに対するセキュリティ................................................ 19
マルチプロトコル環境のファイル システム アクセス................................................ 19
アクセス制御
7
アクセス制御
アクセス方法
ストレージ システムでは、アクセス方法(8 ページ)に示す各種アクセス方法がサポート
されています。
表 2 アクセス方法
タイプ
説明
管理アカウント
これらのアカウントには、ストレージ システムとそのストレージ リソースに関連する管理タスクと監視タスクを実行
する権限があります(ローカル ユーザーの役割と権限(11 ページ)を参照してください)。 パスワードは、ストレ
ージ システム管理インターフェイスで管理および作成し、次のどちらの管理インターフェイスのアクセスにも使用
できます。
l
Unisphere®:
n
l
Unisphere CLI:
n
サービス アカウン
ト
HTTPS 経由でアクセスする Web ベースのグラフィカル インターフェイスであり、ストレージ システム スト
レージおよびシステム設定の構成、管理、監視のためのツールが含まれます。
Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンド ライン インターフェイスです。
このアカウントは、特別なサービス機能を実行します。 1 つのアカウントで、SSH または各 SP(ストレージ プロセ
ッサ)の Ethernet サービス ポート接続を使用してサービス インターフェイスへのアクセスを提供します。 ストレー
ジ システム サービス インターフェイスには、次のものが含まれます。
l
Unisphere(管理アカウントを使用してサービス パスワードを入力すると、次のアクションを実行できる
Unisphere サービス ページにアクセスできます):
n
システム サービス情報の収集(システム レベル):システムに関する情報を収集し、ファイルに保存しま
す。 サービス担当者は、収集された情報を使用してシステムを分析できます。
n
構成の保存(システム レベル):ストレージ システムの構成設定の詳細をファイルに保存します。 重大な
システム障害またはシステム再初期化の後に、サービス プロバイダーがこのファイルを使用してシステ
ムの再構成を支援することができます。
n
リスタート管理ソフトウェア(システム レベル):管理ソフトウェアをリスタートして、システムと Unisphere
の接続に関する問題を解決します。
n
システムの再初期化(システム レベル):ストレージ システムを元の出荷時設定にリセットします。 両方
の SP(ストレージ プロセッサ)がインストールされ、正常に稼働しており、サービス モードになっていない
と、このアクションは実行できません。
㽷
サービス モードとは、メンテナンスとトラブルシューティングを目的とする、動作が制限されたモードです。
このモードになっているストレージ システムのインターフェイスは、Unisphere の一部のインターフェイス
と、問題を切り分けて解決できる特定の CLI インターフェイスに制限されます。
8
n
システム サービス パスワードの変更:[サービス システム]ページにアクセスするためのサービス パス
ワードを変更します。
n
システムのシャットダウン(システム レベル):システム シャットダウンおよび電源の入れ直しの処理手順
を実行すると、再起動またはストレージ プロセッサの再イメージ化によって解決できなかったストレージ
システムの問題が解決されます。
n
SSH の有効化(システム レベル):SSH(セキュア シェル)プロトコルを有効にして、システムへの SSH ア
クセスを提供します。 SSH クライアントを使用すると、管理者または保守サービス プロバイダーがシステ
ムに接続して、高度なシステム メンテナンスを実行できます。
3.1 セキュリティ構成ガイド
アクセス制御
表 2 アクセス方法 (続き)
タイプ
説明
l
n
サービス モードへ切替(SP レベル):サービス モードへ切り替えると、サービス アクションを安全に実行
できるように SP の I/O が停止されます。
n
再起動(SP レベル):選択した SP(ストレージ プロセッサ)を再起動します。 このサービス アクションは、
システム ソフトウェアまたは SP ハードウェア コンポーネントに関連する軽微な問題の解決を試みるとき
に実行します。 また、サービス モードになっている正常稼働の SP を再起動して、通常モードに戻しま
す。
n
再イメージ化(SP レベル):選択した SP を再イメージ化します。 再イメージ化によって、SP のシステム ソ
フトウェアが分析され、問題が自動的に解決されます。
Unisphere CLI:
n
l
SSH サービス スクリプト インターフェイス:
n
l
Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンド ライン インターフェイスです。
SSH クライアントを通じてアクセスできるコマンド ライン インターフェイスであり、ストレージ システムの問
題の診断、トラブルシューティング、および解決のための、サービス固有の機能を利用できます。
SP Ethernet サービス ポート インターフェイス:
n
各 SP の Ethernet サービス ポート インターフェイスを介してアクセスしている場合を除き、SSH サービス
インターフェイスと同じ診断機能とトラブルシューティング機能が提供されます。 このポートは、直接接続
ポート(Serial over LAN)としてのみ使用してください。 詳細については、ストレージ システム SP Ethernet
サービス ポートと IPMItool(14 ページ)を参照してください。
ストレージ システムの出荷時におけるデフォルトの管理アカウントと
サービス アカウント
ストレージ システムは、ストレージ システムに初めてアクセスして構成する際に使用できる
ように、デフォルトのユーザー アカウント設定が行われた状態で出荷されます。 「出荷時に
おけるデフォルトのユーザー アカウント設定(9 ページ)」を参照してください。
表 3 出荷時におけるデフォルトのユーザー アカウント設定
アカウント タイプ ユーザー
名
パスワード
権限
管理(Unisphere)
admin
Password123# デフォルト パスワードのリセット、システム設定
の構成、ユーザー アカウントの作成、ストレージ
の割り当てを行うための管理者権限。
サービス
service
service
保守作業の実行。
㽷
初期構成プロセスでは、デフォルトの管理者とサービス アカウントのパスワードを変更する
必要があります。
ストレージ システムの出荷時におけるデフォルトの管理アカウントとサービス アカウント
9
アクセス制御
ストレージ システム アカウントの管理
アカウントの管理方法(10 ページ)に、ストレージ システム アカウントの管理方法を示しま
す。
表 4 アカウントの管理方法
アカウントの役割
説明
管理
ストレージ システムの初期システム構成プロセスが完了すると、Unisphere または Unisphere CLI からス
トレージ システム アカウントを管理することができます。 ストレージ システムのローカル アカウントのパス
ワード設定の作成、変更、削除、またはリセットを行えるほか、アカウントを使用するユーザーに提供され
る権限を決定する役割をアカウントに割り当てることや変更することができます。
サービス
ストレージ システム サービス アカウントの作成または削除を行うことはできません。 サービス アカウント
のパスワードは、Unisphere サービス ページから[サービス パスワードの変更]機能を使用してリセッ
トできます。
㽷
ストレージ システムの出荷時のデフォルト アカウント パスワードは、ストレージ システムの
シャーシにあるパスワード リセット ボタンを押してリセットできます。 詳細については、
「Unisphere オンライン ヘルプ」を参照してください。
Unisphere
Unisphere へのアクセスの認証は、ユーザー(ローカルまたは LDAP)アカウントの認証情報
に基づいて実行されます。 ユーザー アカウントの作成とそれ以降の管理は、Unisphere の
管理ページで行います。 Unisphere に適用される許可は、ユーザー アカウントに関連づけ
られた役割に基づいています。
認証
ユーザーが Unisphere UI コンテンツを管理ワークステーションにダウンロードするには、ユ
ーザーがストレージ システム上で認証用の認証情報を入力し、セッションを確立する必要
があります。 ユーザーがストレージ システムのネットワーク アドレスを Web ブラウザーに
URL として指定すると、ログイン ページが表示され、ローカル ユーザーとして認証するか
LDAP ディレクトリ サーバーを通じて認証するかを選択できます。 ユーザーが入力する認証
情報が認証され、認証が成功すると、ストレージ システム上で UI 管理セッションが確立さ
れます。 続いて、ユーザーの管理ワークステーションに Unisphere UI がダウンロードされて
開始されます。 それ以降、ユーザーは自分に割り当てられた役割でできる範囲内でストレ
ージ システムの監視と管理を行うことができます。
LDAP
LDAP(Lightweight Directory Access Protocol)は、TCP/IP ネットワーク上で実行されるディレ
クトリ サービスを照会するためのアプリケーション プロトコルです。 LDAP は、ネットワーク全
域にわたるユーザーとグループの一元管理を支援することにより、ネットワークの許可操作
を一元管理できるようにします。 システムを既存の LDAP 環境に統合すると、Unisphere CLI
または Unisphere を介したシステムへのユーザー アクセスとユーザー グループ アクセスを
制御できるようになります。
システムの LDAP 設定を構成したら、確立された LDAP ディレクトリ構造のコンテキスト内
で、ユーザーとユーザー グループを管理することができます。 たとえば、既存のユーザーと
グループに基づいて、Unisphere CLI へのアクセス パーミッションを割り当てることができま
10
3.1 セキュリティ構成ガイド
アクセス制御
す。 システムで LDAP 設定を使用する目的は、Unisphere CLI と Unisphere へのアクセス制
御を容易にするためであり、ストレージ リソースへのアクセスは目的に含まれません。
セッション規則
Unisphere セッションには次の特徴があります。
l
有効期限は 1 時間
l
セッション タイムアウトは構成できない
l
認証時にセッション ID が生成され、各セッションが継続する間、この ID が使用されま
す。
パスワードの使用
Unisphere アカウントのユーザー名とパスワードは、「Unisphere アカウントの要件(11 ペ
ージ)」に示す要件を満たす必要があります。
表 5 Unisphere アカウントの要件
制限
パスワードの要件
文字の最小数
8
大文字の最小数
1
小文字の最小数
1
数字の最小数
1
特殊文字の最小数
1
l
サポートされる特殊文字:
n
!,@#$%^*_~?
40
文字の最大数
㽷
アカウントのパスワードは、Unisphere で[システムの構成]>[その他の構成]>[管理]の
順にクリックして変更できます。 パスワードを変更するときは、直近 3 個のパスワードは再
使用できません。 詳細については、「Unisphere オンライン ヘルプ」を参照してください。
許可
ローカル ユーザーの役割と権限(11 ページ)に、ストレージ システム ローカル ユーザー
に割り当てることができる役割と、それらの役割に関連づけられる権限を示します。 さらに、
これらの役割を LDAP ユーザーやグループに割り当てることができます。
表 6 ローカル ユーザーの役割と権限
タスク
演算子
ストレージ管理
者
管理者
自身のローカル ログイン パスワードの変更
x
x
x
仮想マシン管理者
x
ホストの追加
ストレージの変更
x
x
ストレージの削除
x
x
ストレージ リソース(仮想ディスク、共有、ストレージ グル
ープなど)にストレージ オブジェクトを追加する
x
x
Unisphere
11
アクセス制御
表 6 ローカル ユーザーの役割と権限 (続き)
タスク
演算子
ストレージ管理
者
管理者
ストレージ構成とステータスの表示
x
x
x
x
x
ストレージ システムのユーザー アカウントのリストを表示
する
x
ストレージ システムのユーザー アカウントの追加、削
除、変更を行う
現在のソフトウェアまたはライセンスのステータスの表示
x
x
x
ソフトウェアまたはライセンスのアップグレード
x
初期構成の実行
x
ストレージ サーバ構成の変更
x
システム設定の変更
x
ネットワーク設定の変更
x
x
管理インタフェース言語の変更
仮想マシン管理者
x
x
vCenter とストレージ システムの間の VASA 接続を確立
する
x
仮想マシン管理者の役割の場合、vCenter とストレージ システムの間で接続が一度確立さ
れると、vCenter ユーザーは、当該の vCenter とその VMware ESX サーバーのストレージ構
成とステータスのサブセットを表示できるようになります。 vCenter ユーザーが表示できるの
は、vCenter アクセス制御メカニズムで許可される情報のみです。
㽷
アカウントの役割は、Unisphere で[システムの構成]>[その他の構成]>[管理]の順にク
リックして変更できます。 詳細については、「Unisphere オンライン ヘルプ」を参照してくださ
い。
NAT サポート
NAT は Unisphere からストレージ システムへのローカル ログインはサポートしていません。
Unisphere CLI(コマンド ライン インターフェイス)
Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンド ライン インターフェ
イスです。
Unisphere CLI を実行するためには、専用のストレージ システム コマンド ライン ソフトウェア
が必要です。 このソフトウェアは、EMC オンライン サポート用 Web サイト(http://
www.emc.com/vnxesupport)からダウンロードできます。
セッション規則
Unisphere CLI クライアントでは、セッションはサポートされません。 アカウントのユーザー名
とパスワードを指定するには、発行するコマンドごとにコマンド ライン構文に従う必要があり
ます。
Unisphere CLI の -saveuser コマンドを使用して、特定のアカウントのアクセス認証情報
(ユーザー名とパスワード)をファイルに保存できます。このファイルは、Unisphere CLI がイ
12
3.1 セキュリティ構成ガイド
アクセス制御
ンストールされているホストのローカルに存在する安全なロックボックスに配置されます。 保
存されているデータは、保存したユーザーが保存先のホスト上でのみ使用できます。 アクセ
ス認証情報を保存した後、コマンドを実行するたびに、CLI によってそれらの情報が、指定さ
れたストレージ システムのデスティネーションとポートに自動的に適用されます。
パスワードの使用
Unisphere CLI に対する認証は、Unisphere で作成と管理が行われる管理アカウントに従っ
て行われます。 現在のログイン アカウントに関連づけられている役割に基づき、Unisphere
に適用される同じ権限が個々のコマンドに適用されます。
設定の保存
Unisphere CLI を実行するホストに次の設定を保存できます。
l
アクセスする各システムに対するユーザー アクセス認証情報(ユーザー名やパスワー
ドなど)。
l
システムからインポートした SSL 証明書。
l
Unisphere CLI を使用してアクセスするデフォルト システムに関する情報(システム名ま
たは IP アドレスやシステム ポート番号など)。
これらの設定は、Unisphere CLI により、Unisphere CLI がインストールされているホスト上の
安全なローカル ロックボックスに保存されます。 保存されているデータは、保存したユーザ
ーが保存先のホスト上でのみ使用できます。 ロックボックスは次の場所にあります。
l
Windows XP: C:\Documents and Settings\<account_name>\Local
Settings\ApplicationData\EMC\UEM CLI\
l
Windows 7 と Windows 8: C :\Users\${user_name}\AppData\Local\.EMC
\UEM CLI\
l
UNIX/Linux の場合: <home_directory>/EMC/UEM CLI
config.xml ファイルと config.key ファイルを探します。Unisphere CLI をアンインストールして
も、これらのディレクトリとファイルは削除されないため、そのまま保持することができます。
これらのファイルが不要になった場合は、削除できます。
ストレージ サービス SSH インターフェイス
ストレージ サービス SSH サービス インターフェイスには、Unisphere サービス ページ([設
定]>[サービス システム])で使用できる機能と関連/重複する機能を実行するためのコマ
ンド ライン インターフェイスが付属しています。
サービス アカウントを使用して、ユーザーは次の機能を実行できます。
l
ストレージ システムの設定とオペレーションを監視およびトラブルシューティングするた
めにストレージ システム サービス コマンドを実行する。
l
権限のない Linux ユーザー アカウントのメンバーとして、標準的な Linux コマンドを使
用する。 このアカウントには、専用のシステム ファイル、構成ファイル、ユーザー/顧客
データなどに対するアクセス権はありません。
セッション
ストレージ システム SSH サービス インタフェース セッションは、SSH クライアントによって確
立された設定に基づいて維持されます。 セッションの特性は、SSH クライアント構成設定に
よって決まります。
パスワードの使用
サービス アカウントは、基本的な Linux コマンドを実行するためにサービス担当者が使用で
きるアカウントです。
ストレージ システム サービス インターフェイスのデフォルトのパスワードは service です。 ス
トレージ システムの初期構成を行う際には、デフォルトのサービス パスワードを変更する必
ストレージ サービス SSH インターフェイス
13
アクセス制御
要があります。 パスワードへの制限事項は、Unisphere 管理アカウントに適用される制限
事項と同じです(パスワードの使用(11 ページ)を参照)。 ストレージ システム サービス アカ
ウントのパスワード設定管理に使用されるストレージ システム サービス コマンド
svc_service_password については、「VNXe サービス コマンド」を参照してください。
許可
「サービス アカウントの権限定義(14 ページ)」に示すように、サービス アカウントの権限
は 2 つの方法で定義されます。
表 7 サービス アカウントの権限定義
許可タイプ
説明
Linux ファイル システム権限
サービス アカウントを使用してストレージ システムに対して実行できるタスクと実行できないタスク
のほとんどは、ファイル システム権限によって定義されます。 たとえば、何らかの方法でシステム
動作を変更するほとんどの Linux ツールおよびユーティリティは、スーパーユーザーのアカウント
権限を必要とします。 サービス アカウントにはこれらの権限がないため、サービス アカウントで
は、実行に必要なアクセス権限がない Linux のツールやユーティリティの使用や、読み取りや変
更に root アクセスを必要とする構成ファイルの編集はできません。
ACL(アクセス コントロール リスト) ストレージ システムの ACL メカニズムは非常に特殊なルール リストを使用して、サービス アカウ
ントによるシステム リソースへのアクセス権を明示的に付与または拒否します。 標準の Linux ファ
イル システム権限によって定義されない、ストレージ システムの他の領域に対するサービス アカ
ウント権限は、これらの規則によって指定されます。
ストレージ システムのサービス コマンド
ストレージ システムの OE(オペレーティング環境)には、問題診断、システム構成、およびシ
ステム リカバリに使用される一連のコマンドがインストールされています。 これらのコマンド
を使用すると、Unisphere を使用した場合よりも、さらに詳しい情報を収集し、より深いレベ
ルのシステム制御を行うことができます。 これらのコマンドとその一般的なユースケースに
ついては、テクニカル ノート ドキュメント「VNXe サービス コマンド」で説明しています。
ストレージ システム SP Ethernet サービス ポートと IPMItool
オペレーティング環境 3.0 以降を実行するストレージ システムは、各 SP の Ethernet サービ
ス ポートを介したコンソール アクセスを提供します。 このアクセスには、IPMItool を使用す
る必要があります。 IPMItool は、SSH や telnet に似たネットワーク ツールであり、IPMI プロ
トコルを使用して、Ethernet 接続を介した各 SP とのインターフェイスを確立します。 IPMItool
は、ストレージ システムの SP コンソールにアクセスするための安全な通信チャネルをネゴ
シエートする Windows ユーティリティです。 このユーティリティでは、コンソールをアクティブ
化するためにログイン認証情報と IP アドレスが要求されます。 IPMItool の詳細について
は、「IPMItool ユーザー ガイド テクニカル ノート」を参照してください。
SP Ethernet サービス ポート インターフェイスでは、サービス SSH インターフェイスと同じ機
能が提供され、同じ制限が適用されます。 相違点は、ユーザーがインターフェイスにアクセ
スするために、SSH クライアントではなく Ethernet ポート接続を使用することです。
サービス コマンドの一覧については、「VNXe サービス コマンド テクニカル ノート」を参照してく
ださい。
SMI-S Provider
SMI-S Provider は、セキュリティに関して変更は一切加えません。 SMI-S クライアントは、
HTTPS ポート 5989 を通じてストレージ システムに接続します。ユーザーのログインは、
Unisphere UI または CLI のユーザーの場合と同じです。 UI および CLI のユーザーに適用さ
14
3.1 セキュリティ構成ガイド
アクセス制御
れるすべてのセキュリティ ルールが SMI-S 接続にも適用されます。 Unisphere UI および
CLI のユーザーは、SMI-S インターフェイスを使用して認証を実行できます。 SMI-S インター
フェイス用に別個のユーザーは定義されません。 認証が完了すると、SMI-S クライアントに
は、Unisphere UI および CLI のユーザーに対して定義された権限と同じ権限が設定されま
す。 このサービスの構成方法の詳細については、「VNXe 用 SMI-S Provider プログラマ向けガ
イド」を参照してください。
vSphere Storage API for Storage Awareness のサポート
VASA(vStorage API for Storage Awareness)は、VMware が定義した、特定のベンダーに依
存しないストレージ認識 API です。 これは、モニタリングにのみ使用される独自の SOAP ベ
ースの Web インターフェイスであり、Unisphere クライアントではなく VMware クライアントに
よって使用されます。 VASA は、レポート インターフェイス専用であり、仮想環境に公開され
るストレージ システムとストレージ デバイスに関する基本的な情報をリクエストするために
使用されます。これらは、vSphere を使用した日常のプロビジョニング、監視、およびトラブ
ルシューティングを促進するために使用されます。 VASA VP(ベンダー プロバイダー)は、ス
トレージ システムのアクティブな SP(ストレージ プロセッサ)上で実行されます。 vSphere ユ
ーザーは、この VP インスタンスを各ストレージ システムの VASA 情報のプロバイダーとして
構成する必要があります。 SP で障害が発生すると、関連するプロセスが VASA VP とともに
ピアー SP でリスタートします。 IP アドレスは自動的にフェイルオーバーします。 内部的に
は、新しくアクティブになった VP からの構成の変更イベントをプロトコルが取得したときに、
障害が認識されますが、これによってユーザー介入を必要とせずに VASA オブジェクトの自
動再同期化が実行されます。
VASA に関連する認証
vCenter から Unisphere VP への接続を開始するには、vSphere クライアントを使用して次の
3 つの情報を入力する必要があります。
l
次の形式で VP の URL を指定します。
n
l
l
https://<管理 IP アドレス>:5989/vasa/services/vasaServices
Unisphere ユーザーのユーザー名(役割は仮想マシン管理者または管理者):
n
ローカル ユーザーの場合は次の構文を使用します。 local/<ユーザー名>
n
LDAP ユーザーの場合は次の構文を使用します。 <ドメイン>/<ユーザー名>
そのユーザーに関連づけられているパスワード
㽷
仮想マシン管理者の役割は読み取り専用の役割であるため、この役割を使用することを推
奨します。
ここで使用される Unisphere 認証情報は、この接続の最初のステップ中にのみ使用されま
す。 Unisphere 認証情報がターゲットのストレージ システムに対して有効な場合、vCenter
Server の証明書が自動的にストレージ システムに登録されます。 この証明書は、vCenter
からの後続のすべてのリクエストを認証するために使用されます。 この証明書を VP にイン
ストールまたはアップロードするために手動の操作は必要ありません。 この証明書が期限
切れになった場合、新しいセッションをサポートするために vCenter で新しい証明書を登録
する必要があります。 証明書がユーザーによって取り消された場合、セッションは無効化さ
れ、接続は切断されます。
vCenter セッション、安全な接続と認証情報
vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA VP URL と
ログイン認証情報を vCenter Server に入力したときに開始されます。 vCenter Server は、こ
の URL、認証情報、VASA VP の SSL 証明書を使用して、VP との安全な接続を確立します。
vCenter セッションは、管理者が vSphere クライアントを使用して、vCenter の構成から VP を
削除し、vCenter Server が接続を終了したときに終了します。
vSphere Storage API for Storage Awareness のサポート
15
アクセス制御
vCenter セッションは、vCenter Server と VP の間のセキュア HTTPS 通信を基にしています。
VASA アーキテクチャでは、SSL 証明書と VASA セッション ID を使用して安全な接続をサポ
ートします。 vCenter Server と VP の両方が他方の証明書を自身の信頼ストアに追加しま
す。
VASA VP は、次の情報を vCenter に提供します。
l
ストレージの可視性: プロパティの変更を内部的に検出し、更新情報を vCenter に送信
します
l
稼働状態と容量に関するアラーム: 稼働状態の変更を内部的に監視し、次のような容
量に関する閾値を超えた場合には適切なアラームを vCenter に対して発行します。
n
アレイ、SP、I/O ポート、LUN、ファイル システムの稼働状態
n
これらのいずれかのオブジェクトの稼働状態が変更された場合にはクラス レベルの
変更を表示
n
LUN およびファイル システムに関するスペース容量アラーム
l
VASA ストレージ機能: ストレージ容量の変化を内部的に監視し、更新された容量のレ
ポートを vCenter に送信します
l
Storage DRS との統合: vSphere は、VASA プロバイダーから内部的に取得した情報を
基にして、さまざまなストレージ DRS ワークフロー向けにビジネス ロジックのフィードを
提供します
Unisphere Central によるシングル サイン オン
Unisphere Central に追加されたシングル サイン オン機能により、OE(オペレーティング環
境)バージョン 3.1 以降を実行するよう構成された、複数のストレージ システムに対する認
証サービスが提供されます。 この機能により、ユーザーが各システムに対する再認証を求
められることなく、ユーザーによる各システムへの簡単なログイン方法が提供されます。
Unisphere Central は、シングル サイン オンを容易にする一元管理された認証サーバーで
す。 この機能を使用すると、ユーザーは次のことが可能になります。
l
ログイン認証情報を再度提供せずに、Unisphere Central にログインし、ストレージ シス
テム上の Unisphere を選択して起動する。
l
ログイン認証情報を再度提供せずに、あるストレージ システムにログインし、その後に
ログインする他のストレージ システムを選択する。
Unisphere Central は、管理しているストレージ システムのステータス情報をリクエストする
クエリーを定期的に実行します。 このコンテキストで実行するリクエストに関連づけられる
ID は、Unisphere Central SSL/X.509 証明書です。 この証明書は、Unisphere Central が管
理するように構成されている各ストレージ システム インスタンスが信頼している Unisphere
Central Certificate Authority によって署名されています。
さらに、この機能ではシングル サインオフも可能になります。つまり、Unisphere Central を
ログオフするとき、関連したすべての 3.1 ストレージ システム セッションを一度にログオフし
ます。
要件
このシングル サイン オン機能を使用するには、次の要件があります。
16
l
Unisphere Central バージョン 4.0 以降を使用する必要があります。
l
同じ AD/LDAP ディレクトリに対して認証を行うように、Unisphere Central サーバーとスト
レージ システムの両方を構成する必要があります。
l
LDAP ユーザーが Unisphere の役割に直接マップされているか、ストレージ システムと
Unisphere Central の両方で Unisphere の役割にマップする AD/LDAP グループのメン
バーでなければなりません。
3.1 セキュリティ構成ガイド
アクセス制御
l
各ストレージ システムが OE バージョン 3.1 以降を実行していて、シングル サイン オン
が有効に設定されている必要があります。
l
ユーザーは LDAP ユーザーとしてログインする必要があります。
㽷
これらの要件を満たしていない場合、ユーザーは個別のシステムにローカル ユーザーとし
てログインし、認証情報を提供して該当のシステムにアクセスする必要があります。
シングル サイン オンを有効にするには、管理者またはストレージ管理者権限が必要です。
オペレーターまたは VM 管理者権限を持つユーザーがシングル サイン オンを有効にするこ
とはできません。 シングル サイン オンを有効にするには、次の uemcli コマンドを使用しま
す。
Uemcli -d <[IP アドレス]> -u <[ユーザー名]> -p <[パスワード]> /sys/ur set
-ssoEnabled yes
この機能が有効になるよう構成されている各ストレージ システムは、一元管理された認証
サーバーのクライアントになることができ、シングル サイン オン環境に参加できます。 この
コマンドの詳細については、「Unisphere CLI ユーザー ガイド」を参照してください。
考慮事項と制約事項
サポートされている Web ブラウザは次のとおりです。
l
Google Chrome バージョン 33 以降
l
Microsoft Internet Explorer バージョン 10 以降
l
Mozilla Firefox バージョン 28 以降
l
Apple Safari バージョン 6 以降
Web クライアントと一元管理された認証サーバー間のユーザー セッション タイムアウトは
45 分です。
Web クライアントとストレージ システム間のアプリケーション セッション タイムアウトは 1 時
間です。
シングル サイン オンのプロセス フロー
次のシーケンスは、Unisphere Central に関連づけられたシングル サイン オンに関する認
証プロセス フローを表します。
Unisphere Central を介したストレージ システムへのアクセス
1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、Unisphere Central の
ネットワーク アドレスを URL として指定します。
2. ブラウザーが Web サーバーによって、ローカル Unisphere Central のログイン URL にリ
ダイレクトされ、ユーザーに対してログイン スクリーンが表示されます。
3. ユーザーが LDAP ログイン認証情報を入力および送信します。 ユーザー名は<LDAP
DOMAIN>/username の形式です。
4. セッション トークンが設定され、ブラウザーがシステムによって、指定された元の URL に
リダイレクトされます。
5. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere Central がインスタンス
化されます。
6. 次に、ユーザーが Unisphere を介して、監視する特定のストレージ システムに移動しま
す。
7. ユーザーがストレージ システムのネットワーク アドレスをクリックします。
8. ストレージ システムの URL で新しいブラウザー ウィンドウが作成されます。
シングル サイン オンのプロセス フロー
17
アクセス制御
9. ユーザーがすでに認証済みの Unisphere Central 認証サーバーに、ブラウザーがリダ
イレクトされます。
10. ブラウザーが Unisphere ダウンロード ページにリダイレクトされ、新しいサービス チケッ
トを使用してストレージ システムとのセッションが確立されます。
11. Unisphere がダウンロードされて、インスタンス化されます。
12. ユーザーがストレージ システムの管理/モニタリングを開始します。
Unisphere Central に関連づけられたストレージ システムへのアクセス
1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、ストレージ システムの
ネットワーク アドレスを URL として指定します。
2. ブラウザーがローカル Unisphere Central のログイン サービスにリダイレクトされ、ユー
ザーに対してログイン スクリーンが表示されます。
3. ユーザーが LDAP ログイン認証情報を入力および送信します。 ユーザー名は<LDAP
DOMAIN>/username の形式です。
4. セッション トークンは Cookie として設定され、ブラウザーがシステムによって、指定され
た元の URL にリダイレクトされます。
5. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere がインスタンス化され
ます。
6. 次に、ユーザーが Web ブラウザーの別のウィンドウまたはタブを開き、別のストレージ
システムのネットワーク アドレスを URL として指定します。
7. ユーザーがすでに認証済みの Unisphere Central 認証サーバーに、ブラウザーがリダ
イレクトされます。 新しいサービス チケットが取得されます。
8. ブラウザーが Unisphere ダウンロード ページにリダイレクトされ、新しいサービス チケッ
トを使用して 2 個目のストレージ システムとのセッションを確立します。
9. 2 個目のストレージ システムの Unisphere がダウンロードされて、インスタンス化されま
す。
10. ユーザーが 2 個目のストレージ システムの管理/モニタリングを開始します。
Unisphere Central を介したアクティブな管理
1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、Unisphere Central の
ネットワーク アドレスを URL として指定します。
2. ブラウザーが Web サーバーによって、Unisphere Central のローカル ログイン URL にリ
ダイレクトされます。
3. ユーザーに対してログイン スクリーンが表示されます。
4. ユーザーが LDAP ログイン認証情報を入力および送信します。 ユーザー名は<LDAP
DOMAIN>/username の形式です。
5. セッション トークンが設定され、ブラウザーがシステムによって、指定された元の URL に
リダイレクトされます。
6. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere Central がインスタンス
化されます。
7. これでユーザーは、Unisphere Central インスタンスによって管理されている 1 つ以上の
ストレージ システムで構成を変更する操作を開始できます。
ローカル ストレージ システムへのログイン
ローカル アカウントを使用する場合、または Unisphere Central 認証サーバーに接続されて
いない場合、Unisphere Central 経由でログインするのではなく、システムに常駐する認証
サーバーを使用してローカル ストレージ システムにログインできます。 ストレージ システム
でログインするには、次の 2 つの方法があります。
18
3.1 セキュリティ構成ガイド
アクセス制御
l
l
ブラウザーが Unisphere Central 認証サーバーにリダイレクトされると、ユーザーがシス
テムに再度リダイレクトされ、ローカルでログインできるオプションがあります。
Unisphere Central にアクセスできない場合、次の URL 構文を使ってシステムの参照ま
たはアクセスを行い、ローカルでログインできます。 https://<
[storagesystemIP]>?casHome=LOCAL
ここで、[storagesystemIP]はストレージ システムの IP アドレスです。
シングル サイン オンと NAT サポート
シングル サイン オンは NAT 構成をサポートしていません。 また、NAT は Unisphere からス
トレージ システムへのローカル ログインはサポートしていません。
ファイル システム オブジェクトに対するセキュリティ
マルチプロトコル環境では、ストレージ システムはセキュリティ ポリシーを使用して、NFS と
CIFS との間のアクセス制御セマンティックの違いを解決する方法を特定します。
UNIX セキュリティ モデル
UNIX のアクセス権は、ファイルシステム オブジェクトのモード ビットと呼ばれます。 モード ビ
ットはビット文字列で表され、文字列の各ビットは、ファイルを所有するユーザー、ファイル
システム オブジェクトに関連づけられているグループ、その他のすべてのユーザーに許可
されているアクセス モードまたは権限を表します。 UNIX のモード ビットは、ユーザーのカテ
ゴリー(ユーザー、グループ、その他)ごとに連結された 3 文字 rwx(読み取り、書き込み、
実行)の 3 個のセットとして表されます。
Windows セキュリティ モデル
Windows セキュリティ モデルは、SD(セキュリティ ディスクリプター)および ACL(アクセス制
御リスト)の使用を含み、主にオブジェクト権限単位に基づきます。
ファイル システム オブジェクトへのアクセスは、権限がセキュリティ ディスクリプターを使用
して許可または拒否に設定されているかどうかにより異なります。 SD は、オブジェクトの所
有者とグループ SID、その ACL を記述します。 ACL は、各オブジェクトのセキュリティ ディス
クリプタの一部です。 各 ACL には、ACE(アクセス コントロール エントリー)が含まれます。
各 ACE には、ユーザー、グループ、コンピューターを示す単一 SID、その SID で拒否または
許可されている権限のリストが含まれます。
マルチプロトコル環境のファイル システム アクセス
ファイル アクセスは NAS サーバーを使用して提供されます。 NAS サーバーには、データが
格納される一連のファイル システムが含まれます。 NAS サーバーでは、CIFS 共有および
NFS 共有(NFS エクスポートとも呼ばれる)を使用してファイル システムをエクスポートするこ
とによって、NFS、CIFS、FTP ファイル プロトコルのこのデータへのアクセスを提供します。 マ
ルチプロトコル共有の NAS サーバー モードでは、CIFS と NFS 間の同じデータの共有が可
能です。 マルチプロトコル共有モードではファイル システムへの同時 CIFS および NFS アク
セスを提供するため、Windows ユーザーの UNIX ユーザーへのマッピング、使用するセキ
ュリティ ルール(モード ビット、ACL、ユーザー資格情報)の定義を検討し、マルチプロトコル
共有用に適切に構成する必要があります。
㽷
マルチプロトコル共有、ユーザー マッピング、アクセス ポリシー、ユーザー資格情報に関す
る NAS サーバーの構成および管理については、Unisphere オンライン ヘルプ、および
「Unisphere CLI ユーザー ガイド」を参考にしてください。
シングル サイン オンと NAT サポート
19
アクセス制御
ユーザー マッピング
マルチプロトコル コンテキストで、Windows ユーザーを UNIX ユーザーに一致させる必要が
あります。その逆も同様です。このため、ファイル システム セキュリティは、プロトコルのネイ
ティブでない場合でも適用できます。 ユーザー マッピングには次のコンポーネントが必要で
す。
l
UNIX ディレクトリ サービス
l
Windows リゾルバー
l
Secmap
l
NTXMAP
UNIX ディレクトリ サービス
UDS(UNIX ディレクトリ サービス)を使用して、ユーザー マッピングの次の情報を決定しま
す。
l
UID(ユーザー識別子)の場合、対応する UNIX アカウント名を返します。
l
UNIX アカウント名の場合、対応する UID およびプライマリ GID(グループ識別子)を返し
ます。
サポートされるサービスとは、次のとおりです。
l
LDAP
l
NIS
NAS サーバーごとにアクティブな UDS が一度に多くても 1 個あります。 マルチプロトコル共
有が有効な場合、1 個の UDS が有効になっている必要があります。 使用する UDS は、
NAS サーバーの unix-directory-service プロパティによって決まります。
Windows リゾルバー
Windows リゾルバーを使用して、ユーザー マッピングの次の情報を決定します。
l
SID(セキュリティ識別子)の場合、対応する Windows アカウント名を返す
l
Windows アカウント名の場合、対応する SID を返す
Windows リゾルバーは次のとおりです。
l
ドメインの DC(ドメイン コントローラー)
l
CIFS サーバーの LGDB(ローカル グループ データベース)
Secmap
Secmap の機能は、すべての SID から UID/プライマリ GID、UID から SID のマッピングを格
納し、NAS サーバーのすべてのファイル システムで一貫性を保ちます
NTXMAP
名前が異なる場合、NTXMAP を使用して、Windows アカウントを UNIX アカウントに関連づ
けます。 たとえば、Windows 上で Gerald というアカウントを持つユーザーが、UNIX 上のア
カウントでは Gerry という場合、NTXMAP を使用して両者間の関連づけを作成します。
NFS、CIFS、FTP のアクセス ポリシー
マルチプロトコル環境では、ストレージ システムがファイル システムのアクセス ポリシーを
使用して、そのファイル システムのユーザー アクセス制御を管理します。 UNIX と Windows
の 2 種類のセキュリティがあります。
UNIX セキュリティ認証の場合、認証情報は UDS(UNIX ディレクトリ サービス)から作成され
ます。 ユーザー権限はモード ビットから判断されます。 ユーザーおよびグループの識別子
(それぞれ、UID、GID)が ID に使用されます。 UNIX セキュリティに関連づいた権限はありま
せん。
20
3.1 セキュリティ構成ガイド
アクセス制御
Windows セキュリティ認証の場合、認証情報は Windows の DC(ドメイン コントローラー)お
よび CIFS サーバーの LGDB(ローカル グループ データベース)から作成されます。 ユーザ
ー権限は CIFS ACL から判断されます。 SID(セキュリティ識別子)は ID に使用されます。
CIFS サーバーの LGDB によって許可される、Windows セキュリティに関連づいた、所有権
の取得、バックアップ、リストアなどの権限があります。
どのプロトコルでどのようなセキュリティを使用するかを定義する、次の 3 種類のアクセス
ポリシーがあります。
l
UNIX:UNIX セキュリティを NFS と CIFS の両方に使用
l
Windows:Windows セキュリティを NFS と CIFS の両方に使用
l
ネイティブ:プロトコルに対してネイティブのセキュリティを使用、NFS の場合は UNIX、
CIFS の場合は Windows
UNIX アクセス ポリシーでは、すべてのプロトコルに対して UNIX 認証情報を使用し、すべて
のプロトコルに対してモード ビットしか使えないようにする UNIX セキュリティを使用して、フ
ァイル レベルのアクセスのセキュリティを保護します。 CIFS アクセスのためにファイル レベ
ルのプロトコル リクエストを処理するとき、有効な UDS から作成された UNIX 認証情報を使
用してモード ビットをチェックします。 次に、モード ビットに基づいてアクセスが許可または
拒否されます。 Windows ACL は、CIFS を使用したユーザー アクセスの場合でも無視されま
す。
Windows アクセス ポリシーは、Windows セキュリティを使用して、ファイル レベルのアクセ
スのセキュリティを保護します。 このポリシーでは、すべてのプロトコルに対して Windows
認証情報を使用し、すべてのプロトコルに対して CIFS ACL しか使えないようにします。 NFS
アクセスのためにファイル レベルのプロトコル リクエストを処理するとき、DC と LGDB から
作成された Windows 認証情報を使用して CIFS ACL をチェックします。 次に、CIFS ACL に基
づいてアクセスが許可または拒否されます。 UNIX のモード ビットは、NFS を使用したユー
ザー アクセスの場合でも無視されます。
ネイティブ アクセス ポリシーでは、NFS プロトコルの場合は UNIX 認証情報を、CIFS プロトコ
ルの場合は Windows 認証情報を使用し、さらに NFS にはモード ビットのみを、CIFS には
CIFS ACL のみを使用するネイティブ セキュリティを使用して、ファイル レベルのアクセスの
セキュリティを保護します。 ファイル レベルの NFS リクエストを処理するとき、リクエストに関
連づけられた UNIX 認証情報を使用してモード ビットをチェックします。 次に、アクセスが許
可または拒否されます。 ファイル レベルの CIFS リクエストを処理するとき、リクエストに関
連づけられた Windows 認証情報を使用して CIFS ACL をチェックします。 次に、アクセスが
許可または拒否されます。 モード ビットと CIFS DACL(任意のアクセス リスト)間で同期は行
われません。 それぞれ独立しています。
FTP では、Windows または UNIX での認証は使用されているユーザー名の形式に依存しま
す。 Windows 認証が使用されている場合、FTP アクセス制御は CIFS の場合と似ています。
それ以外は NFS の場合と似ています。 FTP と SFTP クライアントは、SP(ストレージ プロセッ
サ)のサーバーに接続すると認証されます。 CIFS 認証(ユーザー名の形式が domain\user
か user@domain)または UNIX 認証(他のユーザー名の形式)の場合があります。 CIFS 認
証は、VDM で定義されたドメインの Windows DC で保証されています。 UNIX 認証は、リモ
ート LDAP サーバー、リモート NIS サーバー、VDM のローカル パスワード ファイルのいずれ
かに格納された暗号化されたパスワードによって DM で保証されています。
ファイル レベル セキュリティの認証情報
ファイル レベルのセキュリティを適用するには、処理されている CIFS または NFS リクエスト
に関連づけられた認証情報をストレージ システムで作成する必要があります。 Windows と
UNIX の 2 種類の認証情報があります。 ほとんどの場合、Windows と UNIX の認証情報は
NAS サーバーで作成されます。 ただし、次のような例外があります。
l
Kerberos を使用した CIFS 接続の Windows 認証情報の作成。
l
拡張認証情報が無効な場合の NFS リクエストの UNIX 認証情報の作成。
永続認証情報キャッシュは次のために使用されます。
ファイル レベル セキュリティの認証情報
21
アクセス制御
l
NFS をとおしてアクセスするために作成された Windows 認証情報。
l
拡張認証情報オプションが有効な場合に NFS をとおしてアクセスするために作成され
た UNIX 認証情報。
NAS サーバーごとにキャッシュ インスタンスが 1 個あります。
マッピング解除されたユーザーへのアクセスの許可
マルチプロトコルは、次の要件を満たす必要があります。
l
Windows ユーザーが UNIX ユーザーにマップされていること。
l
Windows アクセス ポリシーを持つファイル システムにユーザーがアクセスしているとき
に Windows 認証情報を作成するため、UNIX ユーザーが Windows ユーザーにマップさ
れていること。
ストレージ システム OE バージョン 3.1 では、次の 2 個の新しいプロパティが NAS サーバー
に関連づけられます。
l
デフォルト UNIX ユーザー。
l
デフォルト Windows ユーザー。
Windows ユーザーがマップされていない場合、デフォルト UNIX ユーザーの UID(ユーザー
識別子)およびプライマリ GID(グループ識別子)が Windows 認証情報で使用されます。 同
様に、UNIX ユーザーがマップされていない場合、デフォルト Windows ユーザーの
Windows 認証情報が使用されます。
㽷
デフォルトの UNIX ユーザーが UDS(UNIX ディレクトリ サービス)で設定されていない場合、
CIFS アクセスが拒否されます。 デフォルトの Windows ユーザーが Windows DC または
LGDB に見つからない場合、Windows アクセス ポリシーを持つファイル システム上の NFS
アクセスが拒否されます。
NFS リクエストの UNIX 認証情報
UNIX 認証情報は常に各リクエストに組み込まれますが、認証情報は追加グループが 16
個に制限されます。 NAS サーバーの extended-unix-cred プロパティにより、16 個を超える
グループを使用して認証情報を作成する機能が提供されます。 このプロパティを設定した
場合、プライマリ GID およびそれに属するすべてのグループ GID を取得するためにアクティ
ブな UDS が UID でクエリーされます。 UID が UDS に見つからない場合、リクエストに組み
込まれた UNIX 認証情報が使用されます。
CIFS リクエストの UNIX 認証情報
接続するには、セッション構成時に CIFS ユーザー用の Windows 認証情報を最初に作成す
る必要があります。 ユーザーの UID は Windows 認証情報に含まれます。 UNIX アクセス
ポリシーでファイル システムにアクセスする場合、NFS の拡張認証情報を作成するのと同
様に、UNIX 認証情報の作成で UDS をクエリーするときにユーザーの UID が使用されま
す。
CIFS リクエストの Windows 認証情報
ユーザーが接続するときは、セッション構成リクエスト時に一度だけ、CIFS の Windows 認
証情報を作成する必要があります。
NTLM の使用時とは異なり、Kerberos 認証の使用時、ユーザーの認証情報がセッション構
成リクエストの Kerberos チケットに含まれます。 Windows DC または LGDB から他の情報
がクエリーされます。 Kerberos の場合、追加グループ SID のリストが Kerberos チケットから
取得され、追加ローカル グループ SID のリストと権限のリストが LGDB から取得されます。
NTLM の場合、追加グループ SID のリストが Windows DC から取得され、追加ローカル グ
ループ SID のリストと権限のリストが LGDB から取得されます。
22
3.1 セキュリティ構成ガイド
アクセス制御
さらに、対応する UID もユーザー マッピング コンポーネントから取得されます。 プライマリ
グループ SID はアクセス チェックには使用しないため、UNIX プライマリ GID が代わりに使
用されます。
NFS リクエストの Windows 認証情報
ユーザーが Windows アクセス ポリシーを持つファイル システムにアクセスしているときは、
Windows 認証情報が作成され、取得されるだけです。 UID が NFS リクエストから抽出され
ます。 関連づけられた保存期間内に各 NFS リクエストで認証情報が作成されないようにす
るため、グローバルな Windows 認証情報のキャッシュがあります。 Windows 認証情報が
このキャッシュに見つかった場合、他のアクションは必要ありません。 認証情報が見つから
ない場合、ユーザー マッピング コンポーネントを使用して、UID の SID へのマッピングを行
います。 マッピングが見つかった場合、Windows DC または LGDB から認証情報が取得さ
れます。 マッピングが見つからない場合、デフォルト Windows ユーザーの Windows 認証
情報が代わりに使用されるか、アクセスが拒否されます。
ファイル レベル セキュリティの認証情報
23
アクセス制御
24
3.1 セキュリティ構成ガイド
第3章
ロギング
本章では、ストレージ システムに実装されている各種ログ機能について説明します。
次のトピックが含まれます。
l
l
ロギング................................................................................................................ 26
リモート ログ オプション..........................................................................................27
ロギング
25
ロギング
ロギング
ストレージ システムでは、システム上で発生するイベントを追跡するために次のタイプのロ
グが維持されます。 「ログ(26 ページ)」を参照してください。
表 8 ログ
ログ タイプ
説明
システム ログ
ユーザーによる処置が可能なストレージ システム イベントを通知するために Unisphere に表示される情報。 これら
の情報は、システムに指定されているデフォルトの言語設定に応じてローカライズされます。 「ユーザーによる処置
が可能な」イベントには監査イベントも含まれます。 ログに記録されたイベントがすべて GUI に表示されるわけではあ
りません。 重大度の閾値を満たしていない監査ログ エントリーは、ログには記録されますが GUI には表示されませ
ん。
システム アラ
ート
ストレージ システムのステータスまたは動作の診断または監視のためにサービス担当者によって使用される情報。
これらの情報は英語でのみ記録されます。
ログの表示と管理
ストレージ システムで使用できるロギング機能を以下に示します。 「ログイン機能(26 ペ
ージ)」を参照してください。
表 9 ロギング機能
機能
説明
ログのロールオーバー
ストレージ システム ログ システムに記録されたログが 200 万エントリーに達すると、ログの記録時間
が最も古い 50 万エントリーがパージされ、150 万ログ エントリーに戻ります。 リモート ログを有効にす
るとログ エントリーのアーカイブを行えます。これにより、ログ エントリーをリモート ネットワーク ノード
にアップロードし、そのノード上でアーカイブやバックアップが行えるようになります。 詳細については、
「ロギング(26 ページ)」セクションを参照してください。
ログ レベル
ストレージ システムのログ レベルは構成できません。 「ロギング(26 ページ)」セクションで説明してい
るように、ログ レベルはエクスポートされたログ ファイルでのみ構成できます。
アラートの統合
ストレージ システムのアラート情報は次の方法で表示できます。
l
アラートのみの表示:
n
l
Unisphere で、[システム]>[システム アラート]の順に選択します。
すべてのログ イベントの表示:
n
Unisphere CLI を使用し、cemcli list event コマンドを入力します。
外部ログの管理
リモート ログを有効にするとログ エントリーのアーカイブを行えます。これにより、ログ エントリーをリモ
ート ネットワーク ノードにアップロードし、そのノード上でアーカイブやバックアップが行えるようになりま
す。 リモート ノードでは、システムログなどのツールを使用し、ログ結果のフィルタや分析を行うことが
できます。 詳細については、「ロギング(26 ページ)」セクションを参照してください。
時間の同期化
ログ時間は GMT 形式で記録され、ストレージ システム時間(NTP サーバーを介してローカル ネットワ
ーク時間に同期化可能)に従って維持されます。
26
3.1 セキュリティ構成ガイド
ロギング
リモート ログ オプション
ストレージ システムは、リモート ネットワーク アドレスへのユーザー/監査メッセージのログ
をサポートします。 デフォルトでは、ストレージ システムはポート 514 で UDP を使用してロ
グ情報を転送します。 次のリモート ログ設定は、Unisphere で構成できます。 Unisphere に
ログインし、[設定]>[管理設定]をクリックし、次に[ネットワーク]タブを選択します。
l
ストレージ システムがリモート ログ情報を送信するネットワークの名前またはアドレス
l
送信するユーザー レベルのログ メッセージのタイプ。 [ファシリティ]フィールドは、ログ
メッセージのタイプを設定するために使用します。 [ユーザー レベルのメッセージ]オプ
ションを選択することをお勧めします。
l
ログ転送に使用するポート番号とタイプ(UDP または TCP)
l
ログ メッセージ内のテキストの言語設定
ストレージ システムのログ メッセージを受信するホストを構成する方法
ストレージ システムに対してリモート ログを構成する前に、システムログを実行しているリモ
ート ホストを、ストレージ システムからのログ メッセージを受信するように構成する必要が
あります。 多くのシナリオでは、受信側コンピュータのルート アカウントまたは管理者アカウ
ントにより、リモート システム上の syslog-ng.conf ファイルを編集して、ログ情報を受信する
ようにリモート システムログ サーバを構成できます。
㽷
リモート システムログ サーバの設定と実行の詳細については、リモート システムで実行さ
れているオペレーティング システムのマニュアルを参照してください。
リモート ログ オプション
27
ロギング
28
3.1 セキュリティ構成ガイド
第4章
通信セキュリティ
本章では、ストレージ システムに実装されている各種通信セキュリティ機能について説明し
ます。
次のトピックが含まれます。
l
l
l
l
l
l
l
ポートの使用......................................................................................................... 30
ストレージ システム証明書.................................................................................... 41
DHCP を使用した管理インターフェイスの構成........................................................ 42
インターネット プロトコル バージョン 6 をサポートするストレージ システムのインターフ
ェイス、サービス、機能.......................................................................................... 43
IPv6 を使用したストレージ システム管理インターフェイスへのアクセス................... 45
Connection Utility の実行......................................................................................46
CIFS 暗号化...........................................................................................................46
通信セキュリティ
29
通信セキュリティ
ポートの使用
Unisphere と CLI インタフェースによる通信は、ポート 443 で HTTPS を使用して行われま
す。ポート 80 で HTTP を使用して Unisphere にアクセスすると、自動的にポート 443 にリダ
イレクトされます。
ストレージ システムのネットワーク ポート
ストレージ システムのネットワーク ポート(30 ページ)は、ストレージ システムに存在する
可能性のある各種ネットワーク サービス(および対応するポート)の概要をまとめたもので
す。
㽷
ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。
l
111、2049、mountd(NAS、VAAI-NAS)
l
137(NETBIOS Name Service(CIFS))
l
138(NETBIOS Datagram Service(CIFS))
l
445(CIFS)
l
1234(mountd(NFS))
l
2049、4000、4001(NFS)
l
10000~100004(NDMP ファイルのみのバックアップ)
l
12345(usermapper、CIFS)
l
1025:65535(NFS、クォータ)
表 10 ストレージ システムのネットワーク ポート
30
サービス
プロトコル
ポート
説明
FTP、ConnectEMC
TCP
20
FTP および ConnectEMC を通じた
アラート通知に使用されます。 閉じ
ている場合、ConnectEMC は使用
できなくなります。
SFTP
TCP
21
SFTP(FTP over SSH)を介したアラ
ート通知を許可します。 SFTP はク
ライアント/サーバ プロトコルです。
ユーザーは SFTP を使用して、ロー
カル サブネット上にあるストレージ
システムでファイル転送を実行でき
ます。 送信 FTP 制御接続も提供し
ます。 閉じている場合、FTP は使用
できなくなります。
SSH/SSHD、VSI
TCP
22
有効な場合に SSH アクセスを可能
にする。 VSI プラグインにも使用さ
れます。 閉じている場合、SSH を
使用した管理接続は使用できなく
なり、VSI プラグ インは使用できな
くなります。
3.1 セキュリティ構成ガイド
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
ポート
説明
動的 DNS 更新
TCP/UDP
53
DHCP(Dynamic Host Control
Protocol)と関連して DNS サーバ
ーに DNS クエリを送信するために
使用されます。 閉じている場合、
名前解決を使用できなくなります。
DHCP クライアント
UDP
67
初期構成プロセスの間にストレー
ジ システムが DHCP クライアントと
して動作できるようにし、管理イン
ターフェイス情報を自動取得するた
めにクライアント(ストレージ システ
ム)から DHCP サーバーにメッセー
ジを送信するのに使用されます。
また、すでに導入済みのストレージ
システムの管理インターフェイスに
DHCP を構成するのにも使用され
ます。 閉じている場合、DHCP を使
用した動的 IP アドレスの割り当て
が行われなくなります。
DHCP クライアント
UDP
68
初期構成プロセスの間にストレー
ジ システムが DHCP クライアントと
して動作できるようにし、管理イン
ターフェイス情報を自動取得するた
めに DHCP サーバーからクライア
ント(ストレージ システム)へのメッ
セージを受信するのに使用されま
す。 また、すでに導入済みのストレ
ージ システムの管理インターフェイ
スに DHCP を構成するのにも使用
されます。 閉じている場合、DHCP
を使用した動的 IP アドレスの割り
当てが行われなくなります。
HTTP
TCP
80
HTTP トラフィックを Unisphere と
Unisphere CLI にリダイレクトしま
す。 閉じている場合、デフォルト
HTTP ポートへの管理トラフィックは
使用できなくなります。
NAS、VAAI-NAS
TCP
111
VMware に NAS データストアを提
供し、VAAI-NAS に使用されます。
閉じている場合、NAS データストア
と VAAI-NAS は使用できなくなりま
す。
111
標準の portmapper または
rpcbind サービスにより開かれた、
補助的なストレージ システム ネット
ワーク サービスです。 このサービ
スを停止することはできません。
定義では、クライアント システムが
ポートにネットワーク接続されてい
TCP/UDP
Portmapper、
rpcbind(ネットワー
ク インフラストラク
チャ)
ストレージ システムのネットワーク ポート
31
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
ポート
説明
る場合は、ポートに対してクエリー
を実行できます。 認証は実行され
ません。
32
NTP
UDP
123
NTP 時間の同期化。 閉じている場
合、アレイの時刻が同期されなくな
ります。
DCERPC(DCE リモ
ート プロシージャ
コール)
UDP
135
MicroSoft Client 用の多目的。
NETBIOS Name
Service(CIFS)
UDP
137
NETBIOS Name Service は、ストレ
ージ システム CIFS ファイル共有サ
ービスに関連づけられており、この
機能のコア コンポーネントです
(Windows)。 このポートが無効に
なっている場合は、すべての CIFS
関連のサービスが無効になりま
す。
NETBIOS Datagram UDP
Service(CIFS)
138
NETBIOS Datagram Service は、ス
トレージ システム CIFS ファイル共
有サービスに関連づけられてお
り、この機能のコア コンポーネント
です。 参照サービスのみ使用され
ます。 無効にすると、このポートで
参照機能が無効になります。
NETBIOS セッション TCP
サービス(CIFS)
139
NETBIOS Session Service は、スト
レージ システム CIFS ファイル共有
サービスに関連づけられており、こ
の機能のコア コンポーネントです。
CIFS サービスが有効である場合、
このポートは開かれています。 こ
れらは、具体的には古いバージョ
ンの Windows OS(Windows 2000
より前)のために必要です。 ストレ
ージ システム CIFS サービスへの
正当なアクセス権を持つクライアン
トは、継続的に動作するために、こ
のポートへのネットワーク接続を必
要とします。
SNMP UNIX
Multiplexer
UDP
199*
SNMP 通信。 閉じている場合、
SNMP に依存しているストレージ シ
ステム アラートが送信されなくなり
ます。
LDAP
TCP/UDP
389*
セキュリティ保護なしの LDAP クエ
リー。 閉じている場合、セキュリテ
ィ保護なしの LDAP 認証クエリーを
使用できなくなります。 代わりにセ
3.1 セキュリティ構成ガイド
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
ポート
説明
キュリティ保護された LDAP を構成
できます。
SLP(サービス ロケ
ーション プロトコ
ル)
TCP/UDP
427
ストレージ システムにより提供され
る利用可能なサービスをホスト(ま
たはその他のリソース)が検出でき
るようにします。
HTTPS
TCP
443
Unisphere および Unisphere CLI
へのセキュアな HTTP トラフィック。
閉じている場合、アレイと通信でき
なくなります。
㽷
SMI-S の場合、アレイ管理に使用さ
れます。ただし、この目的で使用さ
れるデフォルトのポートは 5989 で
す。
CIFS
TCP
445
CIFS(ドメイン コントローラー上)お
よび Windows 2000 以降のクライ
アント用の CIFS 接続ポート。 ストレ
ージ システム CIFS サービスへの
正当なアクセス権を持つクライアン
トは、継続的に動作するために、こ
のポートへのネットワーク接続を必
要とします。 このポートが無効にな
っている場合は、すべての CIFS 関
連のサービスが無効になります。
ポート 139 も無効になっている場
合は、smb ファイル共有が無効に
なります。
DHCP(IPv6 のみ)
UDP
546
DHCP(v6)クライアント。 閉じている
場合、DHCP を使用した動的 IP ア
ドレスの割り当てが行われなくなり
ます。
DHCP(IPv6 のみ)
UDP
547
DHCP(v6)サーバー。 閉じている
場合、DHCP を使用した動的 IP ア
ドレスの割り当てが行われなくなり
ます。
LDAPS
TCP/UDP
636*
セキュリティで保護された LDAP ク
エリー。 閉じている場合、セキュリ
ティで保護された LDAP 認証を使
用できなくなります。
mountd(NFS)
TCP/UDP
1234
NFS サービス(バージョン 2 と 3)の
コア コンポーネントであり、Control
Station と Data Mover の対話処理
に重要なコンポーネントであるマウ
ント サービスに使用されます。
ストレージ システムのネットワーク ポート
33
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
ポート
説明
NAS、VAAI-NAS
TCP
2049
VMware に NAS データストアを提
供し、VAAI-NAS に使用されます。
閉じている場合、NAS データストア
と VAAI-NAS は使用できなくなりま
す。
NFS
TCP/UDP
2049
NFS サービスの提供に使用されま
す。
UDI SSH
TCP
2222
デバイス eth*のためにポート 22
からトラフィックをリダイレクトしま
す。
iSCSI
TCP
3260
iSCSI サービスへのアクセスを提供
します。 閉じている場合、ファイル
ベースの iSCSI サービスは使用で
きなくなります。
NFS
TCP/UDP
4000
NFS statd サービスの提供に使用
されます。statd は、NFS ファイル
ロックのステータス モニターであ
り、lockd と連動してクラッシュ後の
リカバリ機能を NFS に提供します。
NFS
TCP/UDP
4001
NFS ロック サービスの提供に使用
されます。lockd は NFS ファイル ロ
ック デーモンです。 このデーモン
は、NFS クライアントからのロック リ
クエストを処理し、statd デーモンと
連携して機能します。
PAX(Portable
Archive
Interchange)(バッ
クアップ サービス)
TCP
4658
ネットワーク ブロッ
ク サービス(NBS)
34
3.1 セキュリティ構成ガイド
TCP
5033
l
PAX は、標準的な UNIX テープ
形式で動作する VNXe アーカ
イブ プロトコルです。
l
このサービスは、複数の内部
ネットワーク インタフェースに
バインドされる必要があり、そ
の結果として外部インタフェー
スにもバインドされます。 ただ
し、外部ネットワーク経由の着
信リクエストは拒否されます。
l
PAX の背景情報については、
バックアップについての EMC
の関連マニュアルを参照してく
ださい。 このトピックに関する
いくつかのテクニカル モジュー
ルがあり、さまざまなバックア
ップ ツールについて説明され
ています。
iSCSI に似た(かつ iSCSI よりも前
に発表された)EMC 専用のプロトコ
ル。 このポートを開く NBS サービ
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
ポート
説明
スは、コア ストレージ システム サ
ービスで、停止することはできませ
ん。 外部では、NBS は、スナップシ
ョットおよびレプリケーション制御機
能のために使用されます。
TCP
5080
HTTP は、FileMover およびいくつか
の Control Station と Data Mover
の情報交換で転送メディアとして使
用されます。 FileMover トラフィック
は、ILM 関連ポリシー エンジンで
Data Mover にコマンドを送信する
ために使用されます。 ポリシー エ
ンジンは、HTTP ダイジェスト認証方
法を使用して認証されます。 HTTP
転送は、Control Station と Data
Mover の対話処理でも使用される
ので、このサービスを無効にするこ
とはできません。 ただし、この処理
では、Data Mover が VNX ファイル
キャビネット内のプライベート ネット
ワークを介して Control Station か
らの HTTP リクエストを受け付ける
ことだけが必要です。 外部エージ
ェントによる HTTP サービスへのア
クセスはデフォルトで無効になって
います。 このポートは、VSI プラグ
インも提供します。 閉じている場
合、VSI プラグインは使用できなく
なります。
レプリケーション サ TCP
ービス
5085
レプリケーション サービスと関連づ
けられています
SMI-S/VASA
TCP
5989
SMI-S の場合、アレイ管理に使用
されます。 SMI-S クライアントは、
SMI-S/VASA TCP 5989 HTTPS を使
用してアレイに接続します。 このサ
ービスの構成方法の詳細について
は、「VNXe 用 SMI-S Provider プログ
ラマ向けガイド」を参照してくださ
い。 VASA の場合、レポート作成イ
ンターフェイスとしてのみ使用され
ます。 VASA の詳細については、ス
トレージ認識サポートの vSphere
Storage API(15 ページ)を参照して
ください。
VASA
TCP
8443
VASA 1.0 および VASA 2.0 の
VASA ベンダー プロバイダー。閉じ
ている場合、VASA プロトコル トラフ
ィックは使用できなくなります(アレ
イ検出、vVOL ライフサイクル)。
HTTP、VSI
ストレージ システムのネットワーク ポート
35
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
RCP(レプリケーショ TCP
ン サービス)
NDMP
36
TCP
ポート
説明
8888
Replicator により使用されます(セ
カンダリ側)。 データをレプリケート
する必要が生じると直ちに
Replicator によって開かれたまま
にされます。 サービスが開始され
た後にサービスを停止する方法は
ありません。
l
10000:10004
(IPv4)
l
10000(IPv6)
l
NDMP サーバにサード パーテ
ィ ソフトウェアをインストールせ
ずに、ネットワーク バックアッ
プ アプリケーションを介して
NDMP サーバのバックアップと
リカバリを制御できます。 スト
レージ システムでは、Data
Mover は NDMP サーバーとし
て機能します。
l
NDMP テープ バップアップを
使用しない場合は、NDMP サ
ービスを無効化できます。
l
NDMP サービスは、ユーザー
名/パスワードの組み合わせ
を使用して認証されます。 ユ
ーザー名は構成可能です。 さ
まざまな環境に合わせてパス
ワードを構成する方法につい
ては、NDMP のドキュメントを
参照してください。
UserMapper、CIFS
TCP
12345
このポートは usermapper サービ
スによって開かれます。 ストレージ
システム CIFS サービスと関連づけ
られたコア サービスで、特定の環
境では停止すべきではありませ
ん。 これは、Windows 認証情報
(SID ベース)を UNIX ベースの UID
と GID の値にマップするための方
法です。
IWD
社内
60260
IWD 初期構成デーモン。 閉じてい
る場合、ネットワーク経由でアレイ
を初期化できなくなります。
NFS、クォータ、
MAC
TCP
1025:65535
3.1 セキュリティ構成ガイド
l
statd:NFS ファイル ロックのス
テータス モニターで、lockd と
連動して機能し、NFS にクラッ
シュおよびリカバリ機能を提供
します(NFS は本質的にステー
タス情報を持たないプロトコル
です)。
l
rquotad:rquotad デーモン
は、ファイル システムをマウン
通信セキュリティ
表 10 ストレージ システムのネットワーク ポート (続き)
サービス
プロトコル
ポート
説明
トしている NFS クライアントに
対してクォータ情報を提供しま
す。 閉じている場合、クォータ
サービスは使用できなくなりま
す。
NAS、VAAI-NAS
TCP
mountd
l
lockd:NFS ファイル ロックに使
用されます。 NFS クライアント
からのロック要求を処理し、ス
テータス サービスと連携して
動作します。 閉じている場合、
NFS ユーザー向けのロック マ
ネージャー サービスは使用で
きなくなります。
l
MAC:MAC サービスは、
Control Station と Data Mover
の間で使用される専用管理プ
ロトコルです。 閉じている場
合、Control Station と Data
Mover 間の MAC 管理は使用
できなくなります。
VMware に NAS データストアを提
供し、VAAI-NAS に使用されます。
閉じている場合、NAS データストア
と VAAI-NAS は使用できなくなりま
す。
㽷
LDAP と LDAPS のポート番号は、ディレクトリ サービスを構成するときに Unisphere 内から
上書きできます。 デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそ
れを上書きできます。 また、SNMP ポート番号は Unisphere の内部から上書きできます。
ストレージ システムが接続するポート
ストレージ システムは、一部の状況、例えば、LDAP サーバーとの通信などで、ネットワーク
クライアントの機能を果たす可能性があります。 このような状況では、ストレージ システム
は通信を開始し、ネットワーク インフラストラクチャでこれらの接続をサポートする必要があ
ります。 ストレージ システムによって開始されるネットワーク接続(38 ページ)に、対応す
るサービスを適切に機能させるために、ストレージ システムがアクセスを許可される必要が
あるポートについての説明が記載されています。 これには、Unisphere CLI が含まれます。
ストレージ システムが接続するポート
37
通信セキュリティ
㽷
ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。
l
137(NETBIOS Name Service(CIFS))
l
138(NETBIOS Datagram Service(CIFS))
l
1234(mountd(NFS))
l
2049、4000、4001(NFS)
l
10000:10004(IPv4)または 10000(IPv6)(NDMP ファイルのみのバックアップ)
l
1025:65535(NFS、クォータ)
表 11 ストレージ システムによって開始されるネットワーク接続
38
サービス
プロトコル
ポート
説明
SFTP
TCP
21
SFTP(FTP over SSH)を介したアラート通知
を許可します。 SFTP はクライアント/サー
バ プロトコルです。 ユーザーは SFTP を使
用して、ローカル サブネット上にあるストレ
ージ システムでファイル転送を実行できま
す。 送信 FTP 制御接続も提供します。 閉
じている場合、FTP は使用できなくなりま
す。
SSH/SSHD、VSI TCP
22
有効な場合に SSH アクセスを可能にす
る。 VSI プラグインにも使用されます。 閉
じている場合、SSH および VSI プラグイン
を使用した管理接続は使用できなくなりま
す。
SMTP
TCP
25
システムによるメールの送信を可能にす
る。 閉じている場合、メール通知を使用で
きなくなります。
DNS
UDP
53
DNS クエリー。 閉じている場合、名前解決
を使用できなくなります。
DHCP
UDP
67~68
ストレージ システムが DHCP クライアント
として機能することを可能にする。 閉じて
いる場合、DHCP を使用した動的 IP アドレ
スの割り当てが行われなくなります。
HTTP
TCP
80
HTTP トラフィックを Unisphere と
Unisphere CLI にリダイレクトします。 閉じ
ている場合、デフォルト HTTP ポートへの
管理トラフィックは使用できなくなります。
Kerberos
TCP/UDP
88
送信 Kerberos チケットを提供します。 閉
じている場合、Kerberos 認証とこれを使
用するすべてのプロトコル(CIFS、LDAP、
GPO、secNFS など)は使用できなくなりま
す。
Portmapper、
rpcbind(ネット
TCP/UDP
111
標準の portmapper または rpcbind サー
ビスにより開かれた、補助的なストレージ
システム ネットワーク サービスです。 この
3.1 セキュリティ構成ガイド
通信セキュリティ
表 11 ストレージ システムによって開始されるネットワーク接続 (続き)
サービス
プロトコル
ポート
ワーク インフラ
ストラクチャ)
説明
サービスを停止することはできません。 定
義では、クライアント システムがポートに
ネットワーク接続されている場合は、ポー
トに対してクエリーを実行できます。 認証
は実行されません。
NTP
UDP
123
NTP 時間の同期化。 閉じている場合、ア
レイの時刻が同期されなくなります。
NETBIOS Name
Service(CIFS)
UDP
137
NETBIOS Name Service は、ストレージ シ
ステム CIFS ファイル共有サービスに関連
づけられており、この機能のコア コンポー
ネントです(Windows)。 このポートが無効
になっている場合は、すべての CIFS 関連
のサービスが無効になります。
NETBIOS
Datagram
Service(CIFS)
UDP
138
NETBIOS Datagram Service は、ストレージ
システム CIFS ファイル共有サービスに関
連づけられており、この機能のコア コンポ
ーネントです。 参照サービスのみ使用さ
れます。 無効にすると、このポートで参照
機能が無効になります。
LDAP
TCP
389*
セキュリティ保護なしの LDAP クエリー。
閉じている場合、セキュリティ保護なしの
LDAP 認証クエリーを使用できなくなりま
す。 代わりにセキュリティ保護された
LDAP を構成できます。
HTTPS
TCP
443
Unisphere および Unisphere CLI への
HTTPS トラフィック。 閉じている場合、アレ
イと通信できなくなります。
Kerberos
TCP/UDP
464
Kerberos パスワードの変更と設定を行い
ます。 閉じている場合、CIFS に影響があ
ります。
リモート システ
ムログ
UDP
514*
Syslog:システム メッセージをリモート ホ
ストに記録します。 システムが使用するホ
スト ポートを構成できます。
LDAPS
TCP
636*
セキュリティで保護された LDAP クエリー。
閉じている場合、セキュリティで保護され
た LDAP 認証を使用できなくなります。
VMware
TCP
843
VMawareness:vSphere と VMware SDK
の通信を可能にします。 閉じている場合、
VCenter/ESX 検出は使用できなくなりま
す。
mountd(NFS)
TCP/UDP
1234
NFS サービス(バージョン 2 と 3)のコア コ
ンポーネントであり、Control Station と
Data Mover の対話処理に重要なコンポー
ネントであるマウント サービスに使用され
ます。
ストレージ システムが接続するポート
39
通信セキュリティ
表 11 ストレージ システムによって開始されるネットワーク接続 (続き)
40
サービス
プロトコル
ポート
説明
NFS
TCP/UDP
2049
NFS サービスの提供に使用されます。
iSCSI
TCP
3260
iSCSI サービスへのアクセスを提供しま
す。 閉じている場合、ファイル ベースの
iSCSI サービスは使用できなくなります。
NFS
TCP/UDP
4,000
NFS statd サービスの提供に使用されま
す。statd は、NFS ファイル ロックのステー
タス モニターであり、lockd と連動してクラ
ッシュ後のリカバリ機能を NFS に提供しま
す。
NFS
TCP/UDP
4001
NFS ロック サービスの提供に使用されま
す。lockd は NFS ファイル ロック デーモン
です。 このデーモンは、NFS クライアント
からのロック リクエストを処理し、statd デ
ーモンと連携して機能します。
VSI
TCP
5080
VSI プラグ イン 閉じている場合、VSI プラ
グインは使用できなくなります。
NDMP
TCP
l
10000:1000
4(IPv4)
l
10000(IPv6)
IWD
社内
60260
NFS、クォータ、
MAC
TCP
1025:65535
3.1 セキュリティ構成ガイド
l
NDMP サーバにサード パーティ ソフト
ウェアをインストールせずに、ネットワ
ーク バックアップ アプリケーションを
介して NDMP サーバのバックアップと
リカバリを制御できます。 ストレージ
システムでは、Data Mover は NDMP
サーバーとして機能します。
l
NDMP テープ バップアップを使用しな
い場合は、NDMP サービスを無効化
できます。
l
NDMP サービスは、ユーザー名/パス
ワードの組み合わせを使用して認証
されます。 ユーザー名は構成可能で
す。 さまざまな環境に合わせてパス
ワードを構成する方法については、
NDMP のドキュメントを参照してくださ
い。
IWD 初期構成デーモン。 閉じている場
合、ネットワーク経由でアレイを初期化で
きなくなります。
l
statd:NFS ファイル ロックのステータ
ス モニターで、lockd と連動して機能
し、NFS にクラッシュおよびリカバリ機
能を提供します(NFS は本質的にステ
ータス情報を持たないプロトコルで
す)。
l
rquotad:rquotad デーモンは、ファイ
ル システムをマウントしている NFS ク
ライアントに対してクォータ情報を提
通信セキュリティ
表 11 ストレージ システムによって開始されるネットワーク接続 (続き)
サービス
プロトコル
ポート
説明
供します。 閉じている場合、クォータ
サービスは使用できなくなります。
l
lockd:NFS ファイル ロックに使用され
ます。 NFS クライアントからのロック要
求を処理し、ステータス サービスと連
携して動作します。 閉じている場合、
NFS ユーザー向けのロック マネージ
ャー サービスは使用できなくなりま
す。
l
MAC:MAC サービスは、Control
Station と Data Mover の間で使用さ
れる専用管理プロトコルです。 閉じて
いる場合、Control Station と Data
Mover 間の MAC 管理は使用できなく
なります。
㽷
LDAP と LDAPS のポート番号は、ディレクトリ サービスを構成するときに Unisphere 内から
上書きできます。 デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそ
れを上書きできます。 また、リモート システムログ番号は、内部 Unisphere から上書きでき
ます。
ストレージ システム証明書
ストレージ システムは、初回の初期化の際に自己署名証明書を自動的に生成します。 この
証明書は、NVRAM とバックエンド LUN の両方に保存されます。 それ以降、クライアントが管
理ポートを介してストレージ システムに接続を試みると、ストレージ システムはこの証明書
をクライアントに提示します。
この証明書は 3 年間有効ですが、有効期限の 1 か月前にストレージ システムが証明書を
再生成します。 また、svc_custom_cert サービス コマンドを使用して新しい証明書をアッ
プロードすることもできます。 このコマンドを使用すると、指定した SSL 証明書が、
Unisphere 管理インターフェイスで使用できるように PEM 形式でインストールされます。 こ
のサービス コマンドの詳細については、「VNXe サービス コマンド テクニカル ノート」を参照し
てください。 Unisphere または Unisphere CLI から証明書を表示することはできませんが、
管理ポートへの接続を試みるブラウザー クライアントまたは Web ツールからは証明書を表
示できます。
㽷
アレイが FIPS モードであり、証明書がオフ アレイで生成された場合は、PEM 形式の証明書
に加えて、プライベート キーを PKCS#1 形式で用意する必要もあります。 この変換は、
openssl コマンドを使用して実行できます。 .cer ファイルと.pk ファイルが生成されたら、FIPS
モードのアレイで証明書を使用するときにこの追加のステップが必要になります。
一部の組織では、セキュリティを強化するため、CA 証明書チェーンを使用しています。 証明
書チェーンにより、2 個以上の CA 証明書がリンクされます。 プライマリ CA 証明書は、CA 証
明書チェーンの終端に位置するルート証明書です。 システムでは受信する証明書の信頼
ストレージ システム証明書
41
通信セキュリティ
性の確認に完全な証明書チェーンを必要とするため、証明書チェーンが使用されているか
どうかディレクトリ サーバ管理者に確認します。 使用されている場合は、関連するすべての
証明書を単一のファイルに連結して、そのバージョンをアップロードする必要があります。
証明書は PEM/Base64 でエンコードされた形式で、サフィックスとして.cer を使用する必要
があります。
DHCP を使用した管理インターフェイスの構成
システムの設置、ケーブル接続、電源の投入が完了した後は、ストレージ システム管理イ
ンターフェイスに IP アドレスを割り当てる必要があります。 DHCP(Dynamic Host Control
Protocol)サーバーと DNS(ドメイン ネーム システム)サーバーを含む動的なネットワークで
ストレージ システムを実行している場合、管理 IP アドレスを自動的に割り当てることができ
ます。
㽷
ストレージ システムを動的なネットワーク環境で実行していない場合、または手動で固定 IP
アドレスを割り当てる場合は、Connection Utility をインストールして実行する必要がありま
す(Connection Utility の実行(46 ページ)を参照してください)。
適切なネットワーク構成には、使用可能な IP アドレスの範囲、適切なサブネット マスク、ゲ
ートウェイ、ネーム サーバ アドレスの設定を含める必要があります。 DHCP サーバーおよび
DNS サーバーの設定の詳細については、ご使用のネットワークのマニュアルを参照してくだ
さい。
DHCP は、ネットワーク上のデバイスに動的な IP(インターネット プロトコル)アドレスを割り
当てるためのプロトコルです。 DHCP を使用することで、ストレージ システムを組織のネット
ワークに接続するときに、中央のサーバーで IP(インターネット プロトコル)アドレスを制御
し、新しい一意の IP アドレスを自動的に割り当てることができます。 この動的なアドレス指
定では、ソフトウェアが IP アドレスをトラッキングするため、管理者がタスクを管理する必要
がなく、ネットワーク管理が合理化されます。
DNS サーバーは、ドメイン名を IP アドレスに変換する IP ベースのサーバーです。 数値の IP
アドレスと比較すると、アルファベットを使用するドメイン名の方が一般に世代管理が容易で
す。 IP ネットワークは IP アドレスに基づいているため、ドメイン名を使用するたびに DNS サ
ーバによって名前を対応する IP アドレスに変換する必要があります。 たとえば、
www.Javanet.com というドメイン名は 209.94.128.8 という IP アドレスに変換されます。
ユーザー名、パスワードなどの管理情報は、DHCP/動的 DNS 構成の間に交換されます。
管理 IP 項目(DHCP 環境設定、DNS および NTP のサーバー構成)の構成は、セキュリティ
に関する既存の Unisphere のフレームワーク内に属します。 リース有効期限の到来時に新
しい IP アドレスを取得するといった DNS および DHCP のイベントは、ストレージ システムの
監査ログに記録されます。 ストレージ システム管理 IP 構成で DHCP を使用しない場合は、
追加のネットワーク ポートが開かれることはありません。
ストレージ システムへの IP アドレスの自動割り当て
はじめに
ストレージ システム、DHCP サーバー、DNS サーバーの間のネットワーク接続を確認しま
す。
DHCP ネットワークを構成すると、ストレージ システムに IP アドレスを自動的に割り当てるこ
とができます。
手順
1. ストレージ システムの電源をオンにします。
ストレージ システム背面の SP 障害ライトが点灯します(青色に点灯して 3 秒に 1 回ア
ンバーが点滅)。これは、システムが初期化されておらず、管理 IP アドレスが割り当てら
42
3.1 セキュリティ構成ガイド
通信セキュリティ
れていないことを示します。 ストレージ システムで実行中の DHCP クライアント ソフトウ
ェアからローカル ネットワーク上の IP アドレスをリクエストされます。 DHCP サーバーが
ストレージ システムに IP アドレスを動的に割り当て、この情報を DNS サーバーに送信し
ます。 ストレージ システム管理 IP がネットワーク ドメインに登録されます。 IP アドレスの
割り当てが完了し、SP 障害ライトがオフになったら、Unisphere にログインしてストレージ
システムを適切に構成できます。 ストレージ システム管理 IP を固定 IP アドレスとして手
動で構成することは、IP を自動割り当てし、SP 障害ライトがオフになった後でも可能で
す。 ただし、構成ウィザードの EULA(エンド ユーザー使用許諾契約書)を許諾する前で
なければなりません。
2. Web ブラウザーを開き、次の構文を使用して管理インターフェイスにアクセスします
serial_number.domain
各項目の意味は次のとおり。
serial_number は、ご使用のストレージ システムのシリアル番号です。 この番号はスト
レージ システムに付属の梱包材に記載されています。
domain は、ストレージ システムが存在するネットワーク ドメインです。
次に例を挙げます。
FM100000000017.mylab.emc.com
証明書のエラーが表示されたら、ブラウザの指示に従ってエラーを無視します。
3. ストレージ システムにデフォルトのユーザー名(admin)とデフォルトのパスワード
(Password123#)でログインします。
Unisphere を初めて開くと、構成ウィザードが実行され、パスワード、DNS サーバー、
NTP サーバー、ストレージ プール、ストレージ サーバー設定、ESRS、ConnectEMC 機能
(物理環境のみ)の構成を支援します。
4. DNS(ドメイン ネーム サーバー)パネルが表示されるまで、構成ウィザードに従って進み
ます。
5. DNS(ドメイン ネーム サーバ)パネルで[デフォルトの DNS サーバ アドレスを自動的に取
得する]を選択します。
6. ストレージ システム クイック スタート ポスターまたはオンライン ヘルプに記載された情
報を参照してウィザードを続行します。
インターネット プロトコル バージョン 6 をサポートするストレージ シ
ステムのインターフェイス、サービス、機能
さまざまなサービスと機能を構成するために、システムのインターフェイスを構成し、IPv6(イ
ンターネット プロトコル バージョン 6)アドレスを使用することができます。 次のリストに、
IPv6 プロトコルがサポートされる機能をまとめています。
l
インターフェイス(SF、iSCSI):IPv4 または IPv6 のアドレスをインターフェイスに静的に割
り当てます
l
ホスト:ネットワーク名、ホストの IPv4 または IPv6 のアドレスを入力します
l
経路指定:IPv4 または IPv6 のプロトコルの経路指定を構成します
l
診断:IPv4 または IPv6 の宛先アドレスを使用して ping 診断 CLI コマンドを開始しま
す。 Unisphere の[PING 送信先]スクリーンでは、IPv6 の宛先アドレスもサポートされま
す。
IPv4 はすべてのストレージ システム コンポーネントでサポートされます。IPv6 も多くのコン
ポーネントでサポートされます。設定タイプおよびコンポーネント別の IPv6 サポート(44 ペ
ージ)に、設定タイプおよびコンポーネント別に利用可能な IPv6 のサポートを示します。
インターネット プロトコル バージョン 6 をサポートするストレージ システムのインターフェイス、サービス、機能
43
通信セキュリティ
表 12 設定タイプおよびコンポーネント別の IPv6 サポート
設定タイプ
コンポーネント
IPv6 サポート
Unisphere の管理設定
管理用ポート
はい
DNS(ドメイン ネーム サーバ)
はい
NTP(ネットワーク タイム プロトコル)
サーバー
はい
リモート ログ サーバ
はい
Microsoft Exchange
はい
VMware データストア(NFS)
はい
VMware データストア(VMFS)
はい
Hyper-V データストア
はい
SNMP トラップ送信先
はい
SMTP サーバ
はい
EMC の接続 (物理環境のみ)
いいえ
ESRS(EMC Secure Remote Support)
(物理環境のみ)
いいえ
iSCSI サーバ
はい
共有フォルダ サーバ
はい
Unisphere ホスト構成の設定
Unisphere のアラート設定
ストレージ サーバー設定
NIS(Network Information Service)サ はい
ーバー(NFS NAS サーバーの場合)
その他
Active Directory サーバー(CIFS NAS
サーバーの場合)
はい
iSNS(Internet Storage Naming
Service)サーバ
はい
PING 送信先
はい
リモート ジャーナル
はい
LDAP
はい
IPv6 アドレス標準
IPv6(インターネット プロトコル バージョン 6)は、IETF(Internet Engineering Task Force)によ
って開発された IP(インターネット プロトコル)アドレス標準の 1 つのバージョンであり、現在
ほとんどのインターネット サービスで使用されている IPv4 アドレス標準を補完するととも
に、いずれは置き換えるものです。
IPv4 は 32 ビットの IP アドレスを使用し、約 43 億の使用可能アドレスを提供します。 インタ
ーネットのユーザーやインターネット接続デバイスの急激な増加に伴い、使用できる IPv4 ア
ドレス空間が不足しています。 IPv6 では 128 ビット アドレスを使用することで 340 兆個の
IP アドレスが提供されるため、アドレス不足問題が解決されます。 IPv6 は、モビリティ、自動
構成、総合的な拡張性など IPv4 が抱えるその他の問題も解決します。
IPv6 アドレスは、次のように、コロンで区切られた 16 ビットのフィールド 8 個から成る 16 進
数値です。
44
3.1 セキュリティ構成ガイド
通信セキュリティ
hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
IPv6 アドレスの各桁には 0~9 の数字または A~F の文字を使用できます。
IPv6 標準の詳細については、IETF Web サイト(http://www.ietf.org)で IPv6 標準(RFC
2460)に関する情報を参照してください。
IPv6 を使用したストレージ システム管理インターフェイスへのアク
セス
ストレージ システムで管理接続を設定すると、次のタイプの IP アドレスが許容されるように
システムを構成できます。
l
固定 IPv6(インターネット プロトコル バージョン 6)アドレス、DHCP から取得される IPv4
アドレス、固定 IPv4 アドレス
l
IPv4 アドレスのみ
管理インターフェイスには固定 IPv6 アドレスを割り当てることができます。 管理インターフェ
イスの IPv6 アドレスは、手動/固定または無効の 2 つのモードのどちらかに設定できます。
IPv6 を無効化しても、プロトコルはインターフェイスからバインド解除されません。 管理イン
ターフェイスに割り当てられたユニキャスト IPv6 アドレスがある場合、無効化コマンドによっ
てそのアドレスが削除され、ストレージ システムは IPv6 でアドレス指定されたリクエストに
応答しなくなります。デフォルトでは IPv6 は無効になっています。
システムの設置、ケーブル接続、電源の投入が完了した後は、ストレージ システム管理イ
ンターフェイスに IP アドレスを割り当てる必要があります。 ストレージ システムを動的ネット
ワーク環境で実行していない場合、または手動で固定 IP アドレスを割り当てる場合は、
Connection Utility をダウンロードしてインストールし、実行する必要があります。
Connection Utility の詳細については、Connection Utility の実行(46 ページ)を参照して
ください。
IPv6 を使用した管理インターフェイスからストレージ システムへのインバウンド リクエストは
サポートされます。 IPv4 のみ、IPv6 のみ、IPv4 と IPv6 の混在環境のいずれかで動作する
ようにストレージ システムの管理インターフェイスを構成できます。また、Unisphere UI およ
び CLI(コマンド ライン インターフェイス)を使用してストレージ システムを管理できます。
NTP(ネットワーク タイム プロトコル)や DNS(ドメイン ネーム システム)などの送信サービス
では、明示的に IPv6 アドレス指定を使用する方法または DNS 名を使用する方法で IPv6 ア
ドレスをサポートします。 DNS 名が IPv6 と IPv4 のどちらにも解決される場合、ストレージ シ
ステムは IPv6 を使用してサーバーと通信します。
管理インターフェイスの管理に使用される CLI コマンドの manage ネットワーク インターフェ
イス セットおよび show には、IPv6 に関連する属性が含まれます。これらのネットワーク イ
ンターフェイス管理のコマンドの詳細については、「Unisphere CLI ユーザー ガイド」を参考に
してください。
IPv6 を使用したストレージ システム管理インターフェイスへのアクセス
45
通信セキュリティ
Connection Utility の実行
㽷
DHCP サーバーと DNS サーバーを含む動的なネットワーク環境でストレージ システムを実
行している場合、Connection Utility を使用する必要はなく、その代わりにストレージ システ
ム管理インターフェイスに動的な IP アドレス(IPv4 のみ)を自動的に割り当てることができま
す(Connection Utility の実行(46 ページ)を参照してください)。 ストレージ システムで固定
IP アドレスを使用する場合、特定の IP アドレスを使用するように、Connection Utility を実行
して IP アドレスを手動で構成します。 固定割り当てで発生する問題の 1 つは、ミスや不注
意が原因で発生するもので、同じ管理 IP アドレスを使って 2 つのストレージ システムを構
成する場合に発生します。 これによって競合が発生し、ネットワーク接続が切断される場合
があります。 DHCP を使用して IP アドレスを動的に割り当てることで、このような競合が最小
限に抑えられます。 IP 割り当てに DHCP を使用するように構成されたストレージ システムで
は、固定割り当ての IP アドレスを使用する必要がありません。
Connection Utility インストール ソフトウェアは、EMC オンライン サポート用 Web サイトから
入手できます。 ソフトウェアのダウンロード後に、プログラムを Windows ホストにインストー
ルします。 ストレージ システムと同じサブネット上にあるコンピューターで Connection Utility
を実行すると、未構成のストレージ システムが自動検出されます。 別のサブネット上で
Connection Utility を実行している場合は、構成データを USB ドライブに保存してから、スト
レージ システムに転送できます。 VNXe OE 3.0 以降を実行するストレージ システムの各 SP
にはミニ USB ポートが搭載されているため、USB とミニ USB のコンバーターを使用する必
要があります。 コンバーターはストレージ システムに同梱されています。
㽷
両方の SP(ストレージ プロセッサ)がサービス モードになっている場合、管理 IP アドレスは
変更できません。
Connection Utility を実行して構成をストレージ システムに転送したら、ストレージ管理イン
ターフェイスに割り当てた IP アドレスを使用して Web ブラウザーからストレージ システムに
接続することができます。
ストレージ システムに初めて接続すると、ストレージ システム構成ウィザードが起動されま
す。 構成ウィザードでは、ストレージ システムの初期構成を設定できます。初期構成を設定
したら、ストレージ リソース作成作業を開始できます。
CIFS 暗号化
ストレージ システムで SMB 3.0 および Windows 2012 がサポートされることで、CIFS を使
用できるホストに CIFS 暗号化が提供できます。 CIFS 暗号化によって、CIFS ファイル共有上
のデータに安全にアクセスできます。 この暗号化により、信頼されないネットワーク上でデ
ータに対するセキュリティが提供されます。つまり、アレイとホストの間で送信される SMB デ
ータがエンド ツー エンドで暗号化されます。 信頼されないネットワーク上での盗聴/覗き見
の攻撃からデータが保護されます。
CIFS 暗号化は共有ごとに構成できます。 共有の暗号化が定義されている場合、すべての
SMB3 クライアントは共有に関するすべてのリクエストを暗号化する必要があります。暗号
化しないと共有へのアクセスが拒否されます。
CIFS 暗号化を有効にするには、CIFS サーバーの追加時に[CIFS 暗号化]オプションを設定
するか、CIFS 共有に対して create コマンドと set コマンドを使用して設定します。 また、
46
3.1 セキュリティ構成ガイド
通信セキュリティ
CIFS ファイル システムの作成時にも[CIFS 暗号化]オプションを設定できます。 SMB クライ
アントで必要な設定はありません。
㽷
CIFS 暗号化の設定の詳細については、Unisphere オンライン ヘルプおよび「Unisphere CLI
ユーザー ガイド」を参考にしてください。
CIFS 暗号化
47
通信セキュリティ
48
3.1 セキュリティ構成ガイド
第5章
データ セキュリティ設定
本章では、サポートされているストレージ タイプに対応するストレージ システムで使用可能
なセキュリティ機能を説明します。
次のトピックが含まれます。
l
データ セキュリティ設定......................................................................................... 50
データ セキュリティ設定
49
データ セキュリティ設定
データ セキュリティ設定
セキュリティ機能(50 ページ)に、サポートされているストレージ システム ストレージ タイ
プで使用可能なセキュリティ機能を示します。
㽷
ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。
l
445(CIFS)
l
2049(NFS)
表 13 セキュリティ機能
ストレージ
タイプ
ポート
プロトコル
セキュリティ設定
iSCSI ストレ
ージ
3260
TCP
l
Unisphere を介した、iSCSI ホスト(イニシエータ)
レベルのアクセス制御が可能です。これにより、
クライアントはプライマリ ストレージまたはスナッ
プショット、あるいはこの両方にアクセスできま
す。
l
CHAP 認証がサポートされます。これにより、スト
レージ システム iSCSI サーバー(ターゲット)は、
iSCSI ベース ストレージにアクセスする iSCSI ホ
スト(イニシエーター)を認証できます。
l
双方向 CHAP 認証がサポートされます。これに
より、iSCSI ホスト(イニシエーター)はストレージ
システム iSCSI サーバーを認証できます。
l
Active Directory のユーザー アカウントとグルー
プ アカウントによって、ドメイン アクションと管理
アクションに対する認証が提供されます。
l
Windows のディレクトリ サービスによって、ファ
イル アクセス制御と共有アクセス制御が提供さ
れます。 CIFS 共有の ACL(アクセス コントロール
リスト)は、SMI-S インターフェイスからも構成で
きます。
l
SMB 署名で、セキュリティ シグネチャがサポート
されます。
l
CIFS 暗号化は、CIFS を使用できるホスト向けに
SMB 3.0 および Windows 2012 により提供され
ます。 CIFS 暗号化の詳細については、「データ
セキュリティ設定(50 ページ)」を参照してくださ
い。
l
アドオン ソフトウェアで、オプションのファイルレ
ベル リテンション設定サービスがサポートされま
す。
l
Unisphere で、共有ベースのアクセス制御が提
供されます。
CIFS ストレー
ジ
NFS ストレー
ジ
50
3.1 セキュリティ構成ガイド
445
2049
TCP、UDP
TCP
データ セキュリティ設定
表 13 セキュリティ機能 (続き)
ストレージ
タイプ
バックアップ
とリストア
ポート
プロトコル
セキュリティ設定
l
NFS バージョン 2 および 3 で特定されている
NFS 認証とアクセス制御方式のサポート。
l
アドオン ソフトウェアで、オプションのファイルレ
ベル リテンション設定サービスがサポートされま
す。
l
NDMP 共有シークレットに基づいて NDMP セキ
ュリティを実装できます。
データ セキュリティ設定
51
データ セキュリティ設定
52
3.1 セキュリティ構成ガイド
第6章
セキュリティ メンテナンス
本章では、ストレージ システムに実装されている各種セキュリティ保守機能について簡単に
説明します。
次のトピックが含まれます。
l
l
安全な保守........................................................................................................... 54
ストレージ システムの EMC セキュア リモート サポート........................................... 55
セキュリティ メンテナンス
53
セキュリティ メンテナンス
安全な保守
ストレージ システムでは、リモート システムのメンテナンスと更新のタスクを実施する、次の
安全性のための機能が提供されています。
l
ライセンスのアクティベーション
l
ソフトウェアのアップグレード
l
ソフトウェア ホットフィックス
ライセンス更新
ライセンス更新機能は、ファイル レベル保存期間設定や RepliStor™レプリケーションなど、
特定のストレージ システム機能のライセンスの取得とインストールに使用します。 ライセン
ス更新セキュリティ機能(54 ページ)に、ライセンス更新機能に関連するセキュリティ機能
を示します。
表 14 ライセンス更新セキュリティ機能
プロセス
セキュリティ
EMC オンライン サポート Web サイト
からライセンスを取得する
ライセンスの取得は、EMC オンライン サポート用 Web サイト(http://www.emc.com/
vnxesupport)の認証されたセッションで行います。
ライセンス ファイルの受信
ライセンスは、EMC オンライン サポート用 Web サイト(http://www.emc.com/vnxesupport)の
認証されたトランザクションで指定したメール アドレスに送信されます。
Unisphere クライアントによる、ストレ
ージ システムへのライセンスのアップ
ロードとインストール
l
ストレージ システムへのライセンス ファイルのアップロードは、HTTPS を介して認証された
Unisphere セッション内で行います。
l
ストレージ システムは、デジタル署名を使用して、受信したライセンス ファイルを検証しま
す。 ライセンスされた各機能は、ライセンス ファイル内の固有の署名によって検証されま
す。
ソフトウェアのアップグレード
ストレージ システム ソフトウェア更新機能は、ストレージ システム上で実行しているソフトウ
ェアをアップグレードまたは更新するソフトウェアの取得とインストールを行う場合に使用し
ます。 ソフトウェア アップグレード セキュリティ機能(54 ページ)に、ストレージ システム ソ
フトウェア アップグレード機能に関連するセキュリティ機能を示します。
表 15 ソフトウェア アップグレード セキュリティ機能
プロセス
説明
EMC オンライン サポート用 Web サイトからのスト
レージ システム ソフトウェアのダウンロード
ライセンスの取得は、EMC オンライン サポート用 Web サイト(http://
www.emc.com/vnxesupport)の認証されたセッションで行います。
ストレージ システム ソフトウェアのアップロード
ストレージ システムへのソフトウェアのアップロードは、HTTPS を介して認証され
た Unisphere セッションで行います。
54
3.1 セキュリティ構成ガイド
セキュリティ メンテナンス
ストレージ システムの EMC セキュア リモート サポート
ESRS(EMC セキュア リモート サポート)機能(物理環境のみ)により、認定サービス プロバイ
ダーに対して、暗号化された安全なトンネルを使用したストレージ システムへのリモート ア
クセスを提供することができます。 この機能は、実装環境によっては使用できない場合があ
ります。 アウトバウンド アクセスを提供するには、ストレージ システム管理 IP ネットワークで
アウトバウンドおよびインバウンドの両方の HTTPS トラフィックが可能である必要がありま
す。 また、ESRS によって確立されたストレージ システム デバイスと EMC ネットワーク上の
許可されたシステムの間の安全なトンネルを使用して、ストレージ システムにファイルを転
送したり、逆に EMC ネットワークにファイルを転送したりできます。 ESRS 機能の詳細につい
ては、「VNXe 向け EMC セキュア リモート サポートの要件および構成に関するテクニカル ノート」
を参照してください。
ストレージ システム自体には、いずれのポリシーも実装されていません。 ストレージ システ
ムに対するリモート アクセスをより細かく管理する必要がある場合は、ポリシー マネージャ
ーを使用して権限を設定できます。 ポリシー マネージャ ソフトウェア コンポーネントは、お
客様提供のサーバにインストールすることができます。 ポリシー マネージャーの詳細につ
いては、「VNXe 向け EMC セキュア リモート サポートの要件および構成に関するテクニカル ノー
ト」を参照してください。 ポリシー マネージャーの追加情報については、EMC オンライン サ
ポート用 Web サイト(http://Support.EMC.com)を参照してください。
ストレージ システムの EMC セキュア リモート サポート
55
セキュリティ メンテナンス
56
3.1 セキュリティ構成ガイド
第7章
セキュリティ アラートの設定
本章では、ストレージ システムで発生したアラートを管理者に通知するためのさまざまな方
法を説明します。
次のトピックが含まれます。
l
アラートの設定...................................................................................................... 58
セキュリティ アラートの設定
57
セキュリティ アラートの設定
アラートの設定
ストレージ システム アラートは、ストレージ システム上で発生する、ユーザーによる処置が
可能なイベントを管理者に通知します。 アラートの設定(59 ページ)に示すように、ストレ
ージ システム イベントがレポートされます。
58
3.1 セキュリティ構成ガイド
セキュリティ アラートの設定
表 16 アラートの設定
アラート タイプ
説明
視覚的な通知
ユーザーがインタフェースにログインした際や、アラート条件が発生した際にリアルタイムに、情報ポ
ップアップ メッセージが表示されます。 ポップアップには、アラート条件の基本的な情報が示されま
す。 詳細情報は、[システム]>[システム アラート]ページで確認できます。
㽷
ストレージ システムの視覚的なアラート通知は構成できません。
メール通知
アラート メッセージの送信先メール アドレスを 1 個以上指定できます。 次の設定を構成できます。
l
ストレージ システム アラートの送信先メールアドレス。
l
メール通知に必要な重大度レベル(緊急、エラー、情報)。
㽷
ストレージ アラート メール通知が動作するためには、ストレージ システムでターゲット SMTP サーバ
ーを構成する必要があります。
SNMP トラップ
指定されたホスト(トラップ送信先)にアラート情報を転送します。この送信先は、ストレージ ネットワ
ーク システムによって生成されるアラート情報のリポジトリとして機能します。 SNMP トラップは
Unisphere で構成できます。 以下の項目を設定します。
l
ネットワーク SNMP トラップ送信先の IP アドレス
l
トラップ送信先がトラップを受信するポート番号
l
トラップ データ転送のオプションのセキュリティ設定
n
認証プロトコル: SNMP トラップに使用されるハッシュ アルゴリズム(SHA または MD5)
n
プライバシー プロトコル: SNMP トラップに使用される暗号化アルゴリズム(DES、AES、
AES192、または AES256)
詳細については、Unisphere オンライン ヘルプを参照してください。
ConnectEMC (物理環境のみ)
製品の問題点の診断に役立つように、EMC に自動的にアラート通知を送信します。
㽷
ConnectEMC 通知が動作するためには、ストレージ システムでターゲット SMTP サーバーを構成する
必要があります。 この機能は、実装環境によっては使用できない場合があります。
ESRS(EMC Secure Remote
Support) (物理環境のみ)
ESRS は、IP ベースの接続を提供します。これにより、EMC サポートがストレージ システムからエラー
ファイルとアラート メッセージを受け取り、リモートでトラブルシューティングを実行できるため、問題
を迅速かつ効果的に解決できるようになります。
㽷
OE(オペレーティング環境)バージョン 3.0 以降で使用できます。 ESRS が動作するためには、ストレ
ージ システムで ESRS を有効化する必要があります。 この機能は、実装環境によっては使用できな
い場合があります。
アラート設定の構成
ストレージ システムからのメール通知と SNMP トラップについて、ストレージ システム アラ
ート設定を構成できます。
アラート設定の構成
59
セキュリティ アラートの設定
メール通知のアラート設定の構成
Unisphere を使用して、以下を実行します。
手順
1. [設定]>[その他の構成]>[アラートの設定]の順にクリックします。
2. [メール アラート]のセクションで、アラート メール メッセージが生成される重大度レベル
を次のいずれかに構成します。
l
重大
l
エラー以上
l
警告以上
l
通知以上
l
情報以上
㽷
ストレージ システム アラート メール メカニズムを使用するには、ストレージ システムでタ
ーゲット SMTP サーバーを構成する必要があります。
SNMP トラップのアラート設定の構成
Unisphere を使用して、以下を実行します。
手順
1. [設定]>[その他の構成]>[アラートの設定]の順にクリックします。
2. [アラートの設定]のセクションで、SNMP トラップが生成される重大度レベルを次のいず
れかに構成します。
60
3.1 セキュリティ構成ガイド
l
重大
l
エラー以上
l
警告以上
l
通知以上
l
情報以上
第8章
その他のセキュリティ設定
本章では、ストレージ システムの安全な運用を確実に行うためのその他の情報を説明しま
す。
次のトピックが含まれます。
l
l
物理的セキュリティ統制.........................................................................................62
ウイルス対策保護................................................................................................. 62
その他のセキュリティ設定
61
その他のセキュリティ設定
物理的セキュリティ統制
ストレージ システムが存在する場所は、ストレージ システムの物理的なセキュリティが確保
されるように選択および変更する必要があります。 たとえば、十分なドアとロックを用意する
こと、システムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼
性の高い電源を使用すること、標準的な配線のベスト プラクティスに従うことなど、基本的
な対策を行います。
さらに、次のストレージ システム コンポーネントについては、特別の配慮が必要です。
l
パスワード リセット ボタン: ストレージ システムのデフォルトの管理者アカウントとサー
ビス アカウントの両方について、管理者がパスワードをリセットするまで、一時的に出荷
時のデフォルト パスワードにリセットします。
l
SP Ethernet サービス ポート コネクタ: SP Ethernet サービス ポート接続を介して認証さ
れたアクセスを許可します。
ウイルス対策保護
ストレージ システムは、CAVA(Common AntiVirus Agent)をサポートしています。 EE(Event
Enabler)4.9.3.0 のコンポーネントである CAVA は、ストレージ システムを使用するクライア
ントにウイルス対策ソリューションを提供します。 Microsoft Windows Server 環境で業界標
準の CIFS プロトコルを使用します。 CAVA は、サード パーティのウイルス対策ソフトを使用
して、ストレージ システムのファイルに感染する前に既知のウイルスを識別して排除しま
す。 CAVA インストーラーを含む EE インストーラーと、EE のリリース ノートは、EMC オンライ
ン サポート用 Web サイトで入手できます([ダウンロード] > [VNXe 製品サポート])。
62
3.1 セキュリティ構成ガイド
付録 A
SSL/TSL 暗号スイート
この付録では、ストレージ システムでサポートされている SSL/TSL 暗号スイートのリストを
示します。
次のトピックが含まれます。
l
サポートされている SSL/TSL 暗号スイート..............................................................64
SSL/TSL 暗号スイート
63
SSL/TSL 暗号スイート
サポートされている SSL/TSL 暗号スイート
暗号スイートでは、SSL/TLS 通信をセキュリティで保護するための一連のテクノロジーを定
義します。
l
鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントからサーバに
伝達される仕組み)。 例: RSA 鍵または DH(Diffie-Hellman)
l
認証方法(ホストでリモート ホストの ID を認証する仕組み)。 例: RSA 証明書、DSS 証
明書、認証なし
l
暗号化サイファ(データを暗号化する仕組み)。 例: AES(256 または 128 ビット)、RC4
(128 または 56 ビット)、3DES(168 ビット)、DES(56 または 40 ビット)、NULL 暗号化
l
ハッシュ アルゴリズム(データの変更を特定する手段を提供し、データの整合性を確保
する仕組み)。 例: SHA-1 または MD5
サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。
次のリストは、ストレージ システムおよび関連ポートの SSL または TLS 暗号スイートの
OpenSSL 名を示しています。
表 17 ストレージ システムでサポートされるデフォルト/サポート対象 SSL/TSL 暗号スイート
64
暗号スイート
プロトコル
ポート
AES128-GCM-SHA256
TLSv1.2
443
AES256-GCM-SHA384
TLSv1.2
443
AES256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
AES128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
AES128-SHA256
TLSv1.2
443
AES256-SHA256
TLSv1.2
443
CAMELLIA128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
CAMELLIA256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-AES128-GCM-SHA256 TLSv1.2
443
DHE-RSA-AES256-GCM-SHA384 TLSv1.2
443
DHE-RSA-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-AES256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-AES128-SHA256
TLSv1.2
443
DHE-RSA-AES256-SHA256
TLSv1.2
443
DHE-RSA-CAMELLIA256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-CAMELLIA128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
ECDHE-RSA-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
ECDHE-RSA-AES256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
ECDHE-RSA-AES128-SHA256
TLSv1.2
443
3.1 セキュリティ構成ガイド
SSL/TSL 暗号スイート
表 17 ストレージ システムでサポートされるデフォルト/サポート対象 SSL/TSL 暗号スイート (続き)
暗号スイート
プロトコル
ポート
ECDHE-RSA-AES256-SHA384
TLSv1.2
443
ECDHE-RSA-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2
443
EDH-RSA-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2
443
RSA-AES128-SHA256
TLSv1.2
443
RSA-AES256-SHA256
TLSv1.2
443
AES128-SHA
SSLv3(非 FIPS モードのみ)、TLSv1、TLSv1.1、TLSv1.2 5989
AES256-SHA
SSLv3(非 FIPS モードのみ)、TLSv1、TLSv1.1、TLSv1.2 5989
DES-CBC3-SHA
SSLv3(非 FIPS モードのみ)、TLSv1、TLSv1.1、TLSv1.2 5989
サポートされている SSL/TSL 暗号スイート
65
SSL/TSL 暗号スイート
66
3.1 セキュリティ構成ガイド
Fly UP