Comments
Description
Transcript
EMC® VNXe® Series 3.1 セキュリティ構成ガイド
EMC® VNXe® Series バージョン 3.1 セキュリティ構成ガイド 302-000-198 REV 04 Copyright © 2014-2015 EMC Corporation. All rights reserved.(不許複製・禁無断転載) 2015 年 7 月発行 EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される ことがあります。 この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし ません。 EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての 名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。 ご使用の製品に関する規制等についての最新情報は、EMC オンライン サポート(https://support.emc.com)を参照してください。 EMC ジャパン株式会社 〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー http://japan.emc.com お問い合わせは http://japan.emc.com/contact 2 3.1 セキュリティ構成ガイド 目次 第1章 5 概要 概要................................................................................................................ 6 関連ドキュメント...............................................................................................6 第2章 7 アクセス制御 アクセス方法................................................................................................... 8 ストレージ システムの出荷時におけるデフォルトの管理アカウントとサービス ア カウント........................................................................................................... 9 ストレージ システム アカウントの管理............................................................ 10 Unisphere..................................................................................................... 10 Unisphere CLI(コマンド ライン インターフェイス)............................................. 12 ストレージ サービス SSH インターフェイス...................................................... 13 ストレージ システム SP Ethernet サービス ポートと IPMItool........................... 14 SMI-S Provider.............................................................................................. 14 vSphere Storage API for Storage Awareness のサポート.................................15 Unisphere Central によるシングル サイン オン............................................... 16 シングル サイン オンのプロセス フロー............................................. 17 ローカル ストレージ システムへのログイン........................................ 18 シングル サイン オンと NAT サポート.................................................19 ファイル システム オブジェクトに対するセキュリティ........................................ 19 マルチプロトコル環境のファイル システム アクセス........................................ 19 ユーザー マッピング......................................................................... 20 NFS、CIFS、FTP のアクセス ポリシー.................................................. 20 ファイル レベル セキュリティの認証情報........................................... 21 第3章 25 ロギング ロギング........................................................................................................ 26 リモート ログ オプション..................................................................................27 第4章 29 通信セキュリティ ポートの使用.................................................................................................30 ストレージ システムのネットワーク ポート.......................................... 30 ストレージ システムが接続するポート............................................... 37 ストレージ システム証明書............................................................................ 41 DHCP を使用した管理インターフェイスの構成................................................ 42 ストレージ システムへの IP アドレスの自動割り当て..........................42 インターネット プロトコル バージョン 6 をサポートするストレージ システムのイン ターフェイス、サービス、機能......................................................................... 43 IPv6 を使用したストレージ システム管理インターフェイスへのアクセス........... 45 Connection Utility の実行..............................................................................46 CIFS 暗号化...................................................................................................46 第5章 49 データ セキュリティ設定 データ セキュリティ設定................................................................................. 50 3.1 セキュリティ構成ガイド 3 目次 第6章 セキュリティ メンテナンス 53 安全な保守................................................................................................... 54 ライセンス更新................................................................................. 54 ソフトウェアのアップグレード............................................................. 54 ストレージ システムの EMC セキュア リモート サポート................................... 55 第7章 セキュリティ アラートの設定 57 アラートの設定.............................................................................................. 58 アラート設定の構成..........................................................................59 第8章 その他のセキュリティ設定 61 物理的セキュリティ統制.................................................................................62 ウイルス対策保護......................................................................................... 62 付録 A SSL/TSL 暗号スイート 63 サポートされている SSL/TSL 暗号スイート......................................................64 4 3.1 セキュリティ構成ガイド 第1章 概要 本章では、ストレージ システムに実装されている各種セキュリティ機能について簡単に説明 します。 次のトピックが含まれます。 l l 概要........................................................................................................................ 6 関連ドキュメント.......................................................................................................6 概要 5 概要 概要 ストレージ システムでは、さまざまなセキュリティ機能を利用することで、ユーザー アクセス とネットワーク アクセスの制御、システム アクセスとシステム使用の監視、ストレージ データ の転送などを行うことができます。 この文書では、使用可能なセキュリティ機能について説 明します。 この文書は、ストレージ システム構成と操作に携わる管理者を対象にしています。 このガイドでは、「セキュリティ設定カテゴリー(6 ページ)」に示されているカテゴリー内の セキュリティ設定について説明します。 表 1 セキュリティ設定カテゴリー セキュリティ カテゴリー 説明 アクセス制御 ハードウェア、ソフトウェア、製品の特定の機能を保護するための、エン ド ユーザーまたはその他のエンティティによるアクセスの制限。 ログ イベント ログの管理。 通信セキュリティ 製品ネットワーク通信の保護。 データ セキュリティ 製品データの保護。 保守性 製造業者またはそのサービス パートナーによって実施される製品サー ビス オペレーションの制御維持。 アラート システム セキュリティ関連のイベントについて生成されるアラートおよび通知の管 理。 その他のセキュリティ設 定 物理的なセキュリティなど、前述のセクションのどれにも該当しないセキ ュリティ設定。 関連ドキュメント 具体的な構成方法は、VNXe のドキュメントに記載されています。VNXe のドキュメントは EMC オンライン サポートの Web サイト www.emc.com/vnxesupport から入手できます。 こ のガイドでは、関連情報として次のドキュメントを引用しています。 6 l VNXe ハードウェアのインストール l Unisphere for VNXe Online Help(Unisphere for VNXe オンライン ヘルプ) l CIFS ファイル システムでの VNXe システムの使用 l NFS ファイル システムでの VNXe システムの使用 l FC(ファイバー チャネル)LUN または iSCSI LUN での VNXe システムの使用 l VMware NFS または VMware VMFS での VNXe の使用 l VNXe CLI ユーザー ガイド l VNXe 向けの EMC セキュア リモート サポートの要件および構成に関するテクニカル ノ ート l VNXe 用 SMI-S Provider プログラマ向けガイド 3.1 セキュリティ構成ガイド 第2章 アクセス制御 本章では、ストレージ システムに実装されている各種アクセス制御機能について説明しま す。 次のトピックが含まれます。 l l l l l l l l l l l l アクセス方法........................................................................................................... 8 ストレージ システムの出荷時におけるデフォルトの管理アカウントとサービス アカウン ト.............................................................................................................................9 ストレージ システム アカウントの管理.................................................................... 10 Unisphere............................................................................................................. 10 Unisphere CLI(コマンド ライン インターフェイス)..................................................... 12 ストレージ サービス SSH インターフェイス...............................................................13 ストレージ システム SP Ethernet サービス ポートと IPMItool................................... 14 SMI-S Provider...................................................................................................... 14 vSphere Storage API for Storage Awareness のサポート......................................... 15 Unisphere Central によるシングル サイン オン....................................................... 16 ファイル システム オブジェクトに対するセキュリティ................................................ 19 マルチプロトコル環境のファイル システム アクセス................................................ 19 アクセス制御 7 アクセス制御 アクセス方法 ストレージ システムでは、アクセス方法(8 ページ)に示す各種アクセス方法がサポート されています。 表 2 アクセス方法 タイプ 説明 管理アカウント これらのアカウントには、ストレージ システムとそのストレージ リソースに関連する管理タスクと監視タスクを実行 する権限があります(ローカル ユーザーの役割と権限(11 ページ)を参照してください)。 パスワードは、ストレ ージ システム管理インターフェイスで管理および作成し、次のどちらの管理インターフェイスのアクセスにも使用 できます。 l Unisphere®: n l Unisphere CLI: n サービス アカウン ト HTTPS 経由でアクセスする Web ベースのグラフィカル インターフェイスであり、ストレージ システム スト レージおよびシステム設定の構成、管理、監視のためのツールが含まれます。 Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンド ライン インターフェイスです。 このアカウントは、特別なサービス機能を実行します。 1 つのアカウントで、SSH または各 SP(ストレージ プロセ ッサ)の Ethernet サービス ポート接続を使用してサービス インターフェイスへのアクセスを提供します。 ストレー ジ システム サービス インターフェイスには、次のものが含まれます。 l Unisphere(管理アカウントを使用してサービス パスワードを入力すると、次のアクションを実行できる Unisphere サービス ページにアクセスできます): n システム サービス情報の収集(システム レベル):システムに関する情報を収集し、ファイルに保存しま す。 サービス担当者は、収集された情報を使用してシステムを分析できます。 n 構成の保存(システム レベル):ストレージ システムの構成設定の詳細をファイルに保存します。 重大な システム障害またはシステム再初期化の後に、サービス プロバイダーがこのファイルを使用してシステ ムの再構成を支援することができます。 n リスタート管理ソフトウェア(システム レベル):管理ソフトウェアをリスタートして、システムと Unisphere の接続に関する問題を解決します。 n システムの再初期化(システム レベル):ストレージ システムを元の出荷時設定にリセットします。 両方 の SP(ストレージ プロセッサ)がインストールされ、正常に稼働しており、サービス モードになっていない と、このアクションは実行できません。 㽷 サービス モードとは、メンテナンスとトラブルシューティングを目的とする、動作が制限されたモードです。 このモードになっているストレージ システムのインターフェイスは、Unisphere の一部のインターフェイス と、問題を切り分けて解決できる特定の CLI インターフェイスに制限されます。 8 n システム サービス パスワードの変更:[サービス システム]ページにアクセスするためのサービス パス ワードを変更します。 n システムのシャットダウン(システム レベル):システム シャットダウンおよび電源の入れ直しの処理手順 を実行すると、再起動またはストレージ プロセッサの再イメージ化によって解決できなかったストレージ システムの問題が解決されます。 n SSH の有効化(システム レベル):SSH(セキュア シェル)プロトコルを有効にして、システムへの SSH ア クセスを提供します。 SSH クライアントを使用すると、管理者または保守サービス プロバイダーがシステ ムに接続して、高度なシステム メンテナンスを実行できます。 3.1 セキュリティ構成ガイド アクセス制御 表 2 アクセス方法 (続き) タイプ 説明 l n サービス モードへ切替(SP レベル):サービス モードへ切り替えると、サービス アクションを安全に実行 できるように SP の I/O が停止されます。 n 再起動(SP レベル):選択した SP(ストレージ プロセッサ)を再起動します。 このサービス アクションは、 システム ソフトウェアまたは SP ハードウェア コンポーネントに関連する軽微な問題の解決を試みるとき に実行します。 また、サービス モードになっている正常稼働の SP を再起動して、通常モードに戻しま す。 n 再イメージ化(SP レベル):選択した SP を再イメージ化します。 再イメージ化によって、SP のシステム ソ フトウェアが分析され、問題が自動的に解決されます。 Unisphere CLI: n l SSH サービス スクリプト インターフェイス: n l Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンド ライン インターフェイスです。 SSH クライアントを通じてアクセスできるコマンド ライン インターフェイスであり、ストレージ システムの問 題の診断、トラブルシューティング、および解決のための、サービス固有の機能を利用できます。 SP Ethernet サービス ポート インターフェイス: n 各 SP の Ethernet サービス ポート インターフェイスを介してアクセスしている場合を除き、SSH サービス インターフェイスと同じ診断機能とトラブルシューティング機能が提供されます。 このポートは、直接接続 ポート(Serial over LAN)としてのみ使用してください。 詳細については、ストレージ システム SP Ethernet サービス ポートと IPMItool(14 ページ)を参照してください。 ストレージ システムの出荷時におけるデフォルトの管理アカウントと サービス アカウント ストレージ システムは、ストレージ システムに初めてアクセスして構成する際に使用できる ように、デフォルトのユーザー アカウント設定が行われた状態で出荷されます。 「出荷時に おけるデフォルトのユーザー アカウント設定(9 ページ)」を参照してください。 表 3 出荷時におけるデフォルトのユーザー アカウント設定 アカウント タイプ ユーザー 名 パスワード 権限 管理(Unisphere) admin Password123# デフォルト パスワードのリセット、システム設定 の構成、ユーザー アカウントの作成、ストレージ の割り当てを行うための管理者権限。 サービス service service 保守作業の実行。 㽷 初期構成プロセスでは、デフォルトの管理者とサービス アカウントのパスワードを変更する 必要があります。 ストレージ システムの出荷時におけるデフォルトの管理アカウントとサービス アカウント 9 アクセス制御 ストレージ システム アカウントの管理 アカウントの管理方法(10 ページ)に、ストレージ システム アカウントの管理方法を示しま す。 表 4 アカウントの管理方法 アカウントの役割 説明 管理 ストレージ システムの初期システム構成プロセスが完了すると、Unisphere または Unisphere CLI からス トレージ システム アカウントを管理することができます。 ストレージ システムのローカル アカウントのパス ワード設定の作成、変更、削除、またはリセットを行えるほか、アカウントを使用するユーザーに提供され る権限を決定する役割をアカウントに割り当てることや変更することができます。 サービス ストレージ システム サービス アカウントの作成または削除を行うことはできません。 サービス アカウント のパスワードは、Unisphere サービス ページから[サービス パスワードの変更]機能を使用してリセッ トできます。 㽷 ストレージ システムの出荷時のデフォルト アカウント パスワードは、ストレージ システムの シャーシにあるパスワード リセット ボタンを押してリセットできます。 詳細については、 「Unisphere オンライン ヘルプ」を参照してください。 Unisphere Unisphere へのアクセスの認証は、ユーザー(ローカルまたは LDAP)アカウントの認証情報 に基づいて実行されます。 ユーザー アカウントの作成とそれ以降の管理は、Unisphere の 管理ページで行います。 Unisphere に適用される許可は、ユーザー アカウントに関連づけ られた役割に基づいています。 認証 ユーザーが Unisphere UI コンテンツを管理ワークステーションにダウンロードするには、ユ ーザーがストレージ システム上で認証用の認証情報を入力し、セッションを確立する必要 があります。 ユーザーがストレージ システムのネットワーク アドレスを Web ブラウザーに URL として指定すると、ログイン ページが表示され、ローカル ユーザーとして認証するか LDAP ディレクトリ サーバーを通じて認証するかを選択できます。 ユーザーが入力する認証 情報が認証され、認証が成功すると、ストレージ システム上で UI 管理セッションが確立さ れます。 続いて、ユーザーの管理ワークステーションに Unisphere UI がダウンロードされて 開始されます。 それ以降、ユーザーは自分に割り当てられた役割でできる範囲内でストレ ージ システムの監視と管理を行うことができます。 LDAP LDAP(Lightweight Directory Access Protocol)は、TCP/IP ネットワーク上で実行されるディレ クトリ サービスを照会するためのアプリケーション プロトコルです。 LDAP は、ネットワーク全 域にわたるユーザーとグループの一元管理を支援することにより、ネットワークの許可操作 を一元管理できるようにします。 システムを既存の LDAP 環境に統合すると、Unisphere CLI または Unisphere を介したシステムへのユーザー アクセスとユーザー グループ アクセスを 制御できるようになります。 システムの LDAP 設定を構成したら、確立された LDAP ディレクトリ構造のコンテキスト内 で、ユーザーとユーザー グループを管理することができます。 たとえば、既存のユーザーと グループに基づいて、Unisphere CLI へのアクセス パーミッションを割り当てることができま 10 3.1 セキュリティ構成ガイド アクセス制御 す。 システムで LDAP 設定を使用する目的は、Unisphere CLI と Unisphere へのアクセス制 御を容易にするためであり、ストレージ リソースへのアクセスは目的に含まれません。 セッション規則 Unisphere セッションには次の特徴があります。 l 有効期限は 1 時間 l セッション タイムアウトは構成できない l 認証時にセッション ID が生成され、各セッションが継続する間、この ID が使用されま す。 パスワードの使用 Unisphere アカウントのユーザー名とパスワードは、「Unisphere アカウントの要件(11 ペ ージ)」に示す要件を満たす必要があります。 表 5 Unisphere アカウントの要件 制限 パスワードの要件 文字の最小数 8 大文字の最小数 1 小文字の最小数 1 数字の最小数 1 特殊文字の最小数 1 l サポートされる特殊文字: n !,@#$%^*_~? 40 文字の最大数 㽷 アカウントのパスワードは、Unisphere で[システムの構成]>[その他の構成]>[管理]の 順にクリックして変更できます。 パスワードを変更するときは、直近 3 個のパスワードは再 使用できません。 詳細については、「Unisphere オンライン ヘルプ」を参照してください。 許可 ローカル ユーザーの役割と権限(11 ページ)に、ストレージ システム ローカル ユーザー に割り当てることができる役割と、それらの役割に関連づけられる権限を示します。 さらに、 これらの役割を LDAP ユーザーやグループに割り当てることができます。 表 6 ローカル ユーザーの役割と権限 タスク 演算子 ストレージ管理 者 管理者 自身のローカル ログイン パスワードの変更 x x x 仮想マシン管理者 x ホストの追加 ストレージの変更 x x ストレージの削除 x x ストレージ リソース(仮想ディスク、共有、ストレージ グル ープなど)にストレージ オブジェクトを追加する x x Unisphere 11 アクセス制御 表 6 ローカル ユーザーの役割と権限 (続き) タスク 演算子 ストレージ管理 者 管理者 ストレージ構成とステータスの表示 x x x x x ストレージ システムのユーザー アカウントのリストを表示 する x ストレージ システムのユーザー アカウントの追加、削 除、変更を行う 現在のソフトウェアまたはライセンスのステータスの表示 x x x ソフトウェアまたはライセンスのアップグレード x 初期構成の実行 x ストレージ サーバ構成の変更 x システム設定の変更 x ネットワーク設定の変更 x x 管理インタフェース言語の変更 仮想マシン管理者 x x vCenter とストレージ システムの間の VASA 接続を確立 する x 仮想マシン管理者の役割の場合、vCenter とストレージ システムの間で接続が一度確立さ れると、vCenter ユーザーは、当該の vCenter とその VMware ESX サーバーのストレージ構 成とステータスのサブセットを表示できるようになります。 vCenter ユーザーが表示できるの は、vCenter アクセス制御メカニズムで許可される情報のみです。 㽷 アカウントの役割は、Unisphere で[システムの構成]>[その他の構成]>[管理]の順にク リックして変更できます。 詳細については、「Unisphere オンライン ヘルプ」を参照してくださ い。 NAT サポート NAT は Unisphere からストレージ システムへのローカル ログインはサポートしていません。 Unisphere CLI(コマンド ライン インターフェイス) Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンド ライン インターフェ イスです。 Unisphere CLI を実行するためには、専用のストレージ システム コマンド ライン ソフトウェア が必要です。 このソフトウェアは、EMC オンライン サポート用 Web サイト(http:// www.emc.com/vnxesupport)からダウンロードできます。 セッション規則 Unisphere CLI クライアントでは、セッションはサポートされません。 アカウントのユーザー名 とパスワードを指定するには、発行するコマンドごとにコマンド ライン構文に従う必要があり ます。 Unisphere CLI の -saveuser コマンドを使用して、特定のアカウントのアクセス認証情報 (ユーザー名とパスワード)をファイルに保存できます。このファイルは、Unisphere CLI がイ 12 3.1 セキュリティ構成ガイド アクセス制御 ンストールされているホストのローカルに存在する安全なロックボックスに配置されます。 保 存されているデータは、保存したユーザーが保存先のホスト上でのみ使用できます。 アクセ ス認証情報を保存した後、コマンドを実行するたびに、CLI によってそれらの情報が、指定さ れたストレージ システムのデスティネーションとポートに自動的に適用されます。 パスワードの使用 Unisphere CLI に対する認証は、Unisphere で作成と管理が行われる管理アカウントに従っ て行われます。 現在のログイン アカウントに関連づけられている役割に基づき、Unisphere に適用される同じ権限が個々のコマンドに適用されます。 設定の保存 Unisphere CLI を実行するホストに次の設定を保存できます。 l アクセスする各システムに対するユーザー アクセス認証情報(ユーザー名やパスワー ドなど)。 l システムからインポートした SSL 証明書。 l Unisphere CLI を使用してアクセスするデフォルト システムに関する情報(システム名ま たは IP アドレスやシステム ポート番号など)。 これらの設定は、Unisphere CLI により、Unisphere CLI がインストールされているホスト上の 安全なローカル ロックボックスに保存されます。 保存されているデータは、保存したユーザ ーが保存先のホスト上でのみ使用できます。 ロックボックスは次の場所にあります。 l Windows XP: C:\Documents and Settings\<account_name>\Local Settings\ApplicationData\EMC\UEM CLI\ l Windows 7 と Windows 8: C :\Users\${user_name}\AppData\Local\.EMC \UEM CLI\ l UNIX/Linux の場合: <home_directory>/EMC/UEM CLI config.xml ファイルと config.key ファイルを探します。Unisphere CLI をアンインストールして も、これらのディレクトリとファイルは削除されないため、そのまま保持することができます。 これらのファイルが不要になった場合は、削除できます。 ストレージ サービス SSH インターフェイス ストレージ サービス SSH サービス インターフェイスには、Unisphere サービス ページ([設 定]>[サービス システム])で使用できる機能と関連/重複する機能を実行するためのコマ ンド ライン インターフェイスが付属しています。 サービス アカウントを使用して、ユーザーは次の機能を実行できます。 l ストレージ システムの設定とオペレーションを監視およびトラブルシューティングするた めにストレージ システム サービス コマンドを実行する。 l 権限のない Linux ユーザー アカウントのメンバーとして、標準的な Linux コマンドを使 用する。 このアカウントには、専用のシステム ファイル、構成ファイル、ユーザー/顧客 データなどに対するアクセス権はありません。 セッション ストレージ システム SSH サービス インタフェース セッションは、SSH クライアントによって確 立された設定に基づいて維持されます。 セッションの特性は、SSH クライアント構成設定に よって決まります。 パスワードの使用 サービス アカウントは、基本的な Linux コマンドを実行するためにサービス担当者が使用で きるアカウントです。 ストレージ システム サービス インターフェイスのデフォルトのパスワードは service です。 ス トレージ システムの初期構成を行う際には、デフォルトのサービス パスワードを変更する必 ストレージ サービス SSH インターフェイス 13 アクセス制御 要があります。 パスワードへの制限事項は、Unisphere 管理アカウントに適用される制限 事項と同じです(パスワードの使用(11 ページ)を参照)。 ストレージ システム サービス アカ ウントのパスワード設定管理に使用されるストレージ システム サービス コマンド svc_service_password については、「VNXe サービス コマンド」を参照してください。 許可 「サービス アカウントの権限定義(14 ページ)」に示すように、サービス アカウントの権限 は 2 つの方法で定義されます。 表 7 サービス アカウントの権限定義 許可タイプ 説明 Linux ファイル システム権限 サービス アカウントを使用してストレージ システムに対して実行できるタスクと実行できないタスク のほとんどは、ファイル システム権限によって定義されます。 たとえば、何らかの方法でシステム 動作を変更するほとんどの Linux ツールおよびユーティリティは、スーパーユーザーのアカウント 権限を必要とします。 サービス アカウントにはこれらの権限がないため、サービス アカウントで は、実行に必要なアクセス権限がない Linux のツールやユーティリティの使用や、読み取りや変 更に root アクセスを必要とする構成ファイルの編集はできません。 ACL(アクセス コントロール リスト) ストレージ システムの ACL メカニズムは非常に特殊なルール リストを使用して、サービス アカウ ントによるシステム リソースへのアクセス権を明示的に付与または拒否します。 標準の Linux ファ イル システム権限によって定義されない、ストレージ システムの他の領域に対するサービス アカ ウント権限は、これらの規則によって指定されます。 ストレージ システムのサービス コマンド ストレージ システムの OE(オペレーティング環境)には、問題診断、システム構成、およびシ ステム リカバリに使用される一連のコマンドがインストールされています。 これらのコマンド を使用すると、Unisphere を使用した場合よりも、さらに詳しい情報を収集し、より深いレベ ルのシステム制御を行うことができます。 これらのコマンドとその一般的なユースケースに ついては、テクニカル ノート ドキュメント「VNXe サービス コマンド」で説明しています。 ストレージ システム SP Ethernet サービス ポートと IPMItool オペレーティング環境 3.0 以降を実行するストレージ システムは、各 SP の Ethernet サービ ス ポートを介したコンソール アクセスを提供します。 このアクセスには、IPMItool を使用す る必要があります。 IPMItool は、SSH や telnet に似たネットワーク ツールであり、IPMI プロ トコルを使用して、Ethernet 接続を介した各 SP とのインターフェイスを確立します。 IPMItool は、ストレージ システムの SP コンソールにアクセスするための安全な通信チャネルをネゴ シエートする Windows ユーティリティです。 このユーティリティでは、コンソールをアクティブ 化するためにログイン認証情報と IP アドレスが要求されます。 IPMItool の詳細について は、「IPMItool ユーザー ガイド テクニカル ノート」を参照してください。 SP Ethernet サービス ポート インターフェイスでは、サービス SSH インターフェイスと同じ機 能が提供され、同じ制限が適用されます。 相違点は、ユーザーがインターフェイスにアクセ スするために、SSH クライアントではなく Ethernet ポート接続を使用することです。 サービス コマンドの一覧については、「VNXe サービス コマンド テクニカル ノート」を参照してく ださい。 SMI-S Provider SMI-S Provider は、セキュリティに関して変更は一切加えません。 SMI-S クライアントは、 HTTPS ポート 5989 を通じてストレージ システムに接続します。ユーザーのログインは、 Unisphere UI または CLI のユーザーの場合と同じです。 UI および CLI のユーザーに適用さ 14 3.1 セキュリティ構成ガイド アクセス制御 れるすべてのセキュリティ ルールが SMI-S 接続にも適用されます。 Unisphere UI および CLI のユーザーは、SMI-S インターフェイスを使用して認証を実行できます。 SMI-S インター フェイス用に別個のユーザーは定義されません。 認証が完了すると、SMI-S クライアントに は、Unisphere UI および CLI のユーザーに対して定義された権限と同じ権限が設定されま す。 このサービスの構成方法の詳細については、「VNXe 用 SMI-S Provider プログラマ向けガ イド」を参照してください。 vSphere Storage API for Storage Awareness のサポート VASA(vStorage API for Storage Awareness)は、VMware が定義した、特定のベンダーに依 存しないストレージ認識 API です。 これは、モニタリングにのみ使用される独自の SOAP ベ ースの Web インターフェイスであり、Unisphere クライアントではなく VMware クライアントに よって使用されます。 VASA は、レポート インターフェイス専用であり、仮想環境に公開され るストレージ システムとストレージ デバイスに関する基本的な情報をリクエストするために 使用されます。これらは、vSphere を使用した日常のプロビジョニング、監視、およびトラブ ルシューティングを促進するために使用されます。 VASA VP(ベンダー プロバイダー)は、ス トレージ システムのアクティブな SP(ストレージ プロセッサ)上で実行されます。 vSphere ユ ーザーは、この VP インスタンスを各ストレージ システムの VASA 情報のプロバイダーとして 構成する必要があります。 SP で障害が発生すると、関連するプロセスが VASA VP とともに ピアー SP でリスタートします。 IP アドレスは自動的にフェイルオーバーします。 内部的に は、新しくアクティブになった VP からの構成の変更イベントをプロトコルが取得したときに、 障害が認識されますが、これによってユーザー介入を必要とせずに VASA オブジェクトの自 動再同期化が実行されます。 VASA に関連する認証 vCenter から Unisphere VP への接続を開始するには、vSphere クライアントを使用して次の 3 つの情報を入力する必要があります。 l 次の形式で VP の URL を指定します。 n l l https://<管理 IP アドレス>:5989/vasa/services/vasaServices Unisphere ユーザーのユーザー名(役割は仮想マシン管理者または管理者): n ローカル ユーザーの場合は次の構文を使用します。 local/<ユーザー名> n LDAP ユーザーの場合は次の構文を使用します。 <ドメイン>/<ユーザー名> そのユーザーに関連づけられているパスワード 㽷 仮想マシン管理者の役割は読み取り専用の役割であるため、この役割を使用することを推 奨します。 ここで使用される Unisphere 認証情報は、この接続の最初のステップ中にのみ使用されま す。 Unisphere 認証情報がターゲットのストレージ システムに対して有効な場合、vCenter Server の証明書が自動的にストレージ システムに登録されます。 この証明書は、vCenter からの後続のすべてのリクエストを認証するために使用されます。 この証明書を VP にイン ストールまたはアップロードするために手動の操作は必要ありません。 この証明書が期限 切れになった場合、新しいセッションをサポートするために vCenter で新しい証明書を登録 する必要があります。 証明書がユーザーによって取り消された場合、セッションは無効化さ れ、接続は切断されます。 vCenter セッション、安全な接続と認証情報 vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA VP URL と ログイン認証情報を vCenter Server に入力したときに開始されます。 vCenter Server は、こ の URL、認証情報、VASA VP の SSL 証明書を使用して、VP との安全な接続を確立します。 vCenter セッションは、管理者が vSphere クライアントを使用して、vCenter の構成から VP を 削除し、vCenter Server が接続を終了したときに終了します。 vSphere Storage API for Storage Awareness のサポート 15 アクセス制御 vCenter セッションは、vCenter Server と VP の間のセキュア HTTPS 通信を基にしています。 VASA アーキテクチャでは、SSL 証明書と VASA セッション ID を使用して安全な接続をサポ ートします。 vCenter Server と VP の両方が他方の証明書を自身の信頼ストアに追加しま す。 VASA VP は、次の情報を vCenter に提供します。 l ストレージの可視性: プロパティの変更を内部的に検出し、更新情報を vCenter に送信 します l 稼働状態と容量に関するアラーム: 稼働状態の変更を内部的に監視し、次のような容 量に関する閾値を超えた場合には適切なアラームを vCenter に対して発行します。 n アレイ、SP、I/O ポート、LUN、ファイル システムの稼働状態 n これらのいずれかのオブジェクトの稼働状態が変更された場合にはクラス レベルの 変更を表示 n LUN およびファイル システムに関するスペース容量アラーム l VASA ストレージ機能: ストレージ容量の変化を内部的に監視し、更新された容量のレ ポートを vCenter に送信します l Storage DRS との統合: vSphere は、VASA プロバイダーから内部的に取得した情報を 基にして、さまざまなストレージ DRS ワークフロー向けにビジネス ロジックのフィードを 提供します Unisphere Central によるシングル サイン オン Unisphere Central に追加されたシングル サイン オン機能により、OE(オペレーティング環 境)バージョン 3.1 以降を実行するよう構成された、複数のストレージ システムに対する認 証サービスが提供されます。 この機能により、ユーザーが各システムに対する再認証を求 められることなく、ユーザーによる各システムへの簡単なログイン方法が提供されます。 Unisphere Central は、シングル サイン オンを容易にする一元管理された認証サーバーで す。 この機能を使用すると、ユーザーは次のことが可能になります。 l ログイン認証情報を再度提供せずに、Unisphere Central にログインし、ストレージ シス テム上の Unisphere を選択して起動する。 l ログイン認証情報を再度提供せずに、あるストレージ システムにログインし、その後に ログインする他のストレージ システムを選択する。 Unisphere Central は、管理しているストレージ システムのステータス情報をリクエストする クエリーを定期的に実行します。 このコンテキストで実行するリクエストに関連づけられる ID は、Unisphere Central SSL/X.509 証明書です。 この証明書は、Unisphere Central が管 理するように構成されている各ストレージ システム インスタンスが信頼している Unisphere Central Certificate Authority によって署名されています。 さらに、この機能ではシングル サインオフも可能になります。つまり、Unisphere Central を ログオフするとき、関連したすべての 3.1 ストレージ システム セッションを一度にログオフし ます。 要件 このシングル サイン オン機能を使用するには、次の要件があります。 16 l Unisphere Central バージョン 4.0 以降を使用する必要があります。 l 同じ AD/LDAP ディレクトリに対して認証を行うように、Unisphere Central サーバーとスト レージ システムの両方を構成する必要があります。 l LDAP ユーザーが Unisphere の役割に直接マップされているか、ストレージ システムと Unisphere Central の両方で Unisphere の役割にマップする AD/LDAP グループのメン バーでなければなりません。 3.1 セキュリティ構成ガイド アクセス制御 l 各ストレージ システムが OE バージョン 3.1 以降を実行していて、シングル サイン オン が有効に設定されている必要があります。 l ユーザーは LDAP ユーザーとしてログインする必要があります。 㽷 これらの要件を満たしていない場合、ユーザーは個別のシステムにローカル ユーザーとし てログインし、認証情報を提供して該当のシステムにアクセスする必要があります。 シングル サイン オンを有効にするには、管理者またはストレージ管理者権限が必要です。 オペレーターまたは VM 管理者権限を持つユーザーがシングル サイン オンを有効にするこ とはできません。 シングル サイン オンを有効にするには、次の uemcli コマンドを使用しま す。 Uemcli -d <[IP アドレス]> -u <[ユーザー名]> -p <[パスワード]> /sys/ur set -ssoEnabled yes この機能が有効になるよう構成されている各ストレージ システムは、一元管理された認証 サーバーのクライアントになることができ、シングル サイン オン環境に参加できます。 この コマンドの詳細については、「Unisphere CLI ユーザー ガイド」を参照してください。 考慮事項と制約事項 サポートされている Web ブラウザは次のとおりです。 l Google Chrome バージョン 33 以降 l Microsoft Internet Explorer バージョン 10 以降 l Mozilla Firefox バージョン 28 以降 l Apple Safari バージョン 6 以降 Web クライアントと一元管理された認証サーバー間のユーザー セッション タイムアウトは 45 分です。 Web クライアントとストレージ システム間のアプリケーション セッション タイムアウトは 1 時 間です。 シングル サイン オンのプロセス フロー 次のシーケンスは、Unisphere Central に関連づけられたシングル サイン オンに関する認 証プロセス フローを表します。 Unisphere Central を介したストレージ システムへのアクセス 1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、Unisphere Central の ネットワーク アドレスを URL として指定します。 2. ブラウザーが Web サーバーによって、ローカル Unisphere Central のログイン URL にリ ダイレクトされ、ユーザーに対してログイン スクリーンが表示されます。 3. ユーザーが LDAP ログイン認証情報を入力および送信します。 ユーザー名は<LDAP DOMAIN>/username の形式です。 4. セッション トークンが設定され、ブラウザーがシステムによって、指定された元の URL に リダイレクトされます。 5. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere Central がインスタンス 化されます。 6. 次に、ユーザーが Unisphere を介して、監視する特定のストレージ システムに移動しま す。 7. ユーザーがストレージ システムのネットワーク アドレスをクリックします。 8. ストレージ システムの URL で新しいブラウザー ウィンドウが作成されます。 シングル サイン オンのプロセス フロー 17 アクセス制御 9. ユーザーがすでに認証済みの Unisphere Central 認証サーバーに、ブラウザーがリダ イレクトされます。 10. ブラウザーが Unisphere ダウンロード ページにリダイレクトされ、新しいサービス チケッ トを使用してストレージ システムとのセッションが確立されます。 11. Unisphere がダウンロードされて、インスタンス化されます。 12. ユーザーがストレージ システムの管理/モニタリングを開始します。 Unisphere Central に関連づけられたストレージ システムへのアクセス 1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、ストレージ システムの ネットワーク アドレスを URL として指定します。 2. ブラウザーがローカル Unisphere Central のログイン サービスにリダイレクトされ、ユー ザーに対してログイン スクリーンが表示されます。 3. ユーザーが LDAP ログイン認証情報を入力および送信します。 ユーザー名は<LDAP DOMAIN>/username の形式です。 4. セッション トークンは Cookie として設定され、ブラウザーがシステムによって、指定され た元の URL にリダイレクトされます。 5. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere がインスタンス化され ます。 6. 次に、ユーザーが Web ブラウザーの別のウィンドウまたはタブを開き、別のストレージ システムのネットワーク アドレスを URL として指定します。 7. ユーザーがすでに認証済みの Unisphere Central 認証サーバーに、ブラウザーがリダ イレクトされます。 新しいサービス チケットが取得されます。 8. ブラウザーが Unisphere ダウンロード ページにリダイレクトされ、新しいサービス チケッ トを使用して 2 個目のストレージ システムとのセッションを確立します。 9. 2 個目のストレージ システムの Unisphere がダウンロードされて、インスタンス化されま す。 10. ユーザーが 2 個目のストレージ システムの管理/モニタリングを開始します。 Unisphere Central を介したアクティブな管理 1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、Unisphere Central の ネットワーク アドレスを URL として指定します。 2. ブラウザーが Web サーバーによって、Unisphere Central のローカル ログイン URL にリ ダイレクトされます。 3. ユーザーに対してログイン スクリーンが表示されます。 4. ユーザーが LDAP ログイン認証情報を入力および送信します。 ユーザー名は<LDAP DOMAIN>/username の形式です。 5. セッション トークンが設定され、ブラウザーがシステムによって、指定された元の URL に リダイレクトされます。 6. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere Central がインスタンス 化されます。 7. これでユーザーは、Unisphere Central インスタンスによって管理されている 1 つ以上の ストレージ システムで構成を変更する操作を開始できます。 ローカル ストレージ システムへのログイン ローカル アカウントを使用する場合、または Unisphere Central 認証サーバーに接続されて いない場合、Unisphere Central 経由でログインするのではなく、システムに常駐する認証 サーバーを使用してローカル ストレージ システムにログインできます。 ストレージ システム でログインするには、次の 2 つの方法があります。 18 3.1 セキュリティ構成ガイド アクセス制御 l l ブラウザーが Unisphere Central 認証サーバーにリダイレクトされると、ユーザーがシス テムに再度リダイレクトされ、ローカルでログインできるオプションがあります。 Unisphere Central にアクセスできない場合、次の URL 構文を使ってシステムの参照ま たはアクセスを行い、ローカルでログインできます。 https://< [storagesystemIP]>?casHome=LOCAL ここで、[storagesystemIP]はストレージ システムの IP アドレスです。 シングル サイン オンと NAT サポート シングル サイン オンは NAT 構成をサポートしていません。 また、NAT は Unisphere からス トレージ システムへのローカル ログインはサポートしていません。 ファイル システム オブジェクトに対するセキュリティ マルチプロトコル環境では、ストレージ システムはセキュリティ ポリシーを使用して、NFS と CIFS との間のアクセス制御セマンティックの違いを解決する方法を特定します。 UNIX セキュリティ モデル UNIX のアクセス権は、ファイルシステム オブジェクトのモード ビットと呼ばれます。 モード ビ ットはビット文字列で表され、文字列の各ビットは、ファイルを所有するユーザー、ファイル システム オブジェクトに関連づけられているグループ、その他のすべてのユーザーに許可 されているアクセス モードまたは権限を表します。 UNIX のモード ビットは、ユーザーのカテ ゴリー(ユーザー、グループ、その他)ごとに連結された 3 文字 rwx(読み取り、書き込み、 実行)の 3 個のセットとして表されます。 Windows セキュリティ モデル Windows セキュリティ モデルは、SD(セキュリティ ディスクリプター)および ACL(アクセス制 御リスト)の使用を含み、主にオブジェクト権限単位に基づきます。 ファイル システム オブジェクトへのアクセスは、権限がセキュリティ ディスクリプターを使用 して許可または拒否に設定されているかどうかにより異なります。 SD は、オブジェクトの所 有者とグループ SID、その ACL を記述します。 ACL は、各オブジェクトのセキュリティ ディス クリプタの一部です。 各 ACL には、ACE(アクセス コントロール エントリー)が含まれます。 各 ACE には、ユーザー、グループ、コンピューターを示す単一 SID、その SID で拒否または 許可されている権限のリストが含まれます。 マルチプロトコル環境のファイル システム アクセス ファイル アクセスは NAS サーバーを使用して提供されます。 NAS サーバーには、データが 格納される一連のファイル システムが含まれます。 NAS サーバーでは、CIFS 共有および NFS 共有(NFS エクスポートとも呼ばれる)を使用してファイル システムをエクスポートするこ とによって、NFS、CIFS、FTP ファイル プロトコルのこのデータへのアクセスを提供します。 マ ルチプロトコル共有の NAS サーバー モードでは、CIFS と NFS 間の同じデータの共有が可 能です。 マルチプロトコル共有モードではファイル システムへの同時 CIFS および NFS アク セスを提供するため、Windows ユーザーの UNIX ユーザーへのマッピング、使用するセキ ュリティ ルール(モード ビット、ACL、ユーザー資格情報)の定義を検討し、マルチプロトコル 共有用に適切に構成する必要があります。 㽷 マルチプロトコル共有、ユーザー マッピング、アクセス ポリシー、ユーザー資格情報に関す る NAS サーバーの構成および管理については、Unisphere オンライン ヘルプ、および 「Unisphere CLI ユーザー ガイド」を参考にしてください。 シングル サイン オンと NAT サポート 19 アクセス制御 ユーザー マッピング マルチプロトコル コンテキストで、Windows ユーザーを UNIX ユーザーに一致させる必要が あります。その逆も同様です。このため、ファイル システム セキュリティは、プロトコルのネイ ティブでない場合でも適用できます。 ユーザー マッピングには次のコンポーネントが必要で す。 l UNIX ディレクトリ サービス l Windows リゾルバー l Secmap l NTXMAP UNIX ディレクトリ サービス UDS(UNIX ディレクトリ サービス)を使用して、ユーザー マッピングの次の情報を決定しま す。 l UID(ユーザー識別子)の場合、対応する UNIX アカウント名を返します。 l UNIX アカウント名の場合、対応する UID およびプライマリ GID(グループ識別子)を返し ます。 サポートされるサービスとは、次のとおりです。 l LDAP l NIS NAS サーバーごとにアクティブな UDS が一度に多くても 1 個あります。 マルチプロトコル共 有が有効な場合、1 個の UDS が有効になっている必要があります。 使用する UDS は、 NAS サーバーの unix-directory-service プロパティによって決まります。 Windows リゾルバー Windows リゾルバーを使用して、ユーザー マッピングの次の情報を決定します。 l SID(セキュリティ識別子)の場合、対応する Windows アカウント名を返す l Windows アカウント名の場合、対応する SID を返す Windows リゾルバーは次のとおりです。 l ドメインの DC(ドメイン コントローラー) l CIFS サーバーの LGDB(ローカル グループ データベース) Secmap Secmap の機能は、すべての SID から UID/プライマリ GID、UID から SID のマッピングを格 納し、NAS サーバーのすべてのファイル システムで一貫性を保ちます NTXMAP 名前が異なる場合、NTXMAP を使用して、Windows アカウントを UNIX アカウントに関連づ けます。 たとえば、Windows 上で Gerald というアカウントを持つユーザーが、UNIX 上のア カウントでは Gerry という場合、NTXMAP を使用して両者間の関連づけを作成します。 NFS、CIFS、FTP のアクセス ポリシー マルチプロトコル環境では、ストレージ システムがファイル システムのアクセス ポリシーを 使用して、そのファイル システムのユーザー アクセス制御を管理します。 UNIX と Windows の 2 種類のセキュリティがあります。 UNIX セキュリティ認証の場合、認証情報は UDS(UNIX ディレクトリ サービス)から作成され ます。 ユーザー権限はモード ビットから判断されます。 ユーザーおよびグループの識別子 (それぞれ、UID、GID)が ID に使用されます。 UNIX セキュリティに関連づいた権限はありま せん。 20 3.1 セキュリティ構成ガイド アクセス制御 Windows セキュリティ認証の場合、認証情報は Windows の DC(ドメイン コントローラー)お よび CIFS サーバーの LGDB(ローカル グループ データベース)から作成されます。 ユーザ ー権限は CIFS ACL から判断されます。 SID(セキュリティ識別子)は ID に使用されます。 CIFS サーバーの LGDB によって許可される、Windows セキュリティに関連づいた、所有権 の取得、バックアップ、リストアなどの権限があります。 どのプロトコルでどのようなセキュリティを使用するかを定義する、次の 3 種類のアクセス ポリシーがあります。 l UNIX:UNIX セキュリティを NFS と CIFS の両方に使用 l Windows:Windows セキュリティを NFS と CIFS の両方に使用 l ネイティブ:プロトコルに対してネイティブのセキュリティを使用、NFS の場合は UNIX、 CIFS の場合は Windows UNIX アクセス ポリシーでは、すべてのプロトコルに対して UNIX 認証情報を使用し、すべて のプロトコルに対してモード ビットしか使えないようにする UNIX セキュリティを使用して、フ ァイル レベルのアクセスのセキュリティを保護します。 CIFS アクセスのためにファイル レベ ルのプロトコル リクエストを処理するとき、有効な UDS から作成された UNIX 認証情報を使 用してモード ビットをチェックします。 次に、モード ビットに基づいてアクセスが許可または 拒否されます。 Windows ACL は、CIFS を使用したユーザー アクセスの場合でも無視されま す。 Windows アクセス ポリシーは、Windows セキュリティを使用して、ファイル レベルのアクセ スのセキュリティを保護します。 このポリシーでは、すべてのプロトコルに対して Windows 認証情報を使用し、すべてのプロトコルに対して CIFS ACL しか使えないようにします。 NFS アクセスのためにファイル レベルのプロトコル リクエストを処理するとき、DC と LGDB から 作成された Windows 認証情報を使用して CIFS ACL をチェックします。 次に、CIFS ACL に基 づいてアクセスが許可または拒否されます。 UNIX のモード ビットは、NFS を使用したユー ザー アクセスの場合でも無視されます。 ネイティブ アクセス ポリシーでは、NFS プロトコルの場合は UNIX 認証情報を、CIFS プロトコ ルの場合は Windows 認証情報を使用し、さらに NFS にはモード ビットのみを、CIFS には CIFS ACL のみを使用するネイティブ セキュリティを使用して、ファイル レベルのアクセスの セキュリティを保護します。 ファイル レベルの NFS リクエストを処理するとき、リクエストに関 連づけられた UNIX 認証情報を使用してモード ビットをチェックします。 次に、アクセスが許 可または拒否されます。 ファイル レベルの CIFS リクエストを処理するとき、リクエストに関 連づけられた Windows 認証情報を使用して CIFS ACL をチェックします。 次に、アクセスが 許可または拒否されます。 モード ビットと CIFS DACL(任意のアクセス リスト)間で同期は行 われません。 それぞれ独立しています。 FTP では、Windows または UNIX での認証は使用されているユーザー名の形式に依存しま す。 Windows 認証が使用されている場合、FTP アクセス制御は CIFS の場合と似ています。 それ以外は NFS の場合と似ています。 FTP と SFTP クライアントは、SP(ストレージ プロセッ サ)のサーバーに接続すると認証されます。 CIFS 認証(ユーザー名の形式が domain\user か user@domain)または UNIX 認証(他のユーザー名の形式)の場合があります。 CIFS 認 証は、VDM で定義されたドメインの Windows DC で保証されています。 UNIX 認証は、リモ ート LDAP サーバー、リモート NIS サーバー、VDM のローカル パスワード ファイルのいずれ かに格納された暗号化されたパスワードによって DM で保証されています。 ファイル レベル セキュリティの認証情報 ファイル レベルのセキュリティを適用するには、処理されている CIFS または NFS リクエスト に関連づけられた認証情報をストレージ システムで作成する必要があります。 Windows と UNIX の 2 種類の認証情報があります。 ほとんどの場合、Windows と UNIX の認証情報は NAS サーバーで作成されます。 ただし、次のような例外があります。 l Kerberos を使用した CIFS 接続の Windows 認証情報の作成。 l 拡張認証情報が無効な場合の NFS リクエストの UNIX 認証情報の作成。 永続認証情報キャッシュは次のために使用されます。 ファイル レベル セキュリティの認証情報 21 アクセス制御 l NFS をとおしてアクセスするために作成された Windows 認証情報。 l 拡張認証情報オプションが有効な場合に NFS をとおしてアクセスするために作成され た UNIX 認証情報。 NAS サーバーごとにキャッシュ インスタンスが 1 個あります。 マッピング解除されたユーザーへのアクセスの許可 マルチプロトコルは、次の要件を満たす必要があります。 l Windows ユーザーが UNIX ユーザーにマップされていること。 l Windows アクセス ポリシーを持つファイル システムにユーザーがアクセスしているとき に Windows 認証情報を作成するため、UNIX ユーザーが Windows ユーザーにマップさ れていること。 ストレージ システム OE バージョン 3.1 では、次の 2 個の新しいプロパティが NAS サーバー に関連づけられます。 l デフォルト UNIX ユーザー。 l デフォルト Windows ユーザー。 Windows ユーザーがマップされていない場合、デフォルト UNIX ユーザーの UID(ユーザー 識別子)およびプライマリ GID(グループ識別子)が Windows 認証情報で使用されます。 同 様に、UNIX ユーザーがマップされていない場合、デフォルト Windows ユーザーの Windows 認証情報が使用されます。 㽷 デフォルトの UNIX ユーザーが UDS(UNIX ディレクトリ サービス)で設定されていない場合、 CIFS アクセスが拒否されます。 デフォルトの Windows ユーザーが Windows DC または LGDB に見つからない場合、Windows アクセス ポリシーを持つファイル システム上の NFS アクセスが拒否されます。 NFS リクエストの UNIX 認証情報 UNIX 認証情報は常に各リクエストに組み込まれますが、認証情報は追加グループが 16 個に制限されます。 NAS サーバーの extended-unix-cred プロパティにより、16 個を超える グループを使用して認証情報を作成する機能が提供されます。 このプロパティを設定した 場合、プライマリ GID およびそれに属するすべてのグループ GID を取得するためにアクティ ブな UDS が UID でクエリーされます。 UID が UDS に見つからない場合、リクエストに組み 込まれた UNIX 認証情報が使用されます。 CIFS リクエストの UNIX 認証情報 接続するには、セッション構成時に CIFS ユーザー用の Windows 認証情報を最初に作成す る必要があります。 ユーザーの UID は Windows 認証情報に含まれます。 UNIX アクセス ポリシーでファイル システムにアクセスする場合、NFS の拡張認証情報を作成するのと同 様に、UNIX 認証情報の作成で UDS をクエリーするときにユーザーの UID が使用されま す。 CIFS リクエストの Windows 認証情報 ユーザーが接続するときは、セッション構成リクエスト時に一度だけ、CIFS の Windows 認 証情報を作成する必要があります。 NTLM の使用時とは異なり、Kerberos 認証の使用時、ユーザーの認証情報がセッション構 成リクエストの Kerberos チケットに含まれます。 Windows DC または LGDB から他の情報 がクエリーされます。 Kerberos の場合、追加グループ SID のリストが Kerberos チケットから 取得され、追加ローカル グループ SID のリストと権限のリストが LGDB から取得されます。 NTLM の場合、追加グループ SID のリストが Windows DC から取得され、追加ローカル グ ループ SID のリストと権限のリストが LGDB から取得されます。 22 3.1 セキュリティ構成ガイド アクセス制御 さらに、対応する UID もユーザー マッピング コンポーネントから取得されます。 プライマリ グループ SID はアクセス チェックには使用しないため、UNIX プライマリ GID が代わりに使 用されます。 NFS リクエストの Windows 認証情報 ユーザーが Windows アクセス ポリシーを持つファイル システムにアクセスしているときは、 Windows 認証情報が作成され、取得されるだけです。 UID が NFS リクエストから抽出され ます。 関連づけられた保存期間内に各 NFS リクエストで認証情報が作成されないようにす るため、グローバルな Windows 認証情報のキャッシュがあります。 Windows 認証情報が このキャッシュに見つかった場合、他のアクションは必要ありません。 認証情報が見つから ない場合、ユーザー マッピング コンポーネントを使用して、UID の SID へのマッピングを行 います。 マッピングが見つかった場合、Windows DC または LGDB から認証情報が取得さ れます。 マッピングが見つからない場合、デフォルト Windows ユーザーの Windows 認証 情報が代わりに使用されるか、アクセスが拒否されます。 ファイル レベル セキュリティの認証情報 23 アクセス制御 24 3.1 セキュリティ構成ガイド 第3章 ロギング 本章では、ストレージ システムに実装されている各種ログ機能について説明します。 次のトピックが含まれます。 l l ロギング................................................................................................................ 26 リモート ログ オプション..........................................................................................27 ロギング 25 ロギング ロギング ストレージ システムでは、システム上で発生するイベントを追跡するために次のタイプのロ グが維持されます。 「ログ(26 ページ)」を参照してください。 表 8 ログ ログ タイプ 説明 システム ログ ユーザーによる処置が可能なストレージ システム イベントを通知するために Unisphere に表示される情報。 これら の情報は、システムに指定されているデフォルトの言語設定に応じてローカライズされます。 「ユーザーによる処置 が可能な」イベントには監査イベントも含まれます。 ログに記録されたイベントがすべて GUI に表示されるわけではあ りません。 重大度の閾値を満たしていない監査ログ エントリーは、ログには記録されますが GUI には表示されませ ん。 システム アラ ート ストレージ システムのステータスまたは動作の診断または監視のためにサービス担当者によって使用される情報。 これらの情報は英語でのみ記録されます。 ログの表示と管理 ストレージ システムで使用できるロギング機能を以下に示します。 「ログイン機能(26 ペ ージ)」を参照してください。 表 9 ロギング機能 機能 説明 ログのロールオーバー ストレージ システム ログ システムに記録されたログが 200 万エントリーに達すると、ログの記録時間 が最も古い 50 万エントリーがパージされ、150 万ログ エントリーに戻ります。 リモート ログを有効にす るとログ エントリーのアーカイブを行えます。これにより、ログ エントリーをリモート ネットワーク ノード にアップロードし、そのノード上でアーカイブやバックアップが行えるようになります。 詳細については、 「ロギング(26 ページ)」セクションを参照してください。 ログ レベル ストレージ システムのログ レベルは構成できません。 「ロギング(26 ページ)」セクションで説明してい るように、ログ レベルはエクスポートされたログ ファイルでのみ構成できます。 アラートの統合 ストレージ システムのアラート情報は次の方法で表示できます。 l アラートのみの表示: n l Unisphere で、[システム]>[システム アラート]の順に選択します。 すべてのログ イベントの表示: n Unisphere CLI を使用し、cemcli list event コマンドを入力します。 外部ログの管理 リモート ログを有効にするとログ エントリーのアーカイブを行えます。これにより、ログ エントリーをリモ ート ネットワーク ノードにアップロードし、そのノード上でアーカイブやバックアップが行えるようになりま す。 リモート ノードでは、システムログなどのツールを使用し、ログ結果のフィルタや分析を行うことが できます。 詳細については、「ロギング(26 ページ)」セクションを参照してください。 時間の同期化 ログ時間は GMT 形式で記録され、ストレージ システム時間(NTP サーバーを介してローカル ネットワ ーク時間に同期化可能)に従って維持されます。 26 3.1 セキュリティ構成ガイド ロギング リモート ログ オプション ストレージ システムは、リモート ネットワーク アドレスへのユーザー/監査メッセージのログ をサポートします。 デフォルトでは、ストレージ システムはポート 514 で UDP を使用してロ グ情報を転送します。 次のリモート ログ設定は、Unisphere で構成できます。 Unisphere に ログインし、[設定]>[管理設定]をクリックし、次に[ネットワーク]タブを選択します。 l ストレージ システムがリモート ログ情報を送信するネットワークの名前またはアドレス l 送信するユーザー レベルのログ メッセージのタイプ。 [ファシリティ]フィールドは、ログ メッセージのタイプを設定するために使用します。 [ユーザー レベルのメッセージ]オプ ションを選択することをお勧めします。 l ログ転送に使用するポート番号とタイプ(UDP または TCP) l ログ メッセージ内のテキストの言語設定 ストレージ システムのログ メッセージを受信するホストを構成する方法 ストレージ システムに対してリモート ログを構成する前に、システムログを実行しているリモ ート ホストを、ストレージ システムからのログ メッセージを受信するように構成する必要が あります。 多くのシナリオでは、受信側コンピュータのルート アカウントまたは管理者アカウ ントにより、リモート システム上の syslog-ng.conf ファイルを編集して、ログ情報を受信する ようにリモート システムログ サーバを構成できます。 㽷 リモート システムログ サーバの設定と実行の詳細については、リモート システムで実行さ れているオペレーティング システムのマニュアルを参照してください。 リモート ログ オプション 27 ロギング 28 3.1 セキュリティ構成ガイド 第4章 通信セキュリティ 本章では、ストレージ システムに実装されている各種通信セキュリティ機能について説明し ます。 次のトピックが含まれます。 l l l l l l l ポートの使用......................................................................................................... 30 ストレージ システム証明書.................................................................................... 41 DHCP を使用した管理インターフェイスの構成........................................................ 42 インターネット プロトコル バージョン 6 をサポートするストレージ システムのインターフ ェイス、サービス、機能.......................................................................................... 43 IPv6 を使用したストレージ システム管理インターフェイスへのアクセス................... 45 Connection Utility の実行......................................................................................46 CIFS 暗号化...........................................................................................................46 通信セキュリティ 29 通信セキュリティ ポートの使用 Unisphere と CLI インタフェースによる通信は、ポート 443 で HTTPS を使用して行われま す。ポート 80 で HTTP を使用して Unisphere にアクセスすると、自動的にポート 443 にリダ イレクトされます。 ストレージ システムのネットワーク ポート ストレージ システムのネットワーク ポート(30 ページ)は、ストレージ システムに存在する 可能性のある各種ネットワーク サービス(および対応するポート)の概要をまとめたもので す。 㽷 ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。 l 111、2049、mountd(NAS、VAAI-NAS) l 137(NETBIOS Name Service(CIFS)) l 138(NETBIOS Datagram Service(CIFS)) l 445(CIFS) l 1234(mountd(NFS)) l 2049、4000、4001(NFS) l 10000~100004(NDMP ファイルのみのバックアップ) l 12345(usermapper、CIFS) l 1025:65535(NFS、クォータ) 表 10 ストレージ システムのネットワーク ポート 30 サービス プロトコル ポート 説明 FTP、ConnectEMC TCP 20 FTP および ConnectEMC を通じた アラート通知に使用されます。 閉じ ている場合、ConnectEMC は使用 できなくなります。 SFTP TCP 21 SFTP(FTP over SSH)を介したアラ ート通知を許可します。 SFTP はク ライアント/サーバ プロトコルです。 ユーザーは SFTP を使用して、ロー カル サブネット上にあるストレージ システムでファイル転送を実行でき ます。 送信 FTP 制御接続も提供し ます。 閉じている場合、FTP は使用 できなくなります。 SSH/SSHD、VSI TCP 22 有効な場合に SSH アクセスを可能 にする。 VSI プラグインにも使用さ れます。 閉じている場合、SSH を 使用した管理接続は使用できなく なり、VSI プラグ インは使用できな くなります。 3.1 セキュリティ構成ガイド 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル ポート 説明 動的 DNS 更新 TCP/UDP 53 DHCP(Dynamic Host Control Protocol)と関連して DNS サーバ ーに DNS クエリを送信するために 使用されます。 閉じている場合、 名前解決を使用できなくなります。 DHCP クライアント UDP 67 初期構成プロセスの間にストレー ジ システムが DHCP クライアントと して動作できるようにし、管理イン ターフェイス情報を自動取得するた めにクライアント(ストレージ システ ム)から DHCP サーバーにメッセー ジを送信するのに使用されます。 また、すでに導入済みのストレージ システムの管理インターフェイスに DHCP を構成するのにも使用され ます。 閉じている場合、DHCP を使 用した動的 IP アドレスの割り当て が行われなくなります。 DHCP クライアント UDP 68 初期構成プロセスの間にストレー ジ システムが DHCP クライアントと して動作できるようにし、管理イン ターフェイス情報を自動取得するた めに DHCP サーバーからクライア ント(ストレージ システム)へのメッ セージを受信するのに使用されま す。 また、すでに導入済みのストレ ージ システムの管理インターフェイ スに DHCP を構成するのにも使用 されます。 閉じている場合、DHCP を使用した動的 IP アドレスの割り 当てが行われなくなります。 HTTP TCP 80 HTTP トラフィックを Unisphere と Unisphere CLI にリダイレクトしま す。 閉じている場合、デフォルト HTTP ポートへの管理トラフィックは 使用できなくなります。 NAS、VAAI-NAS TCP 111 VMware に NAS データストアを提 供し、VAAI-NAS に使用されます。 閉じている場合、NAS データストア と VAAI-NAS は使用できなくなりま す。 111 標準の portmapper または rpcbind サービスにより開かれた、 補助的なストレージ システム ネット ワーク サービスです。 このサービ スを停止することはできません。 定義では、クライアント システムが ポートにネットワーク接続されてい TCP/UDP Portmapper、 rpcbind(ネットワー ク インフラストラク チャ) ストレージ システムのネットワーク ポート 31 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル ポート 説明 る場合は、ポートに対してクエリー を実行できます。 認証は実行され ません。 32 NTP UDP 123 NTP 時間の同期化。 閉じている場 合、アレイの時刻が同期されなくな ります。 DCERPC(DCE リモ ート プロシージャ コール) UDP 135 MicroSoft Client 用の多目的。 NETBIOS Name Service(CIFS) UDP 137 NETBIOS Name Service は、ストレ ージ システム CIFS ファイル共有サ ービスに関連づけられており、この 機能のコア コンポーネントです (Windows)。 このポートが無効に なっている場合は、すべての CIFS 関連のサービスが無効になりま す。 NETBIOS Datagram UDP Service(CIFS) 138 NETBIOS Datagram Service は、ス トレージ システム CIFS ファイル共 有サービスに関連づけられてお り、この機能のコア コンポーネント です。 参照サービスのみ使用され ます。 無効にすると、このポートで 参照機能が無効になります。 NETBIOS セッション TCP サービス(CIFS) 139 NETBIOS Session Service は、スト レージ システム CIFS ファイル共有 サービスに関連づけられており、こ の機能のコア コンポーネントです。 CIFS サービスが有効である場合、 このポートは開かれています。 こ れらは、具体的には古いバージョ ンの Windows OS(Windows 2000 より前)のために必要です。 ストレ ージ システム CIFS サービスへの 正当なアクセス権を持つクライアン トは、継続的に動作するために、こ のポートへのネットワーク接続を必 要とします。 SNMP UNIX Multiplexer UDP 199* SNMP 通信。 閉じている場合、 SNMP に依存しているストレージ シ ステム アラートが送信されなくなり ます。 LDAP TCP/UDP 389* セキュリティ保護なしの LDAP クエ リー。 閉じている場合、セキュリテ ィ保護なしの LDAP 認証クエリーを 使用できなくなります。 代わりにセ 3.1 セキュリティ構成ガイド 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル ポート 説明 キュリティ保護された LDAP を構成 できます。 SLP(サービス ロケ ーション プロトコ ル) TCP/UDP 427 ストレージ システムにより提供され る利用可能なサービスをホスト(ま たはその他のリソース)が検出でき るようにします。 HTTPS TCP 443 Unisphere および Unisphere CLI へのセキュアな HTTP トラフィック。 閉じている場合、アレイと通信でき なくなります。 㽷 SMI-S の場合、アレイ管理に使用さ れます。ただし、この目的で使用さ れるデフォルトのポートは 5989 で す。 CIFS TCP 445 CIFS(ドメイン コントローラー上)お よび Windows 2000 以降のクライ アント用の CIFS 接続ポート。 ストレ ージ システム CIFS サービスへの 正当なアクセス権を持つクライアン トは、継続的に動作するために、こ のポートへのネットワーク接続を必 要とします。 このポートが無効にな っている場合は、すべての CIFS 関 連のサービスが無効になります。 ポート 139 も無効になっている場 合は、smb ファイル共有が無効に なります。 DHCP(IPv6 のみ) UDP 546 DHCP(v6)クライアント。 閉じている 場合、DHCP を使用した動的 IP ア ドレスの割り当てが行われなくなり ます。 DHCP(IPv6 のみ) UDP 547 DHCP(v6)サーバー。 閉じている 場合、DHCP を使用した動的 IP ア ドレスの割り当てが行われなくなり ます。 LDAPS TCP/UDP 636* セキュリティで保護された LDAP ク エリー。 閉じている場合、セキュリ ティで保護された LDAP 認証を使 用できなくなります。 mountd(NFS) TCP/UDP 1234 NFS サービス(バージョン 2 と 3)の コア コンポーネントであり、Control Station と Data Mover の対話処理 に重要なコンポーネントであるマウ ント サービスに使用されます。 ストレージ システムのネットワーク ポート 33 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル ポート 説明 NAS、VAAI-NAS TCP 2049 VMware に NAS データストアを提 供し、VAAI-NAS に使用されます。 閉じている場合、NAS データストア と VAAI-NAS は使用できなくなりま す。 NFS TCP/UDP 2049 NFS サービスの提供に使用されま す。 UDI SSH TCP 2222 デバイス eth*のためにポート 22 からトラフィックをリダイレクトしま す。 iSCSI TCP 3260 iSCSI サービスへのアクセスを提供 します。 閉じている場合、ファイル ベースの iSCSI サービスは使用で きなくなります。 NFS TCP/UDP 4000 NFS statd サービスの提供に使用 されます。statd は、NFS ファイル ロックのステータス モニターであ り、lockd と連動してクラッシュ後の リカバリ機能を NFS に提供します。 NFS TCP/UDP 4001 NFS ロック サービスの提供に使用 されます。lockd は NFS ファイル ロ ック デーモンです。 このデーモン は、NFS クライアントからのロック リ クエストを処理し、statd デーモンと 連携して機能します。 PAX(Portable Archive Interchange)(バッ クアップ サービス) TCP 4658 ネットワーク ブロッ ク サービス(NBS) 34 3.1 セキュリティ構成ガイド TCP 5033 l PAX は、標準的な UNIX テープ 形式で動作する VNXe アーカ イブ プロトコルです。 l このサービスは、複数の内部 ネットワーク インタフェースに バインドされる必要があり、そ の結果として外部インタフェー スにもバインドされます。 ただ し、外部ネットワーク経由の着 信リクエストは拒否されます。 l PAX の背景情報については、 バックアップについての EMC の関連マニュアルを参照してく ださい。 このトピックに関する いくつかのテクニカル モジュー ルがあり、さまざまなバックア ップ ツールについて説明され ています。 iSCSI に似た(かつ iSCSI よりも前 に発表された)EMC 専用のプロトコ ル。 このポートを開く NBS サービ 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル ポート 説明 スは、コア ストレージ システム サ ービスで、停止することはできませ ん。 外部では、NBS は、スナップシ ョットおよびレプリケーション制御機 能のために使用されます。 TCP 5080 HTTP は、FileMover およびいくつか の Control Station と Data Mover の情報交換で転送メディアとして使 用されます。 FileMover トラフィック は、ILM 関連ポリシー エンジンで Data Mover にコマンドを送信する ために使用されます。 ポリシー エ ンジンは、HTTP ダイジェスト認証方 法を使用して認証されます。 HTTP 転送は、Control Station と Data Mover の対話処理でも使用される ので、このサービスを無効にするこ とはできません。 ただし、この処理 では、Data Mover が VNX ファイル キャビネット内のプライベート ネット ワークを介して Control Station か らの HTTP リクエストを受け付ける ことだけが必要です。 外部エージ ェントによる HTTP サービスへのア クセスはデフォルトで無効になって います。 このポートは、VSI プラグ インも提供します。 閉じている場 合、VSI プラグインは使用できなく なります。 レプリケーション サ TCP ービス 5085 レプリケーション サービスと関連づ けられています SMI-S/VASA TCP 5989 SMI-S の場合、アレイ管理に使用 されます。 SMI-S クライアントは、 SMI-S/VASA TCP 5989 HTTPS を使 用してアレイに接続します。 このサ ービスの構成方法の詳細について は、「VNXe 用 SMI-S Provider プログ ラマ向けガイド」を参照してくださ い。 VASA の場合、レポート作成イ ンターフェイスとしてのみ使用され ます。 VASA の詳細については、ス トレージ認識サポートの vSphere Storage API(15 ページ)を参照して ください。 VASA TCP 8443 VASA 1.0 および VASA 2.0 の VASA ベンダー プロバイダー。閉じ ている場合、VASA プロトコル トラフ ィックは使用できなくなります(アレ イ検出、vVOL ライフサイクル)。 HTTP、VSI ストレージ システムのネットワーク ポート 35 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル RCP(レプリケーショ TCP ン サービス) NDMP 36 TCP ポート 説明 8888 Replicator により使用されます(セ カンダリ側)。 データをレプリケート する必要が生じると直ちに Replicator によって開かれたまま にされます。 サービスが開始され た後にサービスを停止する方法は ありません。 l 10000:10004 (IPv4) l 10000(IPv6) l NDMP サーバにサード パーテ ィ ソフトウェアをインストールせ ずに、ネットワーク バックアッ プ アプリケーションを介して NDMP サーバのバックアップと リカバリを制御できます。 スト レージ システムでは、Data Mover は NDMP サーバーとし て機能します。 l NDMP テープ バップアップを 使用しない場合は、NDMP サ ービスを無効化できます。 l NDMP サービスは、ユーザー 名/パスワードの組み合わせ を使用して認証されます。 ユ ーザー名は構成可能です。 さ まざまな環境に合わせてパス ワードを構成する方法につい ては、NDMP のドキュメントを 参照してください。 UserMapper、CIFS TCP 12345 このポートは usermapper サービ スによって開かれます。 ストレージ システム CIFS サービスと関連づけ られたコア サービスで、特定の環 境では停止すべきではありませ ん。 これは、Windows 認証情報 (SID ベース)を UNIX ベースの UID と GID の値にマップするための方 法です。 IWD 社内 60260 IWD 初期構成デーモン。 閉じてい る場合、ネットワーク経由でアレイ を初期化できなくなります。 NFS、クォータ、 MAC TCP 1025:65535 3.1 セキュリティ構成ガイド l statd:NFS ファイル ロックのス テータス モニターで、lockd と 連動して機能し、NFS にクラッ シュおよびリカバリ機能を提供 します(NFS は本質的にステー タス情報を持たないプロトコル です)。 l rquotad:rquotad デーモン は、ファイル システムをマウン 通信セキュリティ 表 10 ストレージ システムのネットワーク ポート (続き) サービス プロトコル ポート 説明 トしている NFS クライアントに 対してクォータ情報を提供しま す。 閉じている場合、クォータ サービスは使用できなくなりま す。 NAS、VAAI-NAS TCP mountd l lockd:NFS ファイル ロックに使 用されます。 NFS クライアント からのロック要求を処理し、ス テータス サービスと連携して 動作します。 閉じている場合、 NFS ユーザー向けのロック マ ネージャー サービスは使用で きなくなります。 l MAC:MAC サービスは、 Control Station と Data Mover の間で使用される専用管理プ ロトコルです。 閉じている場 合、Control Station と Data Mover 間の MAC 管理は使用 できなくなります。 VMware に NAS データストアを提 供し、VAAI-NAS に使用されます。 閉じている場合、NAS データストア と VAAI-NAS は使用できなくなりま す。 㽷 LDAP と LDAPS のポート番号は、ディレクトリ サービスを構成するときに Unisphere 内から 上書きできます。 デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそ れを上書きできます。 また、SNMP ポート番号は Unisphere の内部から上書きできます。 ストレージ システムが接続するポート ストレージ システムは、一部の状況、例えば、LDAP サーバーとの通信などで、ネットワーク クライアントの機能を果たす可能性があります。 このような状況では、ストレージ システム は通信を開始し、ネットワーク インフラストラクチャでこれらの接続をサポートする必要があ ります。 ストレージ システムによって開始されるネットワーク接続(38 ページ)に、対応す るサービスを適切に機能させるために、ストレージ システムがアクセスを許可される必要が あるポートについての説明が記載されています。 これには、Unisphere CLI が含まれます。 ストレージ システムが接続するポート 37 通信セキュリティ 㽷 ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。 l 137(NETBIOS Name Service(CIFS)) l 138(NETBIOS Datagram Service(CIFS)) l 1234(mountd(NFS)) l 2049、4000、4001(NFS) l 10000:10004(IPv4)または 10000(IPv6)(NDMP ファイルのみのバックアップ) l 1025:65535(NFS、クォータ) 表 11 ストレージ システムによって開始されるネットワーク接続 38 サービス プロトコル ポート 説明 SFTP TCP 21 SFTP(FTP over SSH)を介したアラート通知 を許可します。 SFTP はクライアント/サー バ プロトコルです。 ユーザーは SFTP を使 用して、ローカル サブネット上にあるストレ ージ システムでファイル転送を実行できま す。 送信 FTP 制御接続も提供します。 閉 じている場合、FTP は使用できなくなりま す。 SSH/SSHD、VSI TCP 22 有効な場合に SSH アクセスを可能にす る。 VSI プラグインにも使用されます。 閉 じている場合、SSH および VSI プラグイン を使用した管理接続は使用できなくなりま す。 SMTP TCP 25 システムによるメールの送信を可能にす る。 閉じている場合、メール通知を使用で きなくなります。 DNS UDP 53 DNS クエリー。 閉じている場合、名前解決 を使用できなくなります。 DHCP UDP 67~68 ストレージ システムが DHCP クライアント として機能することを可能にする。 閉じて いる場合、DHCP を使用した動的 IP アドレ スの割り当てが行われなくなります。 HTTP TCP 80 HTTP トラフィックを Unisphere と Unisphere CLI にリダイレクトします。 閉じ ている場合、デフォルト HTTP ポートへの 管理トラフィックは使用できなくなります。 Kerberos TCP/UDP 88 送信 Kerberos チケットを提供します。 閉 じている場合、Kerberos 認証とこれを使 用するすべてのプロトコル(CIFS、LDAP、 GPO、secNFS など)は使用できなくなりま す。 Portmapper、 rpcbind(ネット TCP/UDP 111 標準の portmapper または rpcbind サー ビスにより開かれた、補助的なストレージ システム ネットワーク サービスです。 この 3.1 セキュリティ構成ガイド 通信セキュリティ 表 11 ストレージ システムによって開始されるネットワーク接続 (続き) サービス プロトコル ポート ワーク インフラ ストラクチャ) 説明 サービスを停止することはできません。 定 義では、クライアント システムがポートに ネットワーク接続されている場合は、ポー トに対してクエリーを実行できます。 認証 は実行されません。 NTP UDP 123 NTP 時間の同期化。 閉じている場合、ア レイの時刻が同期されなくなります。 NETBIOS Name Service(CIFS) UDP 137 NETBIOS Name Service は、ストレージ シ ステム CIFS ファイル共有サービスに関連 づけられており、この機能のコア コンポー ネントです(Windows)。 このポートが無効 になっている場合は、すべての CIFS 関連 のサービスが無効になります。 NETBIOS Datagram Service(CIFS) UDP 138 NETBIOS Datagram Service は、ストレージ システム CIFS ファイル共有サービスに関 連づけられており、この機能のコア コンポ ーネントです。 参照サービスのみ使用さ れます。 無効にすると、このポートで参照 機能が無効になります。 LDAP TCP 389* セキュリティ保護なしの LDAP クエリー。 閉じている場合、セキュリティ保護なしの LDAP 認証クエリーを使用できなくなりま す。 代わりにセキュリティ保護された LDAP を構成できます。 HTTPS TCP 443 Unisphere および Unisphere CLI への HTTPS トラフィック。 閉じている場合、アレ イと通信できなくなります。 Kerberos TCP/UDP 464 Kerberos パスワードの変更と設定を行い ます。 閉じている場合、CIFS に影響があ ります。 リモート システ ムログ UDP 514* Syslog:システム メッセージをリモート ホ ストに記録します。 システムが使用するホ スト ポートを構成できます。 LDAPS TCP 636* セキュリティで保護された LDAP クエリー。 閉じている場合、セキュリティで保護され た LDAP 認証を使用できなくなります。 VMware TCP 843 VMawareness:vSphere と VMware SDK の通信を可能にします。 閉じている場合、 VCenter/ESX 検出は使用できなくなりま す。 mountd(NFS) TCP/UDP 1234 NFS サービス(バージョン 2 と 3)のコア コ ンポーネントであり、Control Station と Data Mover の対話処理に重要なコンポー ネントであるマウント サービスに使用され ます。 ストレージ システムが接続するポート 39 通信セキュリティ 表 11 ストレージ システムによって開始されるネットワーク接続 (続き) 40 サービス プロトコル ポート 説明 NFS TCP/UDP 2049 NFS サービスの提供に使用されます。 iSCSI TCP 3260 iSCSI サービスへのアクセスを提供しま す。 閉じている場合、ファイル ベースの iSCSI サービスは使用できなくなります。 NFS TCP/UDP 4,000 NFS statd サービスの提供に使用されま す。statd は、NFS ファイル ロックのステー タス モニターであり、lockd と連動してクラ ッシュ後のリカバリ機能を NFS に提供しま す。 NFS TCP/UDP 4001 NFS ロック サービスの提供に使用されま す。lockd は NFS ファイル ロック デーモン です。 このデーモンは、NFS クライアント からのロック リクエストを処理し、statd デ ーモンと連携して機能します。 VSI TCP 5080 VSI プラグ イン 閉じている場合、VSI プラ グインは使用できなくなります。 NDMP TCP l 10000:1000 4(IPv4) l 10000(IPv6) IWD 社内 60260 NFS、クォータ、 MAC TCP 1025:65535 3.1 セキュリティ構成ガイド l NDMP サーバにサード パーティ ソフト ウェアをインストールせずに、ネットワ ーク バックアップ アプリケーションを 介して NDMP サーバのバックアップと リカバリを制御できます。 ストレージ システムでは、Data Mover は NDMP サーバーとして機能します。 l NDMP テープ バップアップを使用しな い場合は、NDMP サービスを無効化 できます。 l NDMP サービスは、ユーザー名/パス ワードの組み合わせを使用して認証 されます。 ユーザー名は構成可能で す。 さまざまな環境に合わせてパス ワードを構成する方法については、 NDMP のドキュメントを参照してくださ い。 IWD 初期構成デーモン。 閉じている場 合、ネットワーク経由でアレイを初期化で きなくなります。 l statd:NFS ファイル ロックのステータ ス モニターで、lockd と連動して機能 し、NFS にクラッシュおよびリカバリ機 能を提供します(NFS は本質的にステ ータス情報を持たないプロトコルで す)。 l rquotad:rquotad デーモンは、ファイ ル システムをマウントしている NFS ク ライアントに対してクォータ情報を提 通信セキュリティ 表 11 ストレージ システムによって開始されるネットワーク接続 (続き) サービス プロトコル ポート 説明 供します。 閉じている場合、クォータ サービスは使用できなくなります。 l lockd:NFS ファイル ロックに使用され ます。 NFS クライアントからのロック要 求を処理し、ステータス サービスと連 携して動作します。 閉じている場合、 NFS ユーザー向けのロック マネージ ャー サービスは使用できなくなりま す。 l MAC:MAC サービスは、Control Station と Data Mover の間で使用さ れる専用管理プロトコルです。 閉じて いる場合、Control Station と Data Mover 間の MAC 管理は使用できなく なります。 㽷 LDAP と LDAPS のポート番号は、ディレクトリ サービスを構成するときに Unisphere 内から 上書きできます。 デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそ れを上書きできます。 また、リモート システムログ番号は、内部 Unisphere から上書きでき ます。 ストレージ システム証明書 ストレージ システムは、初回の初期化の際に自己署名証明書を自動的に生成します。 この 証明書は、NVRAM とバックエンド LUN の両方に保存されます。 それ以降、クライアントが管 理ポートを介してストレージ システムに接続を試みると、ストレージ システムはこの証明書 をクライアントに提示します。 この証明書は 3 年間有効ですが、有効期限の 1 か月前にストレージ システムが証明書を 再生成します。 また、svc_custom_cert サービス コマンドを使用して新しい証明書をアッ プロードすることもできます。 このコマンドを使用すると、指定した SSL 証明書が、 Unisphere 管理インターフェイスで使用できるように PEM 形式でインストールされます。 こ のサービス コマンドの詳細については、「VNXe サービス コマンド テクニカル ノート」を参照し てください。 Unisphere または Unisphere CLI から証明書を表示することはできませんが、 管理ポートへの接続を試みるブラウザー クライアントまたは Web ツールからは証明書を表 示できます。 㽷 アレイが FIPS モードであり、証明書がオフ アレイで生成された場合は、PEM 形式の証明書 に加えて、プライベート キーを PKCS#1 形式で用意する必要もあります。 この変換は、 openssl コマンドを使用して実行できます。 .cer ファイルと.pk ファイルが生成されたら、FIPS モードのアレイで証明書を使用するときにこの追加のステップが必要になります。 一部の組織では、セキュリティを強化するため、CA 証明書チェーンを使用しています。 証明 書チェーンにより、2 個以上の CA 証明書がリンクされます。 プライマリ CA 証明書は、CA 証 明書チェーンの終端に位置するルート証明書です。 システムでは受信する証明書の信頼 ストレージ システム証明書 41 通信セキュリティ 性の確認に完全な証明書チェーンを必要とするため、証明書チェーンが使用されているか どうかディレクトリ サーバ管理者に確認します。 使用されている場合は、関連するすべての 証明書を単一のファイルに連結して、そのバージョンをアップロードする必要があります。 証明書は PEM/Base64 でエンコードされた形式で、サフィックスとして.cer を使用する必要 があります。 DHCP を使用した管理インターフェイスの構成 システムの設置、ケーブル接続、電源の投入が完了した後は、ストレージ システム管理イ ンターフェイスに IP アドレスを割り当てる必要があります。 DHCP(Dynamic Host Control Protocol)サーバーと DNS(ドメイン ネーム システム)サーバーを含む動的なネットワークで ストレージ システムを実行している場合、管理 IP アドレスを自動的に割り当てることができ ます。 㽷 ストレージ システムを動的なネットワーク環境で実行していない場合、または手動で固定 IP アドレスを割り当てる場合は、Connection Utility をインストールして実行する必要がありま す(Connection Utility の実行(46 ページ)を参照してください)。 適切なネットワーク構成には、使用可能な IP アドレスの範囲、適切なサブネット マスク、ゲ ートウェイ、ネーム サーバ アドレスの設定を含める必要があります。 DHCP サーバーおよび DNS サーバーの設定の詳細については、ご使用のネットワークのマニュアルを参照してくだ さい。 DHCP は、ネットワーク上のデバイスに動的な IP(インターネット プロトコル)アドレスを割り 当てるためのプロトコルです。 DHCP を使用することで、ストレージ システムを組織のネット ワークに接続するときに、中央のサーバーで IP(インターネット プロトコル)アドレスを制御 し、新しい一意の IP アドレスを自動的に割り当てることができます。 この動的なアドレス指 定では、ソフトウェアが IP アドレスをトラッキングするため、管理者がタスクを管理する必要 がなく、ネットワーク管理が合理化されます。 DNS サーバーは、ドメイン名を IP アドレスに変換する IP ベースのサーバーです。 数値の IP アドレスと比較すると、アルファベットを使用するドメイン名の方が一般に世代管理が容易で す。 IP ネットワークは IP アドレスに基づいているため、ドメイン名を使用するたびに DNS サ ーバによって名前を対応する IP アドレスに変換する必要があります。 たとえば、 www.Javanet.com というドメイン名は 209.94.128.8 という IP アドレスに変換されます。 ユーザー名、パスワードなどの管理情報は、DHCP/動的 DNS 構成の間に交換されます。 管理 IP 項目(DHCP 環境設定、DNS および NTP のサーバー構成)の構成は、セキュリティ に関する既存の Unisphere のフレームワーク内に属します。 リース有効期限の到来時に新 しい IP アドレスを取得するといった DNS および DHCP のイベントは、ストレージ システムの 監査ログに記録されます。 ストレージ システム管理 IP 構成で DHCP を使用しない場合は、 追加のネットワーク ポートが開かれることはありません。 ストレージ システムへの IP アドレスの自動割り当て はじめに ストレージ システム、DHCP サーバー、DNS サーバーの間のネットワーク接続を確認しま す。 DHCP ネットワークを構成すると、ストレージ システムに IP アドレスを自動的に割り当てるこ とができます。 手順 1. ストレージ システムの電源をオンにします。 ストレージ システム背面の SP 障害ライトが点灯します(青色に点灯して 3 秒に 1 回ア ンバーが点滅)。これは、システムが初期化されておらず、管理 IP アドレスが割り当てら 42 3.1 セキュリティ構成ガイド 通信セキュリティ れていないことを示します。 ストレージ システムで実行中の DHCP クライアント ソフトウ ェアからローカル ネットワーク上の IP アドレスをリクエストされます。 DHCP サーバーが ストレージ システムに IP アドレスを動的に割り当て、この情報を DNS サーバーに送信し ます。 ストレージ システム管理 IP がネットワーク ドメインに登録されます。 IP アドレスの 割り当てが完了し、SP 障害ライトがオフになったら、Unisphere にログインしてストレージ システムを適切に構成できます。 ストレージ システム管理 IP を固定 IP アドレスとして手 動で構成することは、IP を自動割り当てし、SP 障害ライトがオフになった後でも可能で す。 ただし、構成ウィザードの EULA(エンド ユーザー使用許諾契約書)を許諾する前で なければなりません。 2. Web ブラウザーを開き、次の構文を使用して管理インターフェイスにアクセスします serial_number.domain 各項目の意味は次のとおり。 serial_number は、ご使用のストレージ システムのシリアル番号です。 この番号はスト レージ システムに付属の梱包材に記載されています。 domain は、ストレージ システムが存在するネットワーク ドメインです。 次に例を挙げます。 FM100000000017.mylab.emc.com 証明書のエラーが表示されたら、ブラウザの指示に従ってエラーを無視します。 3. ストレージ システムにデフォルトのユーザー名(admin)とデフォルトのパスワード (Password123#)でログインします。 Unisphere を初めて開くと、構成ウィザードが実行され、パスワード、DNS サーバー、 NTP サーバー、ストレージ プール、ストレージ サーバー設定、ESRS、ConnectEMC 機能 (物理環境のみ)の構成を支援します。 4. DNS(ドメイン ネーム サーバー)パネルが表示されるまで、構成ウィザードに従って進み ます。 5. DNS(ドメイン ネーム サーバ)パネルで[デフォルトの DNS サーバ アドレスを自動的に取 得する]を選択します。 6. ストレージ システム クイック スタート ポスターまたはオンライン ヘルプに記載された情 報を参照してウィザードを続行します。 インターネット プロトコル バージョン 6 をサポートするストレージ シ ステムのインターフェイス、サービス、機能 さまざまなサービスと機能を構成するために、システムのインターフェイスを構成し、IPv6(イ ンターネット プロトコル バージョン 6)アドレスを使用することができます。 次のリストに、 IPv6 プロトコルがサポートされる機能をまとめています。 l インターフェイス(SF、iSCSI):IPv4 または IPv6 のアドレスをインターフェイスに静的に割 り当てます l ホスト:ネットワーク名、ホストの IPv4 または IPv6 のアドレスを入力します l 経路指定:IPv4 または IPv6 のプロトコルの経路指定を構成します l 診断:IPv4 または IPv6 の宛先アドレスを使用して ping 診断 CLI コマンドを開始しま す。 Unisphere の[PING 送信先]スクリーンでは、IPv6 の宛先アドレスもサポートされま す。 IPv4 はすべてのストレージ システム コンポーネントでサポートされます。IPv6 も多くのコン ポーネントでサポートされます。設定タイプおよびコンポーネント別の IPv6 サポート(44 ペ ージ)に、設定タイプおよびコンポーネント別に利用可能な IPv6 のサポートを示します。 インターネット プロトコル バージョン 6 をサポートするストレージ システムのインターフェイス、サービス、機能 43 通信セキュリティ 表 12 設定タイプおよびコンポーネント別の IPv6 サポート 設定タイプ コンポーネント IPv6 サポート Unisphere の管理設定 管理用ポート はい DNS(ドメイン ネーム サーバ) はい NTP(ネットワーク タイム プロトコル) サーバー はい リモート ログ サーバ はい Microsoft Exchange はい VMware データストア(NFS) はい VMware データストア(VMFS) はい Hyper-V データストア はい SNMP トラップ送信先 はい SMTP サーバ はい EMC の接続 (物理環境のみ) いいえ ESRS(EMC Secure Remote Support) (物理環境のみ) いいえ iSCSI サーバ はい 共有フォルダ サーバ はい Unisphere ホスト構成の設定 Unisphere のアラート設定 ストレージ サーバー設定 NIS(Network Information Service)サ はい ーバー(NFS NAS サーバーの場合) その他 Active Directory サーバー(CIFS NAS サーバーの場合) はい iSNS(Internet Storage Naming Service)サーバ はい PING 送信先 はい リモート ジャーナル はい LDAP はい IPv6 アドレス標準 IPv6(インターネット プロトコル バージョン 6)は、IETF(Internet Engineering Task Force)によ って開発された IP(インターネット プロトコル)アドレス標準の 1 つのバージョンであり、現在 ほとんどのインターネット サービスで使用されている IPv4 アドレス標準を補完するととも に、いずれは置き換えるものです。 IPv4 は 32 ビットの IP アドレスを使用し、約 43 億の使用可能アドレスを提供します。 インタ ーネットのユーザーやインターネット接続デバイスの急激な増加に伴い、使用できる IPv4 ア ドレス空間が不足しています。 IPv6 では 128 ビット アドレスを使用することで 340 兆個の IP アドレスが提供されるため、アドレス不足問題が解決されます。 IPv6 は、モビリティ、自動 構成、総合的な拡張性など IPv4 が抱えるその他の問題も解決します。 IPv6 アドレスは、次のように、コロンで区切られた 16 ビットのフィールド 8 個から成る 16 進 数値です。 44 3.1 セキュリティ構成ガイド 通信セキュリティ hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh IPv6 アドレスの各桁には 0~9 の数字または A~F の文字を使用できます。 IPv6 標準の詳細については、IETF Web サイト(http://www.ietf.org)で IPv6 標準(RFC 2460)に関する情報を参照してください。 IPv6 を使用したストレージ システム管理インターフェイスへのアク セス ストレージ システムで管理接続を設定すると、次のタイプの IP アドレスが許容されるように システムを構成できます。 l 固定 IPv6(インターネット プロトコル バージョン 6)アドレス、DHCP から取得される IPv4 アドレス、固定 IPv4 アドレス l IPv4 アドレスのみ 管理インターフェイスには固定 IPv6 アドレスを割り当てることができます。 管理インターフェ イスの IPv6 アドレスは、手動/固定または無効の 2 つのモードのどちらかに設定できます。 IPv6 を無効化しても、プロトコルはインターフェイスからバインド解除されません。 管理イン ターフェイスに割り当てられたユニキャスト IPv6 アドレスがある場合、無効化コマンドによっ てそのアドレスが削除され、ストレージ システムは IPv6 でアドレス指定されたリクエストに 応答しなくなります。デフォルトでは IPv6 は無効になっています。 システムの設置、ケーブル接続、電源の投入が完了した後は、ストレージ システム管理イ ンターフェイスに IP アドレスを割り当てる必要があります。 ストレージ システムを動的ネット ワーク環境で実行していない場合、または手動で固定 IP アドレスを割り当てる場合は、 Connection Utility をダウンロードしてインストールし、実行する必要があります。 Connection Utility の詳細については、Connection Utility の実行(46 ページ)を参照して ください。 IPv6 を使用した管理インターフェイスからストレージ システムへのインバウンド リクエストは サポートされます。 IPv4 のみ、IPv6 のみ、IPv4 と IPv6 の混在環境のいずれかで動作する ようにストレージ システムの管理インターフェイスを構成できます。また、Unisphere UI およ び CLI(コマンド ライン インターフェイス)を使用してストレージ システムを管理できます。 NTP(ネットワーク タイム プロトコル)や DNS(ドメイン ネーム システム)などの送信サービス では、明示的に IPv6 アドレス指定を使用する方法または DNS 名を使用する方法で IPv6 ア ドレスをサポートします。 DNS 名が IPv6 と IPv4 のどちらにも解決される場合、ストレージ シ ステムは IPv6 を使用してサーバーと通信します。 管理インターフェイスの管理に使用される CLI コマンドの manage ネットワーク インターフェ イス セットおよび show には、IPv6 に関連する属性が含まれます。これらのネットワーク イ ンターフェイス管理のコマンドの詳細については、「Unisphere CLI ユーザー ガイド」を参考に してください。 IPv6 を使用したストレージ システム管理インターフェイスへのアクセス 45 通信セキュリティ Connection Utility の実行 㽷 DHCP サーバーと DNS サーバーを含む動的なネットワーク環境でストレージ システムを実 行している場合、Connection Utility を使用する必要はなく、その代わりにストレージ システ ム管理インターフェイスに動的な IP アドレス(IPv4 のみ)を自動的に割り当てることができま す(Connection Utility の実行(46 ページ)を参照してください)。 ストレージ システムで固定 IP アドレスを使用する場合、特定の IP アドレスを使用するように、Connection Utility を実行 して IP アドレスを手動で構成します。 固定割り当てで発生する問題の 1 つは、ミスや不注 意が原因で発生するもので、同じ管理 IP アドレスを使って 2 つのストレージ システムを構 成する場合に発生します。 これによって競合が発生し、ネットワーク接続が切断される場合 があります。 DHCP を使用して IP アドレスを動的に割り当てることで、このような競合が最小 限に抑えられます。 IP 割り当てに DHCP を使用するように構成されたストレージ システムで は、固定割り当ての IP アドレスを使用する必要がありません。 Connection Utility インストール ソフトウェアは、EMC オンライン サポート用 Web サイトから 入手できます。 ソフトウェアのダウンロード後に、プログラムを Windows ホストにインストー ルします。 ストレージ システムと同じサブネット上にあるコンピューターで Connection Utility を実行すると、未構成のストレージ システムが自動検出されます。 別のサブネット上で Connection Utility を実行している場合は、構成データを USB ドライブに保存してから、スト レージ システムに転送できます。 VNXe OE 3.0 以降を実行するストレージ システムの各 SP にはミニ USB ポートが搭載されているため、USB とミニ USB のコンバーターを使用する必 要があります。 コンバーターはストレージ システムに同梱されています。 㽷 両方の SP(ストレージ プロセッサ)がサービス モードになっている場合、管理 IP アドレスは 変更できません。 Connection Utility を実行して構成をストレージ システムに転送したら、ストレージ管理イン ターフェイスに割り当てた IP アドレスを使用して Web ブラウザーからストレージ システムに 接続することができます。 ストレージ システムに初めて接続すると、ストレージ システム構成ウィザードが起動されま す。 構成ウィザードでは、ストレージ システムの初期構成を設定できます。初期構成を設定 したら、ストレージ リソース作成作業を開始できます。 CIFS 暗号化 ストレージ システムで SMB 3.0 および Windows 2012 がサポートされることで、CIFS を使 用できるホストに CIFS 暗号化が提供できます。 CIFS 暗号化によって、CIFS ファイル共有上 のデータに安全にアクセスできます。 この暗号化により、信頼されないネットワーク上でデ ータに対するセキュリティが提供されます。つまり、アレイとホストの間で送信される SMB デ ータがエンド ツー エンドで暗号化されます。 信頼されないネットワーク上での盗聴/覗き見 の攻撃からデータが保護されます。 CIFS 暗号化は共有ごとに構成できます。 共有の暗号化が定義されている場合、すべての SMB3 クライアントは共有に関するすべてのリクエストを暗号化する必要があります。暗号 化しないと共有へのアクセスが拒否されます。 CIFS 暗号化を有効にするには、CIFS サーバーの追加時に[CIFS 暗号化]オプションを設定 するか、CIFS 共有に対して create コマンドと set コマンドを使用して設定します。 また、 46 3.1 セキュリティ構成ガイド 通信セキュリティ CIFS ファイル システムの作成時にも[CIFS 暗号化]オプションを設定できます。 SMB クライ アントで必要な設定はありません。 㽷 CIFS 暗号化の設定の詳細については、Unisphere オンライン ヘルプおよび「Unisphere CLI ユーザー ガイド」を参考にしてください。 CIFS 暗号化 47 通信セキュリティ 48 3.1 セキュリティ構成ガイド 第5章 データ セキュリティ設定 本章では、サポートされているストレージ タイプに対応するストレージ システムで使用可能 なセキュリティ機能を説明します。 次のトピックが含まれます。 l データ セキュリティ設定......................................................................................... 50 データ セキュリティ設定 49 データ セキュリティ設定 データ セキュリティ設定 セキュリティ機能(50 ページ)に、サポートされているストレージ システム ストレージ タイ プで使用可能なセキュリティ機能を示します。 㽷 ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。 l 445(CIFS) l 2049(NFS) 表 13 セキュリティ機能 ストレージ タイプ ポート プロトコル セキュリティ設定 iSCSI ストレ ージ 3260 TCP l Unisphere を介した、iSCSI ホスト(イニシエータ) レベルのアクセス制御が可能です。これにより、 クライアントはプライマリ ストレージまたはスナッ プショット、あるいはこの両方にアクセスできま す。 l CHAP 認証がサポートされます。これにより、スト レージ システム iSCSI サーバー(ターゲット)は、 iSCSI ベース ストレージにアクセスする iSCSI ホ スト(イニシエーター)を認証できます。 l 双方向 CHAP 認証がサポートされます。これに より、iSCSI ホスト(イニシエーター)はストレージ システム iSCSI サーバーを認証できます。 l Active Directory のユーザー アカウントとグルー プ アカウントによって、ドメイン アクションと管理 アクションに対する認証が提供されます。 l Windows のディレクトリ サービスによって、ファ イル アクセス制御と共有アクセス制御が提供さ れます。 CIFS 共有の ACL(アクセス コントロール リスト)は、SMI-S インターフェイスからも構成で きます。 l SMB 署名で、セキュリティ シグネチャがサポート されます。 l CIFS 暗号化は、CIFS を使用できるホスト向けに SMB 3.0 および Windows 2012 により提供され ます。 CIFS 暗号化の詳細については、「データ セキュリティ設定(50 ページ)」を参照してくださ い。 l アドオン ソフトウェアで、オプションのファイルレ ベル リテンション設定サービスがサポートされま す。 l Unisphere で、共有ベースのアクセス制御が提 供されます。 CIFS ストレー ジ NFS ストレー ジ 50 3.1 セキュリティ構成ガイド 445 2049 TCP、UDP TCP データ セキュリティ設定 表 13 セキュリティ機能 (続き) ストレージ タイプ バックアップ とリストア ポート プロトコル セキュリティ設定 l NFS バージョン 2 および 3 で特定されている NFS 認証とアクセス制御方式のサポート。 l アドオン ソフトウェアで、オプションのファイルレ ベル リテンション設定サービスがサポートされま す。 l NDMP 共有シークレットに基づいて NDMP セキ ュリティを実装できます。 データ セキュリティ設定 51 データ セキュリティ設定 52 3.1 セキュリティ構成ガイド 第6章 セキュリティ メンテナンス 本章では、ストレージ システムに実装されている各種セキュリティ保守機能について簡単に 説明します。 次のトピックが含まれます。 l l 安全な保守........................................................................................................... 54 ストレージ システムの EMC セキュア リモート サポート........................................... 55 セキュリティ メンテナンス 53 セキュリティ メンテナンス 安全な保守 ストレージ システムでは、リモート システムのメンテナンスと更新のタスクを実施する、次の 安全性のための機能が提供されています。 l ライセンスのアクティベーション l ソフトウェアのアップグレード l ソフトウェア ホットフィックス ライセンス更新 ライセンス更新機能は、ファイル レベル保存期間設定や RepliStor™レプリケーションなど、 特定のストレージ システム機能のライセンスの取得とインストールに使用します。 ライセン ス更新セキュリティ機能(54 ページ)に、ライセンス更新機能に関連するセキュリティ機能 を示します。 表 14 ライセンス更新セキュリティ機能 プロセス セキュリティ EMC オンライン サポート Web サイト からライセンスを取得する ライセンスの取得は、EMC オンライン サポート用 Web サイト(http://www.emc.com/ vnxesupport)の認証されたセッションで行います。 ライセンス ファイルの受信 ライセンスは、EMC オンライン サポート用 Web サイト(http://www.emc.com/vnxesupport)の 認証されたトランザクションで指定したメール アドレスに送信されます。 Unisphere クライアントによる、ストレ ージ システムへのライセンスのアップ ロードとインストール l ストレージ システムへのライセンス ファイルのアップロードは、HTTPS を介して認証された Unisphere セッション内で行います。 l ストレージ システムは、デジタル署名を使用して、受信したライセンス ファイルを検証しま す。 ライセンスされた各機能は、ライセンス ファイル内の固有の署名によって検証されま す。 ソフトウェアのアップグレード ストレージ システム ソフトウェア更新機能は、ストレージ システム上で実行しているソフトウ ェアをアップグレードまたは更新するソフトウェアの取得とインストールを行う場合に使用し ます。 ソフトウェア アップグレード セキュリティ機能(54 ページ)に、ストレージ システム ソ フトウェア アップグレード機能に関連するセキュリティ機能を示します。 表 15 ソフトウェア アップグレード セキュリティ機能 プロセス 説明 EMC オンライン サポート用 Web サイトからのスト レージ システム ソフトウェアのダウンロード ライセンスの取得は、EMC オンライン サポート用 Web サイト(http:// www.emc.com/vnxesupport)の認証されたセッションで行います。 ストレージ システム ソフトウェアのアップロード ストレージ システムへのソフトウェアのアップロードは、HTTPS を介して認証され た Unisphere セッションで行います。 54 3.1 セキュリティ構成ガイド セキュリティ メンテナンス ストレージ システムの EMC セキュア リモート サポート ESRS(EMC セキュア リモート サポート)機能(物理環境のみ)により、認定サービス プロバイ ダーに対して、暗号化された安全なトンネルを使用したストレージ システムへのリモート ア クセスを提供することができます。 この機能は、実装環境によっては使用できない場合があ ります。 アウトバウンド アクセスを提供するには、ストレージ システム管理 IP ネットワークで アウトバウンドおよびインバウンドの両方の HTTPS トラフィックが可能である必要がありま す。 また、ESRS によって確立されたストレージ システム デバイスと EMC ネットワーク上の 許可されたシステムの間の安全なトンネルを使用して、ストレージ システムにファイルを転 送したり、逆に EMC ネットワークにファイルを転送したりできます。 ESRS 機能の詳細につい ては、「VNXe 向け EMC セキュア リモート サポートの要件および構成に関するテクニカル ノート」 を参照してください。 ストレージ システム自体には、いずれのポリシーも実装されていません。 ストレージ システ ムに対するリモート アクセスをより細かく管理する必要がある場合は、ポリシー マネージャ ーを使用して権限を設定できます。 ポリシー マネージャ ソフトウェア コンポーネントは、お 客様提供のサーバにインストールすることができます。 ポリシー マネージャーの詳細につ いては、「VNXe 向け EMC セキュア リモート サポートの要件および構成に関するテクニカル ノー ト」を参照してください。 ポリシー マネージャーの追加情報については、EMC オンライン サ ポート用 Web サイト(http://Support.EMC.com)を参照してください。 ストレージ システムの EMC セキュア リモート サポート 55 セキュリティ メンテナンス 56 3.1 セキュリティ構成ガイド 第7章 セキュリティ アラートの設定 本章では、ストレージ システムで発生したアラートを管理者に通知するためのさまざまな方 法を説明します。 次のトピックが含まれます。 l アラートの設定...................................................................................................... 58 セキュリティ アラートの設定 57 セキュリティ アラートの設定 アラートの設定 ストレージ システム アラートは、ストレージ システム上で発生する、ユーザーによる処置が 可能なイベントを管理者に通知します。 アラートの設定(59 ページ)に示すように、ストレ ージ システム イベントがレポートされます。 58 3.1 セキュリティ構成ガイド セキュリティ アラートの設定 表 16 アラートの設定 アラート タイプ 説明 視覚的な通知 ユーザーがインタフェースにログインした際や、アラート条件が発生した際にリアルタイムに、情報ポ ップアップ メッセージが表示されます。 ポップアップには、アラート条件の基本的な情報が示されま す。 詳細情報は、[システム]>[システム アラート]ページで確認できます。 㽷 ストレージ システムの視覚的なアラート通知は構成できません。 メール通知 アラート メッセージの送信先メール アドレスを 1 個以上指定できます。 次の設定を構成できます。 l ストレージ システム アラートの送信先メールアドレス。 l メール通知に必要な重大度レベル(緊急、エラー、情報)。 㽷 ストレージ アラート メール通知が動作するためには、ストレージ システムでターゲット SMTP サーバ ーを構成する必要があります。 SNMP トラップ 指定されたホスト(トラップ送信先)にアラート情報を転送します。この送信先は、ストレージ ネットワ ーク システムによって生成されるアラート情報のリポジトリとして機能します。 SNMP トラップは Unisphere で構成できます。 以下の項目を設定します。 l ネットワーク SNMP トラップ送信先の IP アドレス l トラップ送信先がトラップを受信するポート番号 l トラップ データ転送のオプションのセキュリティ設定 n 認証プロトコル: SNMP トラップに使用されるハッシュ アルゴリズム(SHA または MD5) n プライバシー プロトコル: SNMP トラップに使用される暗号化アルゴリズム(DES、AES、 AES192、または AES256) 詳細については、Unisphere オンライン ヘルプを参照してください。 ConnectEMC (物理環境のみ) 製品の問題点の診断に役立つように、EMC に自動的にアラート通知を送信します。 㽷 ConnectEMC 通知が動作するためには、ストレージ システムでターゲット SMTP サーバーを構成する 必要があります。 この機能は、実装環境によっては使用できない場合があります。 ESRS(EMC Secure Remote Support) (物理環境のみ) ESRS は、IP ベースの接続を提供します。これにより、EMC サポートがストレージ システムからエラー ファイルとアラート メッセージを受け取り、リモートでトラブルシューティングを実行できるため、問題 を迅速かつ効果的に解決できるようになります。 㽷 OE(オペレーティング環境)バージョン 3.0 以降で使用できます。 ESRS が動作するためには、ストレ ージ システムで ESRS を有効化する必要があります。 この機能は、実装環境によっては使用できな い場合があります。 アラート設定の構成 ストレージ システムからのメール通知と SNMP トラップについて、ストレージ システム アラ ート設定を構成できます。 アラート設定の構成 59 セキュリティ アラートの設定 メール通知のアラート設定の構成 Unisphere を使用して、以下を実行します。 手順 1. [設定]>[その他の構成]>[アラートの設定]の順にクリックします。 2. [メール アラート]のセクションで、アラート メール メッセージが生成される重大度レベル を次のいずれかに構成します。 l 重大 l エラー以上 l 警告以上 l 通知以上 l 情報以上 㽷 ストレージ システム アラート メール メカニズムを使用するには、ストレージ システムでタ ーゲット SMTP サーバーを構成する必要があります。 SNMP トラップのアラート設定の構成 Unisphere を使用して、以下を実行します。 手順 1. [設定]>[その他の構成]>[アラートの設定]の順にクリックします。 2. [アラートの設定]のセクションで、SNMP トラップが生成される重大度レベルを次のいず れかに構成します。 60 3.1 セキュリティ構成ガイド l 重大 l エラー以上 l 警告以上 l 通知以上 l 情報以上 第8章 その他のセキュリティ設定 本章では、ストレージ システムの安全な運用を確実に行うためのその他の情報を説明しま す。 次のトピックが含まれます。 l l 物理的セキュリティ統制.........................................................................................62 ウイルス対策保護................................................................................................. 62 その他のセキュリティ設定 61 その他のセキュリティ設定 物理的セキュリティ統制 ストレージ システムが存在する場所は、ストレージ システムの物理的なセキュリティが確保 されるように選択および変更する必要があります。 たとえば、十分なドアとロックを用意する こと、システムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼 性の高い電源を使用すること、標準的な配線のベスト プラクティスに従うことなど、基本的 な対策を行います。 さらに、次のストレージ システム コンポーネントについては、特別の配慮が必要です。 l パスワード リセット ボタン: ストレージ システムのデフォルトの管理者アカウントとサー ビス アカウントの両方について、管理者がパスワードをリセットするまで、一時的に出荷 時のデフォルト パスワードにリセットします。 l SP Ethernet サービス ポート コネクタ: SP Ethernet サービス ポート接続を介して認証さ れたアクセスを許可します。 ウイルス対策保護 ストレージ システムは、CAVA(Common AntiVirus Agent)をサポートしています。 EE(Event Enabler)4.9.3.0 のコンポーネントである CAVA は、ストレージ システムを使用するクライア ントにウイルス対策ソリューションを提供します。 Microsoft Windows Server 環境で業界標 準の CIFS プロトコルを使用します。 CAVA は、サード パーティのウイルス対策ソフトを使用 して、ストレージ システムのファイルに感染する前に既知のウイルスを識別して排除しま す。 CAVA インストーラーを含む EE インストーラーと、EE のリリース ノートは、EMC オンライ ン サポート用 Web サイトで入手できます([ダウンロード] > [VNXe 製品サポート])。 62 3.1 セキュリティ構成ガイド 付録 A SSL/TSL 暗号スイート この付録では、ストレージ システムでサポートされている SSL/TSL 暗号スイートのリストを 示します。 次のトピックが含まれます。 l サポートされている SSL/TSL 暗号スイート..............................................................64 SSL/TSL 暗号スイート 63 SSL/TSL 暗号スイート サポートされている SSL/TSL 暗号スイート 暗号スイートでは、SSL/TLS 通信をセキュリティで保護するための一連のテクノロジーを定 義します。 l 鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントからサーバに 伝達される仕組み)。 例: RSA 鍵または DH(Diffie-Hellman) l 認証方法(ホストでリモート ホストの ID を認証する仕組み)。 例: RSA 証明書、DSS 証 明書、認証なし l 暗号化サイファ(データを暗号化する仕組み)。 例: AES(256 または 128 ビット)、RC4 (128 または 56 ビット)、3DES(168 ビット)、DES(56 または 40 ビット)、NULL 暗号化 l ハッシュ アルゴリズム(データの変更を特定する手段を提供し、データの整合性を確保 する仕組み)。 例: SHA-1 または MD5 サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。 次のリストは、ストレージ システムおよび関連ポートの SSL または TLS 暗号スイートの OpenSSL 名を示しています。 表 17 ストレージ システムでサポートされるデフォルト/サポート対象 SSL/TSL 暗号スイート 64 暗号スイート プロトコル ポート AES128-GCM-SHA256 TLSv1.2 443 AES256-GCM-SHA384 TLSv1.2 443 AES256-SHA TLSv1、TLSv1.1、TLSv1.2 443 AES128-SHA TLSv1、TLSv1.1、TLSv1.2 443 AES128-SHA256 TLSv1.2 443 AES256-SHA256 TLSv1.2 443 CAMELLIA128-SHA TLSv1、TLSv1.1、TLSv1.2 443 CAMELLIA256-SHA TLSv1、TLSv1.1、TLSv1.2 443 DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 443 DHE-RSA-AES128-GCM-SHA256 TLSv1.2 443 DHE-RSA-AES256-GCM-SHA384 TLSv1.2 443 DHE-RSA-AES128-SHA TLSv1、TLSv1.1、TLSv1.2 443 DHE-RSA-AES256-SHA TLSv1、TLSv1.1、TLSv1.2 443 DHE-RSA-AES128-SHA256 TLSv1.2 443 DHE-RSA-AES256-SHA256 TLSv1.2 443 DHE-RSA-CAMELLIA256-SHA TLSv1、TLSv1.1、TLSv1.2 443 DHE-RSA-CAMELLIA128-SHA TLSv1、TLSv1.1、TLSv1.2 443 ECDHE-RSA-AES128-SHA TLSv1、TLSv1.1、TLSv1.2 443 ECDHE-RSA-AES256-SHA TLSv1、TLSv1.1、TLSv1.2 443 ECDHE-RSA-AES128-SHA256 TLSv1.2 443 3.1 セキュリティ構成ガイド SSL/TSL 暗号スイート 表 17 ストレージ システムでサポートされるデフォルト/サポート対象 SSL/TSL 暗号スイート (続き) 暗号スイート プロトコル ポート ECDHE-RSA-AES256-SHA384 TLSv1.2 443 ECDHE-RSA-DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 443 EDH-RSA-DES-CBC3-SHA TLSv1、TLSv1.1、TLSv1.2 443 RSA-AES128-SHA256 TLSv1.2 443 RSA-AES256-SHA256 TLSv1.2 443 AES128-SHA SSLv3(非 FIPS モードのみ)、TLSv1、TLSv1.1、TLSv1.2 5989 AES256-SHA SSLv3(非 FIPS モードのみ)、TLSv1、TLSv1.1、TLSv1.2 5989 DES-CBC3-SHA SSLv3(非 FIPS モードのみ)、TLSv1、TLSv1.1、TLSv1.2 5989 サポートされている SSL/TSL 暗号スイート 65 SSL/TSL 暗号スイート 66 3.1 セキュリティ構成ガイド