EMC® VNXe® Series 3.1 セキュリティ構成ガイド

by user

on 28 марта 2017

Category: Documents

>> Downloads: 2

views

Report

Comments

Description

Download EMC® VNXe® Series 3.1 セキュリティ構成ガイド

Transcript

EMC® VNXe® Series 3.1 セキュリティ構成ガイド

EMC® VNXe® Series
バージョン 3.1
セキュリティ構成ガイド
302-000-198 REV 04
Copyright © 2014-2015 EMC Corporation. All rights reserved.（不許複製・禁無断転載）
2015 年 7 月発行
EMC Corporation は、この資料に記載される情報が、発行日時点で正確であるとみなしています。この情報は予告なく変更される
ことがあります。
この資料に記載される情報は、「現状有姿」の条件で提供されています。EMC Corporation は、この資料に記載される情報に関す
る、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示の保証はいたし
ません。
EMC²、EMC、および EMC ロゴは、米国およびその他の国における EMC Corporation の登録商標または商標です。他のすべての
名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
ご使用の製品に関する規制等についての最新情報は、EMC オンラインサポート（https://support.emc.com）を参照してください。
EMC ジャパン株式会社
〒 151-0053 東京都渋谷区代々木 2-1-1新宿マインズタワー
http://japan.emc.com
お問い合わせは
http://japan.emc.com/contact
2
3.1 セキュリティ構成ガイド
目次
第1章
5
概要
概要................................................................................................................ 6
関連ドキュメント...............................................................................................6
第2章
7
アクセス制御
アクセス方法................................................................................................... 8
ストレージシステムの出荷時におけるデフォルトの管理アカウントとサービスア
カウント........................................................................................................... 9
ストレージシステムアカウントの管理............................................................ 10
Unisphere..................................................................................................... 10
Unisphere CLI（コマンドラインインターフェイス）............................................. 12
ストレージサービス SSH インターフェイス...................................................... 13
ストレージシステム SP Ethernet サービスポートと IPMItool........................... 14
SMI-S Provider.............................................................................................. 14
vSphere Storage API for Storage Awareness のサポート.................................15
Unisphere Central によるシングルサインオン............................................... 16
シングルサインオンのプロセスフロー............................................. 17
ローカルストレージシステムへのログイン........................................ 18
シングルサインオンと NAT サポート.................................................19
ファイルシステムオブジェクトに対するセキュリティ........................................ 19
マルチプロトコル環境のファイルシステムアクセス........................................ 19
ユーザーマッピング......................................................................... 20
NFS、CIFS、FTP のアクセスポリシー.................................................. 20
ファイルレベルセキュリティの認証情報........................................... 21
第3章
25
ロギング
ロギング........................................................................................................ 26
リモートログオプション..................................................................................27
第4章
29
通信セキュリティ
ポートの使用.................................................................................................30
ストレージシステムのネットワークポート.......................................... 30
ストレージシステムが接続するポート............................................... 37
ストレージシステム証明書............................................................................ 41
DHCP を使用した管理インターフェイスの構成................................................ 42
ストレージシステムへの IP アドレスの自動割り当て..........................42
インターネットプロトコルバージョン 6 をサポートするストレージシステムのイン
ターフェイス、サービス、機能......................................................................... 43
IPv6 を使用したストレージシステム管理インターフェイスへのアクセス........... 45
Connection Utility の実行..............................................................................46
CIFS 暗号化...................................................................................................46
第5章
49
データセキュリティ設定
データセキュリティ設定................................................................................. 50
3.1 セキュリティ構成ガイド
3
目次
第6章
セキュリティメンテナンス
53
安全な保守................................................................................................... 54
ライセンス更新................................................................................. 54
ソフトウェアのアップグレード............................................................. 54
ストレージシステムの EMC セキュアリモートサポート................................... 55
第7章
セキュリティアラートの設定
57
アラートの設定.............................................................................................. 58
アラート設定の構成..........................................................................59
第8章
その他のセキュリティ設定
61
物理的セキュリティ統制.................................................................................62
ウイルス対策保護......................................................................................... 62
付録 A
SSL/TSL 暗号スイート
63
サポートされている SSL/TSL 暗号スイート......................................................64
4
3.1 セキュリティ構成ガイド
第1章
概要
本章では、ストレージシステムに実装されている各種セキュリティ機能について簡単に説明
します。
次のトピックが含まれます。
l
l
概要........................................................................................................................ 6
関連ドキュメント.......................................................................................................6
概要
5
概要
概要
ストレージシステムでは、さまざまなセキュリティ機能を利用することで、ユーザーアクセス
とネットワークアクセスの制御、システムアクセスとシステム使用の監視、ストレージデータ
の転送などを行うことができます。この文書では、使用可能なセキュリティ機能について説
明します。
この文書は、ストレージシステム構成と操作に携わる管理者を対象にしています。
このガイドでは、「セキュリティ設定カテゴリー（6 ページ）」に示されているカテゴリー内の
セキュリティ設定について説明します。
表 1 セキュリティ設定カテゴリー
セキュリティカテゴリー説明
アクセス制御
ハードウェア、ソフトウェア、製品の特定の機能を保護するための、エン
ドユーザーまたはその他のエンティティによるアクセスの制限。
ログ
イベントログの管理。
通信セキュリティ
製品ネットワーク通信の保護。
データセキュリティ
製品データの保護。
保守性
製造業者またはそのサービスパートナーによって実施される製品サー
ビスオペレーションの制御維持。
アラートシステム
セキュリティ関連のイベントについて生成されるアラートおよび通知の管
理。
その他のセキュリティ設
定
物理的なセキュリティなど、前述のセクションのどれにも該当しないセキ
ュリティ設定。
関連ドキュメント
具体的な構成方法は、VNXe のドキュメントに記載されています。VNXe のドキュメントは
EMC オンラインサポートの Web サイト www.emc.com/vnxesupport から入手できます。こ
のガイドでは、関連情報として次のドキュメントを引用しています。
6
l
VNXe ハードウェアのインストール
l
Unisphere for VNXe Online Help（Unisphere for VNXe オンラインヘルプ）
l
CIFS ファイルシステムでの VNXe システムの使用
l
NFS ファイルシステムでの VNXe システムの使用
l
FC（ファイバーチャネル）LUN または iSCSI LUN での VNXe システムの使用
l
VMware NFS または VMware VMFS での VNXe の使用
l
VNXe CLI ユーザーガイド
l
VNXe 向けの EMC セキュアリモートサポートの要件および構成に関するテクニカルノ
ート
l
VNXe 用 SMI-S Provider プログラマ向けガイド
3.1 セキュリティ構成ガイド
第2章
アクセス制御
本章では、ストレージシステムに実装されている各種アクセス制御機能について説明しま
す。
次のトピックが含まれます。
l
l
l
l
l
l
l
l
l
l
l
l
アクセス方法........................................................................................................... 8
ストレージシステムの出荷時におけるデフォルトの管理アカウントとサービスアカウン
ト.............................................................................................................................9
ストレージシステムアカウントの管理.................................................................... 10
Unisphere............................................................................................................. 10
Unisphere CLI（コマンドラインインターフェイス）..................................................... 12
ストレージサービス SSH インターフェイス...............................................................13
ストレージシステム SP Ethernet サービスポートと IPMItool................................... 14
SMI-S Provider...................................................................................................... 14
vSphere Storage API for Storage Awareness のサポート......................................... 15
Unisphere Central によるシングルサインオン....................................................... 16
ファイルシステムオブジェクトに対するセキュリティ................................................ 19
マルチプロトコル環境のファイルシステムアクセス................................................ 19
アクセス制御
7
アクセス制御
アクセス方法
ストレージシステムでは、アクセス方法（8 ページ）に示す各種アクセス方法がサポート
されています。
表 2 アクセス方法
タイプ
説明
管理アカウント
これらのアカウントには、ストレージシステムとそのストレージリソースに関連する管理タスクと監視タスクを実行
する権限があります（ローカルユーザーの役割と権限（11 ページ）を参照してください）。パスワードは、ストレ
ージシステム管理インターフェイスで管理および作成し、次のどちらの管理インターフェイスのアクセスにも使用
できます。
l
Unisphere®：
n
l
Unisphere CLI：
n
サービスアカウン
ト
HTTPS 経由でアクセスする Web ベースのグラフィカルインターフェイスであり、ストレージシステムスト
レージおよびシステム設定の構成、管理、監視のためのツールが含まれます。
Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンドラインインターフェイスです。
このアカウントは、特別なサービス機能を実行します。 1 つのアカウントで、SSH または各 SP（ストレージプロセ
ッサ）の Ethernet サービスポート接続を使用してサービスインターフェイスへのアクセスを提供します。ストレー
ジシステムサービスインターフェイスには、次のものが含まれます。
l
Unisphere（管理アカウントを使用してサービスパスワードを入力すると、次のアクションを実行できる
Unisphere サービスページにアクセスできます）：
n
システムサービス情報の収集（システムレベル）：システムに関する情報を収集し、ファイルに保存しま
す。サービス担当者は、収集された情報を使用してシステムを分析できます。
n
構成の保存（システムレベル）：ストレージシステムの構成設定の詳細をファイルに保存します。重大な
システム障害またはシステム再初期化の後に、サービスプロバイダーがこのファイルを使用してシステ
ムの再構成を支援することができます。
n
リスタート管理ソフトウェア（システムレベル）：管理ソフトウェアをリスタートして、システムと Unisphere
の接続に関する問題を解決します。
n
システムの再初期化（システムレベル）：ストレージシステムを元の出荷時設定にリセットします。両方
の SP（ストレージプロセッサ）がインストールされ、正常に稼働しており、サービスモードになっていない
と、このアクションは実行できません。
㽷
サービスモードとは、メンテナンスとトラブルシューティングを目的とする、動作が制限されたモードです。
このモードになっているストレージシステムのインターフェイスは、Unisphere の一部のインターフェイス
と、問題を切り分けて解決できる特定の CLI インターフェイスに制限されます。
8
n
システムサービスパスワードの変更：［サービスシステム］ページにアクセスするためのサービスパス
ワードを変更します。
n
システムのシャットダウン（システムレベル）：システムシャットダウンおよび電源の入れ直しの処理手順
を実行すると、再起動またはストレージプロセッサの再イメージ化によって解決できなかったストレージ
システムの問題が解決されます。
n
SSH の有効化（システムレベル）：SSH（セキュアシェル）プロトコルを有効にして、システムへの SSH ア
クセスを提供します。 SSH クライアントを使用すると、管理者または保守サービスプロバイダーがシステ
ムに接続して、高度なシステムメンテナンスを実行できます。
3.1 セキュリティ構成ガイド
アクセス制御
表 2 アクセス方法（続き）
タイプ
説明
l
n
サービスモードへ切替（SP レベル）：サービスモードへ切り替えると、サービスアクションを安全に実行
できるように SP の I/O が停止されます。
n
再起動（SP レベル）：選択した SP（ストレージプロセッサ）を再起動します。このサービスアクションは、
システムソフトウェアまたは SP ハードウェアコンポーネントに関連する軽微な問題の解決を試みるとき
に実行します。また、サービスモードになっている正常稼働の SP を再起動して、通常モードに戻しま
す。
n
再イメージ化（SP レベル）：選択した SP を再イメージ化します。再イメージ化によって、SP のシステムソ
フトウェアが分析され、問題が自動的に解決されます。
Unisphere CLI：
n
l
SSH サービススクリプトインターフェイス：
n
l
Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンドラインインターフェイスです。
SSH クライアントを通じてアクセスできるコマンドラインインターフェイスであり、ストレージシステムの問
題の診断、トラブルシューティング、および解決のための、サービス固有の機能を利用できます。
SP Ethernet サービスポートインターフェイス：
n
各 SP の Ethernet サービスポートインターフェイスを介してアクセスしている場合を除き、SSH サービス
インターフェイスと同じ診断機能とトラブルシューティング機能が提供されます。このポートは、直接接続
ポート（Serial over LAN）としてのみ使用してください。詳細については、ストレージシステム SP Ethernet
サービスポートと IPMItool（14 ページ）を参照してください。
ストレージシステムの出荷時におけるデフォルトの管理アカウントと
サービスアカウント
ストレージシステムは、ストレージシステムに初めてアクセスして構成する際に使用できる
ように、デフォルトのユーザーアカウント設定が行われた状態で出荷されます。「出荷時に
おけるデフォルトのユーザーアカウント設定（9 ページ）」を参照してください。
表 3 出荷時におけるデフォルトのユーザーアカウント設定
アカウントタイプユーザー
名
パスワード
権限
管理（Unisphere）
admin
Password123# デフォルトパスワードのリセット、システム設定
の構成、ユーザーアカウントの作成、ストレージ
の割り当てを行うための管理者権限。
サービス
service
service
保守作業の実行。
㽷
初期構成プロセスでは、デフォルトの管理者とサービスアカウントのパスワードを変更する
必要があります。
ストレージシステムの出荷時におけるデフォルトの管理アカウントとサービスアカウント
9
アクセス制御
ストレージシステムアカウントの管理
アカウントの管理方法（10 ページ）に、ストレージシステムアカウントの管理方法を示しま
す。
表 4 アカウントの管理方法
アカウントの役割
説明
管理
ストレージシステムの初期システム構成プロセスが完了すると、Unisphere または Unisphere CLI からス
トレージシステムアカウントを管理することができます。ストレージシステムのローカルアカウントのパス
ワード設定の作成、変更、削除、またはリセットを行えるほか、アカウントを使用するユーザーに提供され
る権限を決定する役割をアカウントに割り当てることや変更することができます。
サービス
ストレージシステムサービスアカウントの作成または削除を行うことはできません。サービスアカウント
のパスワードは、Unisphere サービスページから［サービスパスワードの変更］機能を使用してリセッ
トできます。
㽷
ストレージシステムの出荷時のデフォルトアカウントパスワードは、ストレージシステムの
シャーシにあるパスワードリセットボタンを押してリセットできます。詳細については、
「Unisphere オンラインヘルプ」を参照してください。
Unisphere
Unisphere へのアクセスの認証は、ユーザー（ローカルまたは LDAP）アカウントの認証情報
に基づいて実行されます。ユーザーアカウントの作成とそれ以降の管理は、Unisphere の
管理ページで行います。 Unisphere に適用される許可は、ユーザーアカウントに関連づけ
られた役割に基づいています。
認証
ユーザーが Unisphere UI コンテンツを管理ワークステーションにダウンロードするには、ユ
ーザーがストレージシステム上で認証用の認証情報を入力し、セッションを確立する必要
があります。ユーザーがストレージシステムのネットワークアドレスを Web ブラウザーに
URL として指定すると、ログインページが表示され、ローカルユーザーとして認証するか
LDAP ディレクトリサーバーを通じて認証するかを選択できます。ユーザーが入力する認証
情報が認証され、認証が成功すると、ストレージシステム上で UI 管理セッションが確立さ
れます。続いて、ユーザーの管理ワークステーションに Unisphere UI がダウンロードされて
開始されます。それ以降、ユーザーは自分に割り当てられた役割でできる範囲内でストレ
ージシステムの監視と管理を行うことができます。
LDAP
LDAP（Lightweight Directory Access Protocol）は、TCP/IP ネットワーク上で実行されるディレ
クトリサービスを照会するためのアプリケーションプロトコルです。 LDAP は、ネットワーク全
域にわたるユーザーとグループの一元管理を支援することにより、ネットワークの許可操作
を一元管理できるようにします。システムを既存の LDAP 環境に統合すると、Unisphere CLI
または Unisphere を介したシステムへのユーザーアクセスとユーザーグループアクセスを
制御できるようになります。
システムの LDAP 設定を構成したら、確立された LDAP ディレクトリ構造のコンテキスト内
で、ユーザーとユーザーグループを管理することができます。たとえば、既存のユーザーと
グループに基づいて、Unisphere CLI へのアクセスパーミッションを割り当てることができま
10
3.1 セキュリティ構成ガイド
アクセス制御
す。システムで LDAP 設定を使用する目的は、Unisphere CLI と Unisphere へのアクセス制
御を容易にするためであり、ストレージリソースへのアクセスは目的に含まれません。
セッション規則
Unisphere セッションには次の特徴があります。
l
有効期限は 1 時間
l
セッションタイムアウトは構成できない
l
認証時にセッション ID が生成され、各セッションが継続する間、この ID が使用されま
す。
パスワードの使用
Unisphere アカウントのユーザー名とパスワードは、「Unisphere アカウントの要件（11 ペ
ージ）」に示す要件を満たす必要があります。
表 5 Unisphere アカウントの要件
制限
パスワードの要件
文字の最小数
8
大文字の最小数
1
小文字の最小数
1
数字の最小数
1
特殊文字の最小数
1
l
サポートされる特殊文字：
n
!,@#$%^*_~?
40
文字の最大数
㽷
アカウントのパスワードは、Unisphere で［システムの構成］＞［その他の構成］＞［管理］の
順にクリックして変更できます。パスワードを変更するときは、直近 3 個のパスワードは再
使用できません。詳細については、「Unisphere オンラインヘルプ」を参照してください。
許可
ローカルユーザーの役割と権限（11 ページ）に、ストレージシステムローカルユーザー
に割り当てることができる役割と、それらの役割に関連づけられる権限を示します。さらに、
これらの役割を LDAP ユーザーやグループに割り当てることができます。
表 6 ローカルユーザーの役割と権限
タスク
演算子
ストレージ管理
者
管理者
自身のローカルログインパスワードの変更
x
x
x
仮想マシン管理者
x
ホストの追加
ストレージの変更
x
x
ストレージの削除
x
x
ストレージリソース（仮想ディスク、共有、ストレージグル
ープなど）にストレージオブジェクトを追加する
x
x
Unisphere
11
アクセス制御
表 6 ローカルユーザーの役割と権限（続き）
タスク
演算子
ストレージ管理
者
管理者
ストレージ構成とステータスの表示
x
x
x
x
x
ストレージシステムのユーザーアカウントのリストを表示
する
x
ストレージシステムのユーザーアカウントの追加、削
除、変更を行う
現在のソフトウェアまたはライセンスのステータスの表示
x
x
x
ソフトウェアまたはライセンスのアップグレード
x
初期構成の実行
x
ストレージサーバ構成の変更
x
システム設定の変更
x
ネットワーク設定の変更
x
x
管理インタフェース言語の変更
仮想マシン管理者
x
x
vCenter とストレージシステムの間の VASA 接続を確立
する
x
仮想マシン管理者の役割の場合、vCenter とストレージシステムの間で接続が一度確立さ
れると、vCenter ユーザーは、当該の vCenter とその VMware ESX サーバーのストレージ構
成とステータスのサブセットを表示できるようになります。 vCenter ユーザーが表示できるの
は、vCenter アクセス制御メカニズムで許可される情報のみです。
㽷
アカウントの役割は、Unisphere で［システムの構成］＞［その他の構成］＞［管理］の順にク
リックして変更できます。詳細については、「Unisphere オンラインヘルプ」を参照してくださ
い。
NAT サポート
NAT は Unisphere からストレージシステムへのローカルログインはサポートしていません。
Unisphere CLI（コマンドラインインターフェイス）
Unisphere CLI は、Unisphere で使用できる同じ機能を提供するコマンドラインインターフェ
イスです。
Unisphere CLI を実行するためには、専用のストレージシステムコマンドラインソフトウェア
が必要です。このソフトウェアは、EMC オンラインサポート用 Web サイト（http://
www.emc.com/vnxesupport）からダウンロードできます。
セッション規則
Unisphere CLI クライアントでは、セッションはサポートされません。アカウントのユーザー名
とパスワードを指定するには、発行するコマンドごとにコマンドライン構文に従う必要があり
ます。
Unisphere CLI の -saveuser コマンドを使用して、特定のアカウントのアクセス認証情報
（ユーザー名とパスワード）をファイルに保存できます。このファイルは、Unisphere CLI がイ
12
3.1 セキュリティ構成ガイド
アクセス制御
ンストールされているホストのローカルに存在する安全なロックボックスに配置されます。保
存されているデータは、保存したユーザーが保存先のホスト上でのみ使用できます。アクセ
ス認証情報を保存した後、コマンドを実行するたびに、CLI によってそれらの情報が、指定さ
れたストレージシステムのデスティネーションとポートに自動的に適用されます。
パスワードの使用
Unisphere CLI に対する認証は、Unisphere で作成と管理が行われる管理アカウントに従っ
て行われます。現在のログインアカウントに関連づけられている役割に基づき、Unisphere
に適用される同じ権限が個々のコマンドに適用されます。
設定の保存
Unisphere CLI を実行するホストに次の設定を保存できます。
l
アクセスする各システムに対するユーザーアクセス認証情報（ユーザー名やパスワー
ドなど）。
l
システムからインポートした SSL 証明書。
l
Unisphere CLI を使用してアクセスするデフォルトシステムに関する情報（システム名ま
たは IP アドレスやシステムポート番号など）。
これらの設定は、Unisphere CLI により、Unisphere CLI がインストールされているホスト上の
安全なローカルロックボックスに保存されます。保存されているデータは、保存したユーザ
ーが保存先のホスト上でのみ使用できます。ロックボックスは次の場所にあります。
l
Windows XP: C:\Documents and Settings\<account_name>\Local
Settings\ApplicationData\EMC\UEM CLI\
l
Windows 7 と Windows 8： C :\Users\${user_name}\AppData\Local\.EMC
\UEM CLI\
l
UNIX/Linux の場合： <home_directory>/EMC/UEM CLI
config.xml ファイルと config.key ファイルを探します。Unisphere CLI をアンインストールして
も、これらのディレクトリとファイルは削除されないため、そのまま保持することができます。
これらのファイルが不要になった場合は、削除できます。
ストレージサービス SSH インターフェイス
ストレージサービス SSH サービスインターフェイスには、Unisphere サービスページ（［設
定］＞［サービスシステム］）で使用できる機能と関連/重複する機能を実行するためのコマ
ンドラインインターフェイスが付属しています。
サービスアカウントを使用して、ユーザーは次の機能を実行できます。
l
ストレージシステムの設定とオペレーションを監視およびトラブルシューティングするた
めにストレージシステムサービスコマンドを実行する。
l
権限のない Linux ユーザーアカウントのメンバーとして、標準的な Linux コマンドを使
用する。このアカウントには、専用のシステムファイル、構成ファイル、ユーザー/顧客
データなどに対するアクセス権はありません。
セッション
ストレージシステム SSH サービスインタフェースセッションは、SSH クライアントによって確
立された設定に基づいて維持されます。セッションの特性は、SSH クライアント構成設定に
よって決まります。
パスワードの使用
サービスアカウントは、基本的な Linux コマンドを実行するためにサービス担当者が使用で
きるアカウントです。
ストレージシステムサービスインターフェイスのデフォルトのパスワードは service です。ス
トレージシステムの初期構成を行う際には、デフォルトのサービスパスワードを変更する必
ストレージサービス SSH インターフェイス
13
アクセス制御
要があります。パスワードへの制限事項は、Unisphere 管理アカウントに適用される制限
事項と同じです（パスワードの使用（11 ページ）を参照）。ストレージシステムサービスアカ
ウントのパスワード設定管理に使用されるストレージシステムサービスコマンド
svc_service_password については、「VNXe サービスコマンド」を参照してください。
許可
「サービスアカウントの権限定義（14 ページ）」に示すように、サービスアカウントの権限
は 2 つの方法で定義されます。
表 7 サービスアカウントの権限定義
許可タイプ
説明
Linux ファイルシステム権限
サービスアカウントを使用してストレージシステムに対して実行できるタスクと実行できないタスク
のほとんどは、ファイルシステム権限によって定義されます。たとえば、何らかの方法でシステム
動作を変更するほとんどの Linux ツールおよびユーティリティは、スーパーユーザーのアカウント
権限を必要とします。サービスアカウントにはこれらの権限がないため、サービスアカウントで
は、実行に必要なアクセス権限がない Linux のツールやユーティリティの使用や、読み取りや変
更に root アクセスを必要とする構成ファイルの編集はできません。
ACL（アクセスコントロールリスト）ストレージシステムの ACL メカニズムは非常に特殊なルールリストを使用して、サービスアカウ
ントによるシステムリソースへのアクセス権を明示的に付与または拒否します。標準の Linux ファ
イルシステム権限によって定義されない、ストレージシステムの他の領域に対するサービスアカ
ウント権限は、これらの規則によって指定されます。
ストレージシステムのサービスコマンド
ストレージシステムの OE（オペレーティング環境）には、問題診断、システム構成、およびシ
ステムリカバリに使用される一連のコマンドがインストールされています。これらのコマンド
を使用すると、Unisphere を使用した場合よりも、さらに詳しい情報を収集し、より深いレベ
ルのシステム制御を行うことができます。これらのコマンドとその一般的なユースケースに
ついては、テクニカルノートドキュメント「VNXe サービスコマンド」で説明しています。
ストレージシステム SP Ethernet サービスポートと IPMItool
オペレーティング環境 3.0 以降を実行するストレージシステムは、各 SP の Ethernet サービ
スポートを介したコンソールアクセスを提供します。このアクセスには、IPMItool を使用す
る必要があります。 IPMItool は、SSH や telnet に似たネットワークツールであり、IPMI プロ
トコルを使用して、Ethernet 接続を介した各 SP とのインターフェイスを確立します。 IPMItool
は、ストレージシステムの SP コンソールにアクセスするための安全な通信チャネルをネゴ
シエートする Windows ユーティリティです。このユーティリティでは、コンソールをアクティブ
化するためにログイン認証情報と IP アドレスが要求されます。 IPMItool の詳細について
は、「IPMItool ユーザーガイドテクニカルノート」を参照してください。
SP Ethernet サービスポートインターフェイスでは、サービス SSH インターフェイスと同じ機
能が提供され、同じ制限が適用されます。相違点は、ユーザーがインターフェイスにアクセ
スするために、SSH クライアントではなく Ethernet ポート接続を使用することです。
サービスコマンドの一覧については、「VNXe サービスコマンドテクニカルノート」を参照してく
ださい。
SMI-S Provider
SMI-S Provider は、セキュリティに関して変更は一切加えません。 SMI-S クライアントは、
HTTPS ポート 5989 を通じてストレージシステムに接続します。ユーザーのログインは、
Unisphere UI または CLI のユーザーの場合と同じです。 UI および CLI のユーザーに適用さ
14
3.1 セキュリティ構成ガイド
アクセス制御
れるすべてのセキュリティルールが SMI-S 接続にも適用されます。 Unisphere UI および
CLI のユーザーは、SMI-S インターフェイスを使用して認証を実行できます。 SMI-S インター
フェイス用に別個のユーザーは定義されません。認証が完了すると、SMI-S クライアントに
は、Unisphere UI および CLI のユーザーに対して定義された権限と同じ権限が設定されま
す。このサービスの構成方法の詳細については、「VNXe 用 SMI-S Provider プログラマ向けガ
イド」を参照してください。
vSphere Storage API for Storage Awareness のサポート
VASA（vStorage API for Storage Awareness）は、VMware が定義した、特定のベンダーに依
存しないストレージ認識 API です。これは、モニタリングにのみ使用される独自の SOAP ベ
ースの Web インターフェイスであり、Unisphere クライアントではなく VMware クライアントに
よって使用されます。 VASA は、レポートインターフェイス専用であり、仮想環境に公開され
るストレージシステムとストレージデバイスに関する基本的な情報をリクエストするために
使用されます。これらは、vSphere を使用した日常のプロビジョニング、監視、およびトラブ
ルシューティングを促進するために使用されます。 VASA VP（ベンダープロバイダー）は、ス
トレージシステムのアクティブな SP（ストレージプロセッサ）上で実行されます。 vSphere ユ
ーザーは、この VP インスタンスを各ストレージシステムの VASA 情報のプロバイダーとして
構成する必要があります。 SP で障害が発生すると、関連するプロセスが VASA VP とともに
ピアー SP でリスタートします。 IP アドレスは自動的にフェイルオーバーします。内部的に
は、新しくアクティブになった VP からの構成の変更イベントをプロトコルが取得したときに、
障害が認識されますが、これによってユーザー介入を必要とせずに VASA オブジェクトの自
動再同期化が実行されます。
VASA に関連する認証
vCenter から Unisphere VP への接続を開始するには、vSphere クライアントを使用して次の
3 つの情報を入力する必要があります。
l
次の形式で VP の URL を指定します。
n
l
l
https://<管理 IP アドレス>:5989/vasa/services/vasaServices
Unisphere ユーザーのユーザー名（役割は仮想マシン管理者または管理者）：
n
ローカルユーザーの場合は次の構文を使用します。 local/<ユーザー名>
n
LDAP ユーザーの場合は次の構文を使用します。 <ドメイン>/<ユーザー名>
そのユーザーに関連づけられているパスワード
㽷
仮想マシン管理者の役割は読み取り専用の役割であるため、この役割を使用することを推
奨します。
ここで使用される Unisphere 認証情報は、この接続の最初のステップ中にのみ使用されま
す。 Unisphere 認証情報がターゲットのストレージシステムに対して有効な場合、vCenter
Server の証明書が自動的にストレージシステムに登録されます。この証明書は、vCenter
からの後続のすべてのリクエストを認証するために使用されます。この証明書を VP にイン
ストールまたはアップロードするために手動の操作は必要ありません。この証明書が期限
切れになった場合、新しいセッションをサポートするために vCenter で新しい証明書を登録
する必要があります。証明書がユーザーによって取り消された場合、セッションは無効化さ
れ、接続は切断されます。
vCenter セッション、安全な接続と認証情報
vCenter セッションは、vSphere 管理者が vSphere クライアントを使用して、VASA VP URL と
ログイン認証情報を vCenter Server に入力したときに開始されます。 vCenter Server は、こ
の URL、認証情報、VASA VP の SSL 証明書を使用して、VP との安全な接続を確立します。
vCenter セッションは、管理者が vSphere クライアントを使用して、vCenter の構成から VP を
削除し、vCenter Server が接続を終了したときに終了します。
vSphere Storage API for Storage Awareness のサポート
15
アクセス制御
vCenter セッションは、vCenter Server と VP の間のセキュア HTTPS 通信を基にしています。
VASA アーキテクチャでは、SSL 証明書と VASA セッション ID を使用して安全な接続をサポ
ートします。 vCenter Server と VP の両方が他方の証明書を自身の信頼ストアに追加しま
す。
VASA VP は、次の情報を vCenter に提供します。
l
ストレージの可視性：プロパティの変更を内部的に検出し、更新情報を vCenter に送信
します
l
稼働状態と容量に関するアラーム：稼働状態の変更を内部的に監視し、次のような容
量に関する閾値を超えた場合には適切なアラームを vCenter に対して発行します。
n
アレイ、SP、I/O ポート、LUN、ファイルシステムの稼働状態
n
これらのいずれかのオブジェクトの稼働状態が変更された場合にはクラスレベルの
変更を表示
n
LUN およびファイルシステムに関するスペース容量アラーム
l
VASA ストレージ機能：ストレージ容量の変化を内部的に監視し、更新された容量のレ
ポートを vCenter に送信します
l
Storage DRS との統合： vSphere は、VASA プロバイダーから内部的に取得した情報を
基にして、さまざまなストレージ DRS ワークフロー向けにビジネスロジックのフィードを
提供します
Unisphere Central によるシングルサインオン
Unisphere Central に追加されたシングルサインオン機能により、OE（オペレーティング環
境）バージョン 3.1 以降を実行するよう構成された、複数のストレージシステムに対する認
証サービスが提供されます。この機能により、ユーザーが各システムに対する再認証を求
められることなく、ユーザーによる各システムへの簡単なログイン方法が提供されます。
Unisphere Central は、シングルサインオンを容易にする一元管理された認証サーバーで
す。この機能を使用すると、ユーザーは次のことが可能になります。
l
ログイン認証情報を再度提供せずに、Unisphere Central にログインし、ストレージシス
テム上の Unisphere を選択して起動する。
l
ログイン認証情報を再度提供せずに、あるストレージシステムにログインし、その後に
ログインする他のストレージシステムを選択する。
Unisphere Central は、管理しているストレージシステムのステータス情報をリクエストする
クエリーを定期的に実行します。このコンテキストで実行するリクエストに関連づけられる
ID は、Unisphere Central SSL/X.509 証明書です。この証明書は、Unisphere Central が管
理するように構成されている各ストレージシステムインスタンスが信頼している Unisphere
Central Certificate Authority によって署名されています。
さらに、この機能ではシングルサインオフも可能になります。つまり、Unisphere Central を
ログオフするとき、関連したすべての 3.1 ストレージシステムセッションを一度にログオフし
ます。
要件
このシングルサインオン機能を使用するには、次の要件があります。
16
l
Unisphere Central バージョン 4.0 以降を使用する必要があります。
l
同じ AD/LDAP ディレクトリに対して認証を行うように、Unisphere Central サーバーとスト
レージシステムの両方を構成する必要があります。
l
LDAP ユーザーが Unisphere の役割に直接マップされているか、ストレージシステムと
Unisphere Central の両方で Unisphere の役割にマップする AD/LDAP グループのメン
バーでなければなりません。
3.1 セキュリティ構成ガイド
アクセス制御
l
各ストレージシステムが OE バージョン 3.1 以降を実行していて、シングルサインオン
が有効に設定されている必要があります。
l
ユーザーは LDAP ユーザーとしてログインする必要があります。
㽷
これらの要件を満たしていない場合、ユーザーは個別のシステムにローカルユーザーとし
てログインし、認証情報を提供して該当のシステムにアクセスする必要があります。
シングルサインオンを有効にするには、管理者またはストレージ管理者権限が必要です。
オペレーターまたは VM 管理者権限を持つユーザーがシングルサインオンを有効にするこ
とはできません。シングルサインオンを有効にするには、次の uemcli コマンドを使用しま
す。
Uemcli -d <［IP アドレス］> -u <［ユーザー名］> -p <［パスワード］> /sys/ur set
-ssoEnabled yes
この機能が有効になるよう構成されている各ストレージシステムは、一元管理された認証
サーバーのクライアントになることができ、シングルサインオン環境に参加できます。この
コマンドの詳細については、「Unisphere CLI ユーザーガイド」を参照してください。
考慮事項と制約事項
サポートされている Web ブラウザは次のとおりです。
l
Google Chrome バージョン 33 以降
l
Microsoft Internet Explorer バージョン 10 以降
l
Mozilla Firefox バージョン 28 以降
l
Apple Safari バージョン 6 以降
Web クライアントと一元管理された認証サーバー間のユーザーセッションタイムアウトは
45 分です。
Web クライアントとストレージシステム間のアプリケーションセッションタイムアウトは 1 時
間です。
シングルサインオンのプロセスフロー
次のシーケンスは、Unisphere Central に関連づけられたシングルサインオンに関する認
証プロセスフローを表します。
Unisphere Central を介したストレージシステムへのアクセス
1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、Unisphere Central の
ネットワークアドレスを URL として指定します。
2. ブラウザーが Web サーバーによって、ローカル Unisphere Central のログイン URL にリ
ダイレクトされ、ユーザーに対してログインスクリーンが表示されます。
3. ユーザーが LDAP ログイン認証情報を入力および送信します。ユーザー名は<LDAP
DOMAIN>/username の形式です。
4. セッショントークンが設定され、ブラウザーがシステムによって、指定された元の URL に
リダイレクトされます。
5. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere Central がインスタンス
化されます。
6. 次に、ユーザーが Unisphere を介して、監視する特定のストレージシステムに移動しま
す。
7. ユーザーがストレージシステムのネットワークアドレスをクリックします。
8. ストレージシステムの URL で新しいブラウザーウィンドウが作成されます。
シングルサインオンのプロセスフロー
17
アクセス制御
9. ユーザーがすでに認証済みの Unisphere Central 認証サーバーに、ブラウザーがリダ
イレクトされます。
10. ブラウザーが Unisphere ダウンロードページにリダイレクトされ、新しいサービスチケッ
トを使用してストレージシステムとのセッションが確立されます。
11. Unisphere がダウンロードされて、インスタンス化されます。
12. ユーザーがストレージシステムの管理/モニタリングを開始します。
Unisphere Central に関連づけられたストレージシステムへのアクセス
1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、ストレージシステムの
ネットワークアドレスを URL として指定します。
2. ブラウザーがローカル Unisphere Central のログインサービスにリダイレクトされ、ユー
ザーに対してログインスクリーンが表示されます。
3. ユーザーが LDAP ログイン認証情報を入力および送信します。ユーザー名は<LDAP
DOMAIN>/username の形式です。
4. セッショントークンは Cookie として設定され、ブラウザーがシステムによって、指定され
た元の URL にリダイレクトされます。
5. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere がインスタンス化され
ます。
6. 次に、ユーザーが Web ブラウザーの別のウィンドウまたはタブを開き、別のストレージ
システムのネットワークアドレスを URL として指定します。
7. ユーザーがすでに認証済みの Unisphere Central 認証サーバーに、ブラウザーがリダ
イレクトされます。新しいサービスチケットが取得されます。
8. ブラウザーが Unisphere ダウンロードページにリダイレクトされ、新しいサービスチケッ
トを使用して 2 個目のストレージシステムとのセッションを確立します。
9. 2 個目のストレージシステムの Unisphere がダウンロードされて、インスタンス化されま
す。
10. ユーザーが 2 個目のストレージシステムの管理/モニタリングを開始します。
Unisphere Central を介したアクティブな管理
1. ユーザーが管理ワークステーションで Web ブラウザーを起動し、Unisphere Central の
ネットワークアドレスを URL として指定します。
2. ブラウザーが Web サーバーによって、Unisphere Central のローカルログイン URL にリ
ダイレクトされます。
3. ユーザーに対してログインスクリーンが表示されます。
4. ユーザーが LDAP ログイン認証情報を入力および送信します。ユーザー名は<LDAP
DOMAIN>/username の形式です。
5. セッショントークンが設定され、ブラウザーがシステムによって、指定された元の URL に
リダイレクトされます。
6. ブラウザーが Unisphere コンテンツをダウンロードし、Unisphere Central がインスタンス
化されます。
7. これでユーザーは、Unisphere Central インスタンスによって管理されている 1 つ以上の
ストレージシステムで構成を変更する操作を開始できます。
ローカルストレージシステムへのログイン
ローカルアカウントを使用する場合、または Unisphere Central 認証サーバーに接続されて
いない場合、Unisphere Central 経由でログインするのではなく、システムに常駐する認証
サーバーを使用してローカルストレージシステムにログインできます。ストレージシステム
でログインするには、次の 2 つの方法があります。
18
3.1 セキュリティ構成ガイド
アクセス制御
l
l
ブラウザーが Unisphere Central 認証サーバーにリダイレクトされると、ユーザーがシス
テムに再度リダイレクトされ、ローカルでログインできるオプションがあります。
Unisphere Central にアクセスできない場合、次の URL 構文を使ってシステムの参照ま
たはアクセスを行い、ローカルでログインできます。 https://<
［storagesystemIP］>?casHome=LOCAL
ここで、［storagesystemIP］はストレージシステムの IP アドレスです。
シングルサインオンと NAT サポート
シングルサインオンは NAT 構成をサポートしていません。また、NAT は Unisphere からス
トレージシステムへのローカルログインはサポートしていません。
ファイルシステムオブジェクトに対するセキュリティ
マルチプロトコル環境では、ストレージシステムはセキュリティポリシーを使用して、NFS と
CIFS との間のアクセス制御セマンティックの違いを解決する方法を特定します。
UNIX セキュリティモデル
UNIX のアクセス権は、ファイルシステムオブジェクトのモードビットと呼ばれます。モードビ
ットはビット文字列で表され、文字列の各ビットは、ファイルを所有するユーザー、ファイル
システムオブジェクトに関連づけられているグループ、その他のすべてのユーザーに許可
されているアクセスモードまたは権限を表します。 UNIX のモードビットは、ユーザーのカテ
ゴリー（ユーザー、グループ、その他）ごとに連結された 3 文字 rwx（読み取り、書き込み、
実行）の 3 個のセットとして表されます。
Windows セキュリティモデル
Windows セキュリティモデルは、SD（セキュリティディスクリプター）および ACL（アクセス制
御リスト）の使用を含み、主にオブジェクト権限単位に基づきます。
ファイルシステムオブジェクトへのアクセスは、権限がセキュリティディスクリプターを使用
して許可または拒否に設定されているかどうかにより異なります。 SD は、オブジェクトの所
有者とグループ SID、その ACL を記述します。 ACL は、各オブジェクトのセキュリティディス
クリプタの一部です。各 ACL には、ACE（アクセスコントロールエントリー）が含まれます。
各 ACE には、ユーザー、グループ、コンピューターを示す単一 SID、その SID で拒否または
許可されている権限のリストが含まれます。
マルチプロトコル環境のファイルシステムアクセス
ファイルアクセスは NAS サーバーを使用して提供されます。 NAS サーバーには、データが
格納される一連のファイルシステムが含まれます。 NAS サーバーでは、CIFS 共有および
NFS 共有（NFS エクスポートとも呼ばれる）を使用してファイルシステムをエクスポートするこ
とによって、NFS、CIFS、FTP ファイルプロトコルのこのデータへのアクセスを提供します。マ
ルチプロトコル共有の NAS サーバーモードでは、CIFS と NFS 間の同じデータの共有が可
能です。マルチプロトコル共有モードではファイルシステムへの同時 CIFS および NFS アク
セスを提供するため、Windows ユーザーの UNIX ユーザーへのマッピング、使用するセキ
ュリティルール（モードビット、ACL、ユーザー資格情報）の定義を検討し、マルチプロトコル
共有用に適切に構成する必要があります。
㽷
マルチプロトコル共有、ユーザーマッピング、アクセスポリシー、ユーザー資格情報に関す
る NAS サーバーの構成および管理については、Unisphere オンラインヘルプ、および
「Unisphere CLI ユーザーガイド」を参考にしてください。
シングルサインオンと NAT サポート
19
アクセス制御
ユーザーマッピング
マルチプロトコルコンテキストで、Windows ユーザーを UNIX ユーザーに一致させる必要が
あります。その逆も同様です。このため、ファイルシステムセキュリティは、プロトコルのネイ
ティブでない場合でも適用できます。ユーザーマッピングには次のコンポーネントが必要で
す。
l
UNIX ディレクトリサービス
l
Windows リゾルバー
l
Secmap
l
NTXMAP
UNIX ディレクトリサービス
UDS（UNIX ディレクトリサービス）を使用して、ユーザーマッピングの次の情報を決定しま
す。
l
UID（ユーザー識別子）の場合、対応する UNIX アカウント名を返します。
l
UNIX アカウント名の場合、対応する UID およびプライマリ GID（グループ識別子）を返し
ます。
サポートされるサービスとは、次のとおりです。
l
LDAP
l
NIS
NAS サーバーごとにアクティブな UDS が一度に多くても 1 個あります。マルチプロトコル共
有が有効な場合、1 個の UDS が有効になっている必要があります。使用する UDS は、
NAS サーバーの unix-directory-service プロパティによって決まります。
Windows リゾルバー
Windows リゾルバーを使用して、ユーザーマッピングの次の情報を決定します。
l
SID（セキュリティ識別子）の場合、対応する Windows アカウント名を返す
l
Windows アカウント名の場合、対応する SID を返す
Windows リゾルバーは次のとおりです。
l
ドメインの DC（ドメインコントローラー）
l
CIFS サーバーの LGDB（ローカルグループデータベース）
Secmap
Secmap の機能は、すべての SID から UID/プライマリ GID、UID から SID のマッピングを格
納し、NAS サーバーのすべてのファイルシステムで一貫性を保ちます
NTXMAP
名前が異なる場合、NTXMAP を使用して、Windows アカウントを UNIX アカウントに関連づ
けます。たとえば、Windows 上で Gerald というアカウントを持つユーザーが、UNIX 上のア
カウントでは Gerry という場合、NTXMAP を使用して両者間の関連づけを作成します。
NFS、CIFS、FTP のアクセスポリシー
マルチプロトコル環境では、ストレージシステムがファイルシステムのアクセスポリシーを
使用して、そのファイルシステムのユーザーアクセス制御を管理します。 UNIX と Windows
の 2 種類のセキュリティがあります。
UNIX セキュリティ認証の場合、認証情報は UDS（UNIX ディレクトリサービス）から作成され
ます。ユーザー権限はモードビットから判断されます。ユーザーおよびグループの識別子
（それぞれ、UID、GID）が ID に使用されます。 UNIX セキュリティに関連づいた権限はありま
せん。
20
3.1 セキュリティ構成ガイド
アクセス制御
Windows セキュリティ認証の場合、認証情報は Windows の DC（ドメインコントローラー）お
よび CIFS サーバーの LGDB（ローカルグループデータベース）から作成されます。ユーザ
ー権限は CIFS ACL から判断されます。 SID（セキュリティ識別子）は ID に使用されます。
CIFS サーバーの LGDB によって許可される、Windows セキュリティに関連づいた、所有権
の取得、バックアップ、リストアなどの権限があります。
どのプロトコルでどのようなセキュリティを使用するかを定義する、次の 3 種類のアクセス
ポリシーがあります。
l
UNIX：UNIX セキュリティを NFS と CIFS の両方に使用
l
Windows：Windows セキュリティを NFS と CIFS の両方に使用
l
ネイティブ：プロトコルに対してネイティブのセキュリティを使用、NFS の場合は UNIX、
CIFS の場合は Windows
UNIX アクセスポリシーでは、すべてのプロトコルに対して UNIX 認証情報を使用し、すべて
のプロトコルに対してモードビットしか使えないようにする UNIX セキュリティを使用して、フ
ァイルレベルのアクセスのセキュリティを保護します。 CIFS アクセスのためにファイルレベ
ルのプロトコルリクエストを処理するとき、有効な UDS から作成された UNIX 認証情報を使
用してモードビットをチェックします。次に、モードビットに基づいてアクセスが許可または
拒否されます。 Windows ACL は、CIFS を使用したユーザーアクセスの場合でも無視されま
す。
Windows アクセスポリシーは、Windows セキュリティを使用して、ファイルレベルのアクセ
スのセキュリティを保護します。このポリシーでは、すべてのプロトコルに対して Windows
認証情報を使用し、すべてのプロトコルに対して CIFS ACL しか使えないようにします。 NFS
アクセスのためにファイルレベルのプロトコルリクエストを処理するとき、DC と LGDB から
作成された Windows 認証情報を使用して CIFS ACL をチェックします。次に、CIFS ACL に基
づいてアクセスが許可または拒否されます。 UNIX のモードビットは、NFS を使用したユー
ザーアクセスの場合でも無視されます。
ネイティブアクセスポリシーでは、NFS プロトコルの場合は UNIX 認証情報を、CIFS プロトコ
ルの場合は Windows 認証情報を使用し、さらに NFS にはモードビットのみを、CIFS には
CIFS ACL のみを使用するネイティブセキュリティを使用して、ファイルレベルのアクセスの
セキュリティを保護します。ファイルレベルの NFS リクエストを処理するとき、リクエストに関
連づけられた UNIX 認証情報を使用してモードビットをチェックします。次に、アクセスが許
可または拒否されます。ファイルレベルの CIFS リクエストを処理するとき、リクエストに関
連づけられた Windows 認証情報を使用して CIFS ACL をチェックします。次に、アクセスが
許可または拒否されます。モードビットと CIFS DACL（任意のアクセスリスト）間で同期は行
われません。それぞれ独立しています。
FTP では、Windows または UNIX での認証は使用されているユーザー名の形式に依存しま
す。 Windows 認証が使用されている場合、FTP アクセス制御は CIFS の場合と似ています。
それ以外は NFS の場合と似ています。 FTP と SFTP クライアントは、SP（ストレージプロセッ
サ）のサーバーに接続すると認証されます。 CIFS 認証（ユーザー名の形式が domain\user
か user@domain）または UNIX 認証（他のユーザー名の形式）の場合があります。 CIFS 認
証は、VDM で定義されたドメインの Windows DC で保証されています。 UNIX 認証は、リモ
ート LDAP サーバー、リモート NIS サーバー、VDM のローカルパスワードファイルのいずれ
かに格納された暗号化されたパスワードによって DM で保証されています。
ファイルレベルセキュリティの認証情報
ファイルレベルのセキュリティを適用するには、処理されている CIFS または NFS リクエスト
に関連づけられた認証情報をストレージシステムで作成する必要があります。 Windows と
UNIX の 2 種類の認証情報があります。ほとんどの場合、Windows と UNIX の認証情報は
NAS サーバーで作成されます。ただし、次のような例外があります。
l
Kerberos を使用した CIFS 接続の Windows 認証情報の作成。
l
拡張認証情報が無効な場合の NFS リクエストの UNIX 認証情報の作成。
永続認証情報キャッシュは次のために使用されます。
ファイルレベルセキュリティの認証情報
21
アクセス制御
l
NFS をとおしてアクセスするために作成された Windows 認証情報。
l
拡張認証情報オプションが有効な場合に NFS をとおしてアクセスするために作成され
た UNIX 認証情報。
NAS サーバーごとにキャッシュインスタンスが 1 個あります。
マッピング解除されたユーザーへのアクセスの許可
マルチプロトコルは、次の要件を満たす必要があります。
l
Windows ユーザーが UNIX ユーザーにマップされていること。
l
Windows アクセスポリシーを持つファイルシステムにユーザーがアクセスしているとき
に Windows 認証情報を作成するため、UNIX ユーザーが Windows ユーザーにマップさ
れていること。
ストレージシステム OE バージョン 3.1 では、次の 2 個の新しいプロパティが NAS サーバー
に関連づけられます。
l
デフォルト UNIX ユーザー。
l
デフォルト Windows ユーザー。
Windows ユーザーがマップされていない場合、デフォルト UNIX ユーザーの UID（ユーザー
識別子）およびプライマリ GID（グループ識別子）が Windows 認証情報で使用されます。同
様に、UNIX ユーザーがマップされていない場合、デフォルト Windows ユーザーの
Windows 認証情報が使用されます。
㽷
デフォルトの UNIX ユーザーが UDS（UNIX ディレクトリサービス）で設定されていない場合、
CIFS アクセスが拒否されます。デフォルトの Windows ユーザーが Windows DC または
LGDB に見つからない場合、Windows アクセスポリシーを持つファイルシステム上の NFS
アクセスが拒否されます。
NFS リクエストの UNIX 認証情報
UNIX 認証情報は常に各リクエストに組み込まれますが、認証情報は追加グループが 16
個に制限されます。 NAS サーバーの extended-unix-cred プロパティにより、16 個を超える
グループを使用して認証情報を作成する機能が提供されます。このプロパティを設定した
場合、プライマリ GID およびそれに属するすべてのグループ GID を取得するためにアクティ
ブな UDS が UID でクエリーされます。 UID が UDS に見つからない場合、リクエストに組み
込まれた UNIX 認証情報が使用されます。
CIFS リクエストの UNIX 認証情報
接続するには、セッション構成時に CIFS ユーザー用の Windows 認証情報を最初に作成す
る必要があります。ユーザーの UID は Windows 認証情報に含まれます。 UNIX アクセス
ポリシーでファイルシステムにアクセスする場合、NFS の拡張認証情報を作成するのと同
様に、UNIX 認証情報の作成で UDS をクエリーするときにユーザーの UID が使用されま
す。
CIFS リクエストの Windows 認証情報
ユーザーが接続するときは、セッション構成リクエスト時に一度だけ、CIFS の Windows 認
証情報を作成する必要があります。
NTLM の使用時とは異なり、Kerberos 認証の使用時、ユーザーの認証情報がセッション構
成リクエストの Kerberos チケットに含まれます。 Windows DC または LGDB から他の情報
がクエリーされます。 Kerberos の場合、追加グループ SID のリストが Kerberos チケットから
取得され、追加ローカルグループ SID のリストと権限のリストが LGDB から取得されます。
NTLM の場合、追加グループ SID のリストが Windows DC から取得され、追加ローカルグ
ループ SID のリストと権限のリストが LGDB から取得されます。
22
3.1 セキュリティ構成ガイド
アクセス制御
さらに、対応する UID もユーザーマッピングコンポーネントから取得されます。プライマリ
グループ SID はアクセスチェックには使用しないため、UNIX プライマリ GID が代わりに使
用されます。
NFS リクエストの Windows 認証情報
ユーザーが Windows アクセスポリシーを持つファイルシステムにアクセスしているときは、
Windows 認証情報が作成され、取得されるだけです。 UID が NFS リクエストから抽出され
ます。関連づけられた保存期間内に各 NFS リクエストで認証情報が作成されないようにす
るため、グローバルな Windows 認証情報のキャッシュがあります。 Windows 認証情報が
このキャッシュに見つかった場合、他のアクションは必要ありません。認証情報が見つから
ない場合、ユーザーマッピングコンポーネントを使用して、UID の SID へのマッピングを行
います。マッピングが見つかった場合、Windows DC または LGDB から認証情報が取得さ
れます。マッピングが見つからない場合、デフォルト Windows ユーザーの Windows 認証
情報が代わりに使用されるか、アクセスが拒否されます。
ファイルレベルセキュリティの認証情報
23
アクセス制御
24
3.1 セキュリティ構成ガイド
第3章
ロギング
本章では、ストレージシステムに実装されている各種ログ機能について説明します。
次のトピックが含まれます。
l
l
ロギング................................................................................................................ 26
リモートログオプション..........................................................................................27
ロギング
25
ロギング
ロギング
ストレージシステムでは、システム上で発生するイベントを追跡するために次のタイプのロ
グが維持されます。「ログ（26 ページ）」を参照してください。
表 8 ログ
ログタイプ
説明
システムログ
ユーザーによる処置が可能なストレージシステムイベントを通知するために Unisphere に表示される情報。これら
の情報は、システムに指定されているデフォルトの言語設定に応じてローカライズされます。「ユーザーによる処置
が可能な」イベントには監査イベントも含まれます。ログに記録されたイベントがすべて GUI に表示されるわけではあ
りません。重大度の閾値を満たしていない監査ログエントリーは、ログには記録されますが GUI には表示されませ
ん。
システムアラ
ート
ストレージシステムのステータスまたは動作の診断または監視のためにサービス担当者によって使用される情報。
これらの情報は英語でのみ記録されます。
ログの表示と管理
ストレージシステムで使用できるロギング機能を以下に示します。「ログイン機能（26 ペ
ージ）」を参照してください。
表 9 ロギング機能
機能
説明
ログのロールオーバー
ストレージシステムログシステムに記録されたログが 200 万エントリーに達すると、ログの記録時間
が最も古い 50 万エントリーがパージされ、150 万ログエントリーに戻ります。リモートログを有効にす
るとログエントリーのアーカイブを行えます。これにより、ログエントリーをリモートネットワークノード
にアップロードし、そのノード上でアーカイブやバックアップが行えるようになります。詳細については、
「ロギング（26 ページ）」セクションを参照してください。
ログレベル
ストレージシステムのログレベルは構成できません。「ロギング（26 ページ）」セクションで説明してい
るように、ログレベルはエクスポートされたログファイルでのみ構成できます。
アラートの統合
ストレージシステムのアラート情報は次の方法で表示できます。
l
アラートのみの表示：
n
l
Unisphere で、［システム］＞［システムアラート］の順に選択します。
すべてのログイベントの表示：
n
Unisphere CLI を使用し、cemcli list event コマンドを入力します。
外部ログの管理
リモートログを有効にするとログエントリーのアーカイブを行えます。これにより、ログエントリーをリモ
ートネットワークノードにアップロードし、そのノード上でアーカイブやバックアップが行えるようになりま
す。リモートノードでは、システムログなどのツールを使用し、ログ結果のフィルタや分析を行うことが
できます。詳細については、「ロギング（26 ページ）」セクションを参照してください。
時間の同期化
ログ時間は GMT 形式で記録され、ストレージシステム時間（NTP サーバーを介してローカルネットワ
ーク時間に同期化可能）に従って維持されます。
26
3.1 セキュリティ構成ガイド
ロギング
リモートログオプション
ストレージシステムは、リモートネットワークアドレスへのユーザー/監査メッセージのログ
をサポートします。デフォルトでは、ストレージシステムはポート 514 で UDP を使用してロ
グ情報を転送します。次のリモートログ設定は、Unisphere で構成できます。 Unisphere に
ログインし、［設定］＞［管理設定］をクリックし、次に［ネットワーク］タブを選択します。
l
ストレージシステムがリモートログ情報を送信するネットワークの名前またはアドレス
l
送信するユーザーレベルのログメッセージのタイプ。［ファシリティ］フィールドは、ログ
メッセージのタイプを設定するために使用します。［ユーザーレベルのメッセージ］オプ
ションを選択することをお勧めします。
l
ログ転送に使用するポート番号とタイプ（UDP または TCP）
l
ログメッセージ内のテキストの言語設定
ストレージシステムのログメッセージを受信するホストを構成する方法
ストレージシステムに対してリモートログを構成する前に、システムログを実行しているリモ
ートホストを、ストレージシステムからのログメッセージを受信するように構成する必要が
あります。多くのシナリオでは、受信側コンピュータのルートアカウントまたは管理者アカウ
ントにより、リモートシステム上の syslog-ng.conf ファイルを編集して、ログ情報を受信する
ようにリモートシステムログサーバを構成できます。
㽷
リモートシステムログサーバの設定と実行の詳細については、リモートシステムで実行さ
れているオペレーティングシステムのマニュアルを参照してください。
リモートログオプション
27
ロギング
28
3.1 セキュリティ構成ガイド
第4章
通信セキュリティ
本章では、ストレージシステムに実装されている各種通信セキュリティ機能について説明し
ます。
次のトピックが含まれます。
l
l
l
l
l
l
l
ポートの使用......................................................................................................... 30
ストレージシステム証明書.................................................................................... 41
DHCP を使用した管理インターフェイスの構成........................................................ 42
インターネットプロトコルバージョン 6 をサポートするストレージシステムのインターフ
ェイス、サービス、機能.......................................................................................... 43
IPv6 を使用したストレージシステム管理インターフェイスへのアクセス................... 45
Connection Utility の実行......................................................................................46
CIFS 暗号化...........................................................................................................46
通信セキュリティ
29
通信セキュリティ
ポートの使用
Unisphere と CLI インタフェースによる通信は、ポート 443 で HTTPS を使用して行われま
す。ポート 80 で HTTP を使用して Unisphere にアクセスすると、自動的にポート 443 にリダ
イレクトされます。
ストレージシステムのネットワークポート
ストレージシステムのネットワークポート（30 ページ）は、ストレージシステムに存在する
可能性のある各種ネットワークサービス（および対応するポート）の概要をまとめたもので
す。
㽷
ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。
l
111、2049、mountd（NAS、VAAI-NAS）
l
137（NETBIOS Name Service（CIFS））
l
138（NETBIOS Datagram Service（CIFS））
l
445（CIFS）
l
1234（mountd（NFS））
l
2049、4000、4001（NFS）
l
10000～100004（NDMP ファイルのみのバックアップ）
l
12345（usermapper、CIFS）
l
1025:65535（NFS、クォータ）
表 10 ストレージシステムのネットワークポート
30
サービス
プロトコル
ポート
説明
FTP、ConnectEMC
TCP
20
FTP および ConnectEMC を通じた
アラート通知に使用されます。閉じ
ている場合、ConnectEMC は使用
できなくなります。
SFTP
TCP
21
SFTP（FTP over SSH）を介したアラ
ート通知を許可します。 SFTP はク
ライアント/サーバプロトコルです。
ユーザーは SFTP を使用して、ロー
カルサブネット上にあるストレージ
システムでファイル転送を実行でき
ます。送信 FTP 制御接続も提供し
ます。閉じている場合、FTP は使用
できなくなります。
SSH/SSHD、VSI
TCP
22
有効な場合に SSH アクセスを可能
にする。 VSI プラグインにも使用さ
れます。閉じている場合、SSH を
使用した管理接続は使用できなく
なり、VSI プラグインは使用できな
くなります。
3.1 セキュリティ構成ガイド
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
ポート
説明
動的 DNS 更新
TCP/UDP
53
DHCP（Dynamic Host Control
Protocol）と関連して DNS サーバ
ーに DNS クエリを送信するために
使用されます。閉じている場合、
名前解決を使用できなくなります。
DHCP クライアント
UDP
67
初期構成プロセスの間にストレー
ジシステムが DHCP クライアントと
して動作できるようにし、管理イン
ターフェイス情報を自動取得するた
めにクライアント（ストレージシステ
ム）から DHCP サーバーにメッセー
ジを送信するのに使用されます。
また、すでに導入済みのストレージ
システムの管理インターフェイスに
DHCP を構成するのにも使用され
ます。閉じている場合、DHCP を使
用した動的 IP アドレスの割り当て
が行われなくなります。
DHCP クライアント
UDP
68
初期構成プロセスの間にストレー
ジシステムが DHCP クライアントと
して動作できるようにし、管理イン
ターフェイス情報を自動取得するた
めに DHCP サーバーからクライア
ント（ストレージシステム）へのメッ
セージを受信するのに使用されま
す。また、すでに導入済みのストレ
ージシステムの管理インターフェイ
スに DHCP を構成するのにも使用
されます。閉じている場合、DHCP
を使用した動的 IP アドレスの割り
当てが行われなくなります。
HTTP
TCP
80
HTTP トラフィックを Unisphere と
Unisphere CLI にリダイレクトしま
す。閉じている場合、デフォルト
HTTP ポートへの管理トラフィックは
使用できなくなります。
NAS、VAAI-NAS
TCP
111
VMware に NAS データストアを提
供し、VAAI-NAS に使用されます。
閉じている場合、NAS データストア
と VAAI-NAS は使用できなくなりま
す。
111
標準の portmapper または
rpcbind サービスにより開かれた、
補助的なストレージシステムネット
ワークサービスです。このサービ
スを停止することはできません。
定義では、クライアントシステムが
ポートにネットワーク接続されてい
TCP/UDP
Portmapper、
rpcbind（ネットワー
クインフラストラク
チャ）
ストレージシステムのネットワークポート
31
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
ポート
説明
る場合は、ポートに対してクエリー
を実行できます。認証は実行され
ません。
32
NTP
UDP
123
NTP 時間の同期化。閉じている場
合、アレイの時刻が同期されなくな
ります。
DCERPC（DCE リモ
ートプロシージャ
コール）
UDP
135
MicroSoft Client 用の多目的。
NETBIOS Name
Service（CIFS）
UDP
137
NETBIOS Name Service は、ストレ
ージシステム CIFS ファイル共有サ
ービスに関連づけられており、この
機能のコアコンポーネントです
（Windows）。このポートが無効に
なっている場合は、すべての CIFS
関連のサービスが無効になりま
す。
NETBIOS Datagram UDP
Service（CIFS）
138
NETBIOS Datagram Service は、ス
トレージシステム CIFS ファイル共
有サービスに関連づけられてお
り、この機能のコアコンポーネント
です。参照サービスのみ使用され
ます。無効にすると、このポートで
参照機能が無効になります。
NETBIOS セッション TCP
サービス（CIFS）
139
NETBIOS Session Service は、スト
レージシステム CIFS ファイル共有
サービスに関連づけられており、こ
の機能のコアコンポーネントです。
CIFS サービスが有効である場合、
このポートは開かれています。こ
れらは、具体的には古いバージョ
ンの Windows OS（Windows 2000
より前）のために必要です。ストレ
ージシステム CIFS サービスへの
正当なアクセス権を持つクライアン
トは、継続的に動作するために、こ
のポートへのネットワーク接続を必
要とします。
SNMP UNIX
Multiplexer
UDP
199*
SNMP 通信。閉じている場合、
SNMP に依存しているストレージシ
ステムアラートが送信されなくなり
ます。
LDAP
TCP/UDP
389*
セキュリティ保護なしの LDAP クエ
リー。閉じている場合、セキュリテ
ィ保護なしの LDAP 認証クエリーを
使用できなくなります。代わりにセ
3.1 セキュリティ構成ガイド
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
ポート
説明
キュリティ保護された LDAP を構成
できます。
SLP（サービスロケ
ーションプロトコ
ル）
TCP/UDP
427
ストレージシステムにより提供され
る利用可能なサービスをホスト（ま
たはその他のリソース）が検出でき
るようにします。
HTTPS
TCP
443
Unisphere および Unisphere CLI
へのセキュアな HTTP トラフィック。
閉じている場合、アレイと通信でき
なくなります。
㽷
SMI-S の場合、アレイ管理に使用さ
れます。ただし、この目的で使用さ
れるデフォルトのポートは 5989 で
す。
CIFS
TCP
445
CIFS（ドメインコントローラー上）お
よび Windows 2000 以降のクライ
アント用の CIFS 接続ポート。ストレ
ージシステム CIFS サービスへの
正当なアクセス権を持つクライアン
トは、継続的に動作するために、こ
のポートへのネットワーク接続を必
要とします。このポートが無効にな
っている場合は、すべての CIFS 関
連のサービスが無効になります。
ポート 139 も無効になっている場
合は、smb ファイル共有が無効に
なります。
DHCP（IPv6 のみ）
UDP
546
DHCP（v6）クライアント。閉じている
場合、DHCP を使用した動的 IP ア
ドレスの割り当てが行われなくなり
ます。
DHCP（IPv6 のみ）
UDP
547
DHCP（v6）サーバー。閉じている
場合、DHCP を使用した動的 IP ア
ドレスの割り当てが行われなくなり
ます。
LDAPS
TCP/UDP
636*
セキュリティで保護された LDAP ク
エリー。閉じている場合、セキュリ
ティで保護された LDAP 認証を使
用できなくなります。
mountd（NFS）
TCP/UDP
1234
NFS サービス（バージョン 2 と 3）の
コアコンポーネントであり、Control
Station と Data Mover の対話処理
に重要なコンポーネントであるマウ
ントサービスに使用されます。
ストレージシステムのネットワークポート
33
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
ポート
説明
NAS、VAAI-NAS
TCP
2049
VMware に NAS データストアを提
供し、VAAI-NAS に使用されます。
閉じている場合、NAS データストア
と VAAI-NAS は使用できなくなりま
す。
NFS
TCP/UDP
2049
NFS サービスの提供に使用されま
す。
UDI SSH
TCP
2222
デバイス eth*のためにポート 22
からトラフィックをリダイレクトしま
す。
iSCSI
TCP
3260
iSCSI サービスへのアクセスを提供
します。閉じている場合、ファイル
ベースの iSCSI サービスは使用で
きなくなります。
NFS
TCP/UDP
4000
NFS statd サービスの提供に使用
されます。statd は、NFS ファイル
ロックのステータスモニターであ
り、lockd と連動してクラッシュ後の
リカバリ機能を NFS に提供します。
NFS
TCP/UDP
4001
NFS ロックサービスの提供に使用
されます。lockd は NFS ファイルロ
ックデーモンです。このデーモン
は、NFS クライアントからのロックリ
クエストを処理し、statd デーモンと
連携して機能します。
PAX（Portable
Archive
Interchange）（バッ
クアップサービス）
TCP
4658
ネットワークブロッ
クサービス（NBS）
34
3.1 セキュリティ構成ガイド
TCP
5033
l
PAX は、標準的な UNIX テープ
形式で動作する VNXe アーカ
イブプロトコルです。
l
このサービスは、複数の内部
ネットワークインタフェースに
バインドされる必要があり、そ
の結果として外部インタフェー
スにもバインドされます。ただ
し、外部ネットワーク経由の着
信リクエストは拒否されます。
l
PAX の背景情報については、
バックアップについての EMC
の関連マニュアルを参照してく
ださい。このトピックに関する
いくつかのテクニカルモジュー
ルがあり、さまざまなバックア
ップツールについて説明され
ています。
iSCSI に似た（かつ iSCSI よりも前
に発表された）EMC 専用のプロトコ
ル。このポートを開く NBS サービ
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
ポート
説明
スは、コアストレージシステムサ
ービスで、停止することはできませ
ん。外部では、NBS は、スナップシ
ョットおよびレプリケーション制御機
能のために使用されます。
TCP
5080
HTTP は、FileMover およびいくつか
の Control Station と Data Mover
の情報交換で転送メディアとして使
用されます。 FileMover トラフィック
は、ILM 関連ポリシーエンジンで
Data Mover にコマンドを送信する
ために使用されます。ポリシーエ
ンジンは、HTTP ダイジェスト認証方
法を使用して認証されます。 HTTP
転送は、Control Station と Data
Mover の対話処理でも使用される
ので、このサービスを無効にするこ
とはできません。ただし、この処理
では、Data Mover が VNX ファイル
キャビネット内のプライベートネット
ワークを介して Control Station か
らの HTTP リクエストを受け付ける
ことだけが必要です。外部エージ
ェントによる HTTP サービスへのア
クセスはデフォルトで無効になって
います。このポートは、VSI プラグ
インも提供します。閉じている場
合、VSI プラグインは使用できなく
なります。
レプリケーションサ TCP
ービス
5085
レプリケーションサービスと関連づ
けられています
SMI-S/VASA
TCP
5989
SMI-S の場合、アレイ管理に使用
されます。 SMI-S クライアントは、
SMI-S/VASA TCP 5989 HTTPS を使
用してアレイに接続します。このサ
ービスの構成方法の詳細について
は、「VNXe 用 SMI-S Provider プログ
ラマ向けガイド」を参照してくださ
い。 VASA の場合、レポート作成イ
ンターフェイスとしてのみ使用され
ます。 VASA の詳細については、ス
トレージ認識サポートの vSphere
Storage API（15 ページ）を参照して
ください。
VASA
TCP
8443
VASA 1.0 および VASA 2.0 の
VASA ベンダープロバイダー。閉じ
ている場合、VASA プロトコルトラフ
ィックは使用できなくなります（アレ
イ検出、vVOL ライフサイクル）。
HTTP、VSI
ストレージシステムのネットワークポート
35
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
RCP（レプリケーショ TCP
ンサービス）
NDMP
36
TCP
ポート
説明
8888
Replicator により使用されます（セ
カンダリ側）。データをレプリケート
する必要が生じると直ちに
Replicator によって開かれたまま
にされます。サービスが開始され
た後にサービスを停止する方法は
ありません。
l
10000:10004
（IPv4）
l
10000（IPv6）
l
NDMP サーバにサードパーテ
ィソフトウェアをインストールせ
ずに、ネットワークバックアッ
プアプリケーションを介して
NDMP サーバのバックアップと
リカバリを制御できます。スト
レージシステムでは、Data
Mover は NDMP サーバーとし
て機能します。
l
NDMP テープバップアップを
使用しない場合は、NDMP サ
ービスを無効化できます。
l
NDMP サービスは、ユーザー
名/パスワードの組み合わせ
を使用して認証されます。ユ
ーザー名は構成可能です。さ
まざまな環境に合わせてパス
ワードを構成する方法につい
ては、NDMP のドキュメントを
参照してください。
UserMapper、CIFS
TCP
12345
このポートは usermapper サービ
スによって開かれます。ストレージ
システム CIFS サービスと関連づけ
られたコアサービスで、特定の環
境では停止すべきではありませ
ん。これは、Windows 認証情報
（SID ベース）を UNIX ベースの UID
と GID の値にマップするための方
法です。
IWD
社内
60260
IWD 初期構成デーモン。閉じてい
る場合、ネットワーク経由でアレイ
を初期化できなくなります。
NFS、クォータ、
MAC
TCP
1025:65535
3.1 セキュリティ構成ガイド
l
statd：NFS ファイルロックのス
テータスモニターで、lockd と
連動して機能し、NFS にクラッ
シュおよびリカバリ機能を提供
します（NFS は本質的にステー
タス情報を持たないプロトコル
です）。
l
rquotad：rquotad デーモン
は、ファイルシステムをマウン
通信セキュリティ
表 10 ストレージシステムのネットワークポート（続き）
サービス
プロトコル
ポート
説明
トしている NFS クライアントに
対してクォータ情報を提供しま
す。閉じている場合、クォータ
サービスは使用できなくなりま
す。
NAS、VAAI-NAS
TCP
mountd
l
lockd：NFS ファイルロックに使
用されます。 NFS クライアント
からのロック要求を処理し、ス
テータスサービスと連携して
動作します。閉じている場合、
NFS ユーザー向けのロックマ
ネージャーサービスは使用で
きなくなります。
l
MAC：MAC サービスは、
Control Station と Data Mover
の間で使用される専用管理プ
ロトコルです。閉じている場
合、Control Station と Data
Mover 間の MAC 管理は使用
できなくなります。
VMware に NAS データストアを提
供し、VAAI-NAS に使用されます。
閉じている場合、NAS データストア
と VAAI-NAS は使用できなくなりま
す。
㽷
LDAP と LDAPS のポート番号は、ディレクトリサービスを構成するときに Unisphere 内から
上書きできます。デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそ
れを上書きできます。また、SNMP ポート番号は Unisphere の内部から上書きできます。
ストレージシステムが接続するポート
ストレージシステムは、一部の状況、例えば、LDAP サーバーとの通信などで、ネットワーク
クライアントの機能を果たす可能性があります。このような状況では、ストレージシステム
は通信を開始し、ネットワークインフラストラクチャでこれらの接続をサポートする必要があ
ります。ストレージシステムによって開始されるネットワーク接続（38 ページ）に、対応す
るサービスを適切に機能させるために、ストレージシステムがアクセスを許可される必要が
あるポートについての説明が記載されています。これには、Unisphere CLI が含まれます。
ストレージシステムが接続するポート
37
通信セキュリティ
㽷
ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。
l
137（NETBIOS Name Service（CIFS））
l
138（NETBIOS Datagram Service（CIFS））
l
1234（mountd（NFS））
l
2049、4000、4001（NFS）
l
10000:10004（IPv4）または 10000（IPv6）（NDMP ファイルのみのバックアップ）
l
1025:65535（NFS、クォータ）
表 11 ストレージシステムによって開始されるネットワーク接続
38
サービス
プロトコル
ポート
説明
SFTP
TCP
21
SFTP（FTP over SSH）を介したアラート通知
を許可します。 SFTP はクライアント/サー
バプロトコルです。ユーザーは SFTP を使
用して、ローカルサブネット上にあるストレ
ージシステムでファイル転送を実行できま
す。送信 FTP 制御接続も提供します。閉
じている場合、FTP は使用できなくなりま
す。
SSH/SSHD、VSI TCP
22
有効な場合に SSH アクセスを可能にす
る。 VSI プラグインにも使用されます。閉
じている場合、SSH および VSI プラグイン
を使用した管理接続は使用できなくなりま
す。
SMTP
TCP
25
システムによるメールの送信を可能にす
る。閉じている場合、メール通知を使用で
きなくなります。
DNS
UDP
53
DNS クエリー。閉じている場合、名前解決
を使用できなくなります。
DHCP
UDP
67～68
ストレージシステムが DHCP クライアント
として機能することを可能にする。閉じて
いる場合、DHCP を使用した動的 IP アドレ
スの割り当てが行われなくなります。
HTTP
TCP
80
HTTP トラフィックを Unisphere と
Unisphere CLI にリダイレクトします。閉じ
ている場合、デフォルト HTTP ポートへの
管理トラフィックは使用できなくなります。
Kerberos
TCP/UDP
88
送信 Kerberos チケットを提供します。閉
じている場合、Kerberos 認証とこれを使
用するすべてのプロトコル（CIFS、LDAP、
GPO、secNFS など）は使用できなくなりま
す。
Portmapper、
rpcbind（ネット
TCP/UDP
111
標準の portmapper または rpcbind サー
ビスにより開かれた、補助的なストレージ
システムネットワークサービスです。この
3.1 セキュリティ構成ガイド
通信セキュリティ
表 11 ストレージシステムによって開始されるネットワーク接続（続き）
サービス
プロトコル
ポート
ワークインフラ
ストラクチャ）
説明
サービスを停止することはできません。定
義では、クライアントシステムがポートに
ネットワーク接続されている場合は、ポー
トに対してクエリーを実行できます。認証
は実行されません。
NTP
UDP
123
NTP 時間の同期化。閉じている場合、ア
レイの時刻が同期されなくなります。
NETBIOS Name
Service（CIFS）
UDP
137
NETBIOS Name Service は、ストレージシ
ステム CIFS ファイル共有サービスに関連
づけられており、この機能のコアコンポー
ネントです（Windows）。このポートが無効
になっている場合は、すべての CIFS 関連
のサービスが無効になります。
NETBIOS
Datagram
Service（CIFS）
UDP
138
NETBIOS Datagram Service は、ストレージ
システム CIFS ファイル共有サービスに関
連づけられており、この機能のコアコンポ
ーネントです。参照サービスのみ使用さ
れます。無効にすると、このポートで参照
機能が無効になります。
LDAP
TCP
389*
セキュリティ保護なしの LDAP クエリー。
閉じている場合、セキュリティ保護なしの
LDAP 認証クエリーを使用できなくなりま
す。代わりにセキュリティ保護された
LDAP を構成できます。
HTTPS
TCP
443
Unisphere および Unisphere CLI への
HTTPS トラフィック。閉じている場合、アレ
イと通信できなくなります。
Kerberos
TCP/UDP
464
Kerberos パスワードの変更と設定を行い
ます。閉じている場合、CIFS に影響があ
ります。
リモートシステ
ムログ
UDP
514*
Syslog：システムメッセージをリモートホ
ストに記録します。システムが使用するホ
ストポートを構成できます。
LDAPS
TCP
636*
セキュリティで保護された LDAP クエリー。
閉じている場合、セキュリティで保護され
た LDAP 認証を使用できなくなります。
VMware
TCP
843
VMawareness：vSphere と VMware SDK
の通信を可能にします。閉じている場合、
VCenter/ESX 検出は使用できなくなりま
す。
mountd（NFS）
TCP/UDP
1234
NFS サービス（バージョン 2 と 3）のコアコ
ンポーネントであり、Control Station と
Data Mover の対話処理に重要なコンポー
ネントであるマウントサービスに使用され
ます。
ストレージシステムが接続するポート
39
通信セキュリティ
表 11 ストレージシステムによって開始されるネットワーク接続（続き）
40
サービス
プロトコル
ポート
説明
NFS
TCP/UDP
2049
NFS サービスの提供に使用されます。
iSCSI
TCP
3260
iSCSI サービスへのアクセスを提供しま
す。閉じている場合、ファイルベースの
iSCSI サービスは使用できなくなります。
NFS
TCP/UDP
4,000
NFS statd サービスの提供に使用されま
す。statd は、NFS ファイルロックのステー
タスモニターであり、lockd と連動してクラ
ッシュ後のリカバリ機能を NFS に提供しま
す。
NFS
TCP/UDP
4001
NFS ロックサービスの提供に使用されま
す。lockd は NFS ファイルロックデーモン
です。このデーモンは、NFS クライアント
からのロックリクエストを処理し、statd デ
ーモンと連携して機能します。
VSI
TCP
5080
VSI プラグイン閉じている場合、VSI プラ
グインは使用できなくなります。
NDMP
TCP
l
10000:1000
4（IPv4）
l
10000（IPv6）
IWD
社内
60260
NFS、クォータ、
MAC
TCP
1025:65535
3.1 セキュリティ構成ガイド
l
NDMP サーバにサードパーティソフト
ウェアをインストールせずに、ネットワ
ークバックアップアプリケーションを
介して NDMP サーバのバックアップと
リカバリを制御できます。ストレージ
システムでは、Data Mover は NDMP
サーバーとして機能します。
l
NDMP テープバップアップを使用しな
い場合は、NDMP サービスを無効化
できます。
l
NDMP サービスは、ユーザー名/パス
ワードの組み合わせを使用して認証
されます。ユーザー名は構成可能で
す。さまざまな環境に合わせてパス
ワードを構成する方法については、
NDMP のドキュメントを参照してくださ
い。
IWD 初期構成デーモン。閉じている場
合、ネットワーク経由でアレイを初期化で
きなくなります。
l
statd：NFS ファイルロックのステータ
スモニターで、lockd と連動して機能
し、NFS にクラッシュおよびリカバリ機
能を提供します（NFS は本質的にステ
ータス情報を持たないプロトコルで
す）。
l
rquotad：rquotad デーモンは、ファイ
ルシステムをマウントしている NFS ク
ライアントに対してクォータ情報を提
通信セキュリティ
表 11 ストレージシステムによって開始されるネットワーク接続（続き）
サービス
プロトコル
ポート
説明
供します。閉じている場合、クォータ
サービスは使用できなくなります。
l
lockd：NFS ファイルロックに使用され
ます。 NFS クライアントからのロック要
求を処理し、ステータスサービスと連
携して動作します。閉じている場合、
NFS ユーザー向けのロックマネージ
ャーサービスは使用できなくなりま
す。
l
MAC：MAC サービスは、Control
Station と Data Mover の間で使用さ
れる専用管理プロトコルです。閉じて
いる場合、Control Station と Data
Mover 間の MAC 管理は使用できなく
なります。
㽷
LDAP と LDAPS のポート番号は、ディレクトリサービスを構成するときに Unisphere 内から
上書きできます。デフォルトのポート番号が入力ボックスに表示されますが、ユーザーはそ
れを上書きできます。また、リモートシステムログ番号は、内部 Unisphere から上書きでき
ます。
ストレージシステム証明書
ストレージシステムは、初回の初期化の際に自己署名証明書を自動的に生成します。この
証明書は、NVRAM とバックエンド LUN の両方に保存されます。それ以降、クライアントが管
理ポートを介してストレージシステムに接続を試みると、ストレージシステムはこの証明書
をクライアントに提示します。
この証明書は 3 年間有効ですが、有効期限の 1 か月前にストレージシステムが証明書を
再生成します。また、svc_custom_cert サービスコマンドを使用して新しい証明書をアッ
プロードすることもできます。このコマンドを使用すると、指定した SSL 証明書が、
Unisphere 管理インターフェイスで使用できるように PEM 形式でインストールされます。こ
のサービスコマンドの詳細については、「VNXe サービスコマンドテクニカルノート」を参照し
てください。 Unisphere または Unisphere CLI から証明書を表示することはできませんが、
管理ポートへの接続を試みるブラウザークライアントまたは Web ツールからは証明書を表
示できます。
㽷
アレイが FIPS モードであり、証明書がオフアレイで生成された場合は、PEM 形式の証明書
に加えて、プライベートキーを PKCS#1 形式で用意する必要もあります。この変換は、
openssl コマンドを使用して実行できます。 .cer ファイルと.pk ファイルが生成されたら、FIPS
モードのアレイで証明書を使用するときにこの追加のステップが必要になります。
一部の組織では、セキュリティを強化するため、CA 証明書チェーンを使用しています。証明
書チェーンにより、2 個以上の CA 証明書がリンクされます。プライマリ CA 証明書は、CA 証
明書チェーンの終端に位置するルート証明書です。システムでは受信する証明書の信頼
ストレージシステム証明書
41
通信セキュリティ
性の確認に完全な証明書チェーンを必要とするため、証明書チェーンが使用されているか
どうかディレクトリサーバ管理者に確認します。使用されている場合は、関連するすべての
証明書を単一のファイルに連結して、そのバージョンをアップロードする必要があります。
証明書は PEM/Base64 でエンコードされた形式で、サフィックスとして.cer を使用する必要
があります。
DHCP を使用した管理インターフェイスの構成
システムの設置、ケーブル接続、電源の投入が完了した後は、ストレージシステム管理イ
ンターフェイスに IP アドレスを割り当てる必要があります。 DHCP（Dynamic Host Control
Protocol）サーバーと DNS（ドメインネームシステム）サーバーを含む動的なネットワークで
ストレージシステムを実行している場合、管理 IP アドレスを自動的に割り当てることができ
ます。
㽷
ストレージシステムを動的なネットワーク環境で実行していない場合、または手動で固定 IP
アドレスを割り当てる場合は、Connection Utility をインストールして実行する必要がありま
す（Connection Utility の実行（46 ページ）を参照してください）。
適切なネットワーク構成には、使用可能な IP アドレスの範囲、適切なサブネットマスク、ゲ
ートウェイ、ネームサーバアドレスの設定を含める必要があります。 DHCP サーバーおよび
DNS サーバーの設定の詳細については、ご使用のネットワークのマニュアルを参照してくだ
さい。
DHCP は、ネットワーク上のデバイスに動的な IP（インターネットプロトコル）アドレスを割り
当てるためのプロトコルです。 DHCP を使用することで、ストレージシステムを組織のネット
ワークに接続するときに、中央のサーバーで IP（インターネットプロトコル）アドレスを制御
し、新しい一意の IP アドレスを自動的に割り当てることができます。この動的なアドレス指
定では、ソフトウェアが IP アドレスをトラッキングするため、管理者がタスクを管理する必要
がなく、ネットワーク管理が合理化されます。
DNS サーバーは、ドメイン名を IP アドレスに変換する IP ベースのサーバーです。数値の IP
アドレスと比較すると、アルファベットを使用するドメイン名の方が一般に世代管理が容易で
す。 IP ネットワークは IP アドレスに基づいているため、ドメイン名を使用するたびに DNS サ
ーバによって名前を対応する IP アドレスに変換する必要があります。たとえば、
www.Javanet.com というドメイン名は 209.94.128.8 という IP アドレスに変換されます。
ユーザー名、パスワードなどの管理情報は、DHCP/動的 DNS 構成の間に交換されます。
管理 IP 項目（DHCP 環境設定、DNS および NTP のサーバー構成）の構成は、セキュリティ
に関する既存の Unisphere のフレームワーク内に属します。リース有効期限の到来時に新
しい IP アドレスを取得するといった DNS および DHCP のイベントは、ストレージシステムの
監査ログに記録されます。ストレージシステム管理 IP 構成で DHCP を使用しない場合は、
追加のネットワークポートが開かれることはありません。
ストレージシステムへの IP アドレスの自動割り当て
はじめに
ストレージシステム、DHCP サーバー、DNS サーバーの間のネットワーク接続を確認しま
す。
DHCP ネットワークを構成すると、ストレージシステムに IP アドレスを自動的に割り当てるこ
とができます。
手順
1. ストレージシステムの電源をオンにします。
ストレージシステム背面の SP 障害ライトが点灯します（青色に点灯して 3 秒に 1 回ア
ンバーが点滅）。これは、システムが初期化されておらず、管理 IP アドレスが割り当てら
42
3.1 セキュリティ構成ガイド
通信セキュリティ
れていないことを示します。ストレージシステムで実行中の DHCP クライアントソフトウ
ェアからローカルネットワーク上の IP アドレスをリクエストされます。 DHCP サーバーが
ストレージシステムに IP アドレスを動的に割り当て、この情報を DNS サーバーに送信し
ます。ストレージシステム管理 IP がネットワークドメインに登録されます。 IP アドレスの
割り当てが完了し、SP 障害ライトがオフになったら、Unisphere にログインしてストレージ
システムを適切に構成できます。ストレージシステム管理 IP を固定 IP アドレスとして手
動で構成することは、IP を自動割り当てし、SP 障害ライトがオフになった後でも可能で
す。ただし、構成ウィザードの EULA（エンドユーザー使用許諾契約書）を許諾する前で
なければなりません。
2. Web ブラウザーを開き、次の構文を使用して管理インターフェイスにアクセスします
serial_number.domain
各項目の意味は次のとおり。
serial_number は、ご使用のストレージシステムのシリアル番号です。この番号はスト
レージシステムに付属の梱包材に記載されています。
domain は、ストレージシステムが存在するネットワークドメインです。
次に例を挙げます。
FM100000000017.mylab.emc.com
証明書のエラーが表示されたら、ブラウザの指示に従ってエラーを無視します。
3. ストレージシステムにデフォルトのユーザー名（admin）とデフォルトのパスワード
（Password123#）でログインします。
Unisphere を初めて開くと、構成ウィザードが実行され、パスワード、DNS サーバー、
NTP サーバー、ストレージプール、ストレージサーバー設定、ESRS、ConnectEMC 機能
（物理環境のみ）の構成を支援します。
4. DNS（ドメインネームサーバー）パネルが表示されるまで、構成ウィザードに従って進み
ます。
5. DNS（ドメインネームサーバ）パネルで［デフォルトの DNS サーバアドレスを自動的に取
得する］を選択します。
6. ストレージシステムクイックスタートポスターまたはオンラインヘルプに記載された情
報を参照してウィザードを続行します。
インターネットプロトコルバージョン 6 をサポートするストレージシ
ステムのインターフェイス、サービス、機能
さまざまなサービスと機能を構成するために、システムのインターフェイスを構成し、IPv6（イ
ンターネットプロトコルバージョン 6）アドレスを使用することができます。次のリストに、
IPv6 プロトコルがサポートされる機能をまとめています。
l
インターフェイス（SF、iSCSI）：IPv4 または IPv6 のアドレスをインターフェイスに静的に割
り当てます
l
ホスト：ネットワーク名、ホストの IPv4 または IPv6 のアドレスを入力します
l
経路指定：IPv4 または IPv6 のプロトコルの経路指定を構成します
l
診断：IPv4 または IPv6 の宛先アドレスを使用して ping 診断 CLI コマンドを開始しま
す。 Unisphere の［PING 送信先］スクリーンでは、IPv6 の宛先アドレスもサポートされま
す。
IPv4 はすべてのストレージシステムコンポーネントでサポートされます。IPv6 も多くのコン
ポーネントでサポートされます。設定タイプおよびコンポーネント別の IPv6 サポート（44 ペ
ージ）に、設定タイプおよびコンポーネント別に利用可能な IPv6 のサポートを示します。
インターネットプロトコルバージョン 6 をサポートするストレージシステムのインターフェイス、サービス、機能
43
通信セキュリティ
表 12 設定タイプおよびコンポーネント別の IPv6 サポート
設定タイプ
コンポーネント
IPv6 サポート
Unisphere の管理設定
管理用ポート
はい
DNS（ドメインネームサーバ）
はい
NTP（ネットワークタイムプロトコル）
サーバー
はい
リモートログサーバ
はい
Microsoft Exchange
はい
VMware データストア（NFS）
はい
VMware データストア（VMFS）
はい
Hyper-V データストア
はい
SNMP トラップ送信先
はい
SMTP サーバ
はい
EMC の接続（物理環境のみ）
いいえ
ESRS（EMC Secure Remote Support）
（物理環境のみ）
いいえ
iSCSI サーバ
はい
共有フォルダサーバ
はい
Unisphere ホスト構成の設定
Unisphere のアラート設定
ストレージサーバー設定
NIS（Network Information Service）サはい
ーバー（NFS NAS サーバーの場合）
その他
Active Directory サーバー（CIFS NAS
サーバーの場合）
はい
iSNS（Internet Storage Naming
Service）サーバ
はい
PING 送信先
はい
リモートジャーナル
はい
LDAP
はい
IPv6 アドレス標準
IPv6（インターネットプロトコルバージョン 6）は、IETF（Internet Engineering Task Force）によ
って開発された IP（インターネットプロトコル）アドレス標準の 1 つのバージョンであり、現在
ほとんどのインターネットサービスで使用されている IPv4 アドレス標準を補完するととも
に、いずれは置き換えるものです。
IPv4 は 32 ビットの IP アドレスを使用し、約 43 億の使用可能アドレスを提供します。インタ
ーネットのユーザーやインターネット接続デバイスの急激な増加に伴い、使用できる IPv4 ア
ドレス空間が不足しています。 IPv6 では 128 ビットアドレスを使用することで 340 兆個の
IP アドレスが提供されるため、アドレス不足問題が解決されます。 IPv6 は、モビリティ、自動
構成、総合的な拡張性など IPv4 が抱えるその他の問題も解決します。
IPv6 アドレスは、次のように、コロンで区切られた 16 ビットのフィールド 8 個から成る 16 進
数値です。
44
3.1 セキュリティ構成ガイド
通信セキュリティ
hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh
IPv6 アドレスの各桁には 0～9 の数字または A～F の文字を使用できます。
IPv6 標準の詳細については、IETF Web サイト（http://www.ietf.org）で IPv6 標準（RFC
2460）に関する情報を参照してください。
IPv6 を使用したストレージシステム管理インターフェイスへのアク
セス
ストレージシステムで管理接続を設定すると、次のタイプの IP アドレスが許容されるように
システムを構成できます。
l
固定 IPv6（インターネットプロトコルバージョン 6）アドレス、DHCP から取得される IPv4
アドレス、固定 IPv4 アドレス
l
IPv4 アドレスのみ
管理インターフェイスには固定 IPv6 アドレスを割り当てることができます。管理インターフェ
イスの IPv6 アドレスは、手動/固定または無効の 2 つのモードのどちらかに設定できます。
IPv6 を無効化しても、プロトコルはインターフェイスからバインド解除されません。管理イン
ターフェイスに割り当てられたユニキャスト IPv6 アドレスがある場合、無効化コマンドによっ
てそのアドレスが削除され、ストレージシステムは IPv6 でアドレス指定されたリクエストに
応答しなくなります。デフォルトでは IPv6 は無効になっています。
システムの設置、ケーブル接続、電源の投入が完了した後は、ストレージシステム管理イ
ンターフェイスに IP アドレスを割り当てる必要があります。ストレージシステムを動的ネット
ワーク環境で実行していない場合、または手動で固定 IP アドレスを割り当てる場合は、
Connection Utility をダウンロードしてインストールし、実行する必要があります。
Connection Utility の詳細については、Connection Utility の実行（46 ページ）を参照して
ください。
IPv6 を使用した管理インターフェイスからストレージシステムへのインバウンドリクエストは
サポートされます。 IPv4 のみ、IPv6 のみ、IPv4 と IPv6 の混在環境のいずれかで動作する
ようにストレージシステムの管理インターフェイスを構成できます。また、Unisphere UI およ
び CLI（コマンドラインインターフェイス）を使用してストレージシステムを管理できます。
NTP（ネットワークタイムプロトコル）や DNS（ドメインネームシステム）などの送信サービス
では、明示的に IPv6 アドレス指定を使用する方法または DNS 名を使用する方法で IPv6 ア
ドレスをサポートします。 DNS 名が IPv6 と IPv4 のどちらにも解決される場合、ストレージシ
ステムは IPv6 を使用してサーバーと通信します。
管理インターフェイスの管理に使用される CLI コマンドの manage ネットワークインターフェ
イスセットおよび show には、IPv6 に関連する属性が含まれます。これらのネットワークイ
ンターフェイス管理のコマンドの詳細については、「Unisphere CLI ユーザーガイド」を参考に
してください。
IPv6 を使用したストレージシステム管理インターフェイスへのアクセス
45
通信セキュリティ
Connection Utility の実行
㽷
DHCP サーバーと DNS サーバーを含む動的なネットワーク環境でストレージシステムを実
行している場合、Connection Utility を使用する必要はなく、その代わりにストレージシステ
ム管理インターフェイスに動的な IP アドレス（IPv4 のみ）を自動的に割り当てることができま
す（Connection Utility の実行（46 ページ）を参照してください）。ストレージシステムで固定
IP アドレスを使用する場合、特定の IP アドレスを使用するように、Connection Utility を実行
して IP アドレスを手動で構成します。固定割り当てで発生する問題の 1 つは、ミスや不注
意が原因で発生するもので、同じ管理 IP アドレスを使って 2 つのストレージシステムを構
成する場合に発生します。これによって競合が発生し、ネットワーク接続が切断される場合
があります。 DHCP を使用して IP アドレスを動的に割り当てることで、このような競合が最小
限に抑えられます。 IP 割り当てに DHCP を使用するように構成されたストレージシステムで
は、固定割り当ての IP アドレスを使用する必要がありません。
Connection Utility インストールソフトウェアは、EMC オンラインサポート用 Web サイトから
入手できます。ソフトウェアのダウンロード後に、プログラムを Windows ホストにインストー
ルします。ストレージシステムと同じサブネット上にあるコンピューターで Connection Utility
を実行すると、未構成のストレージシステムが自動検出されます。別のサブネット上で
Connection Utility を実行している場合は、構成データを USB ドライブに保存してから、スト
レージシステムに転送できます。 VNXe OE 3.0 以降を実行するストレージシステムの各 SP
にはミニ USB ポートが搭載されているため、USB とミニ USB のコンバーターを使用する必
要があります。コンバーターはストレージシステムに同梱されています。
㽷
両方の SP（ストレージプロセッサ）がサービスモードになっている場合、管理 IP アドレスは
変更できません。
Connection Utility を実行して構成をストレージシステムに転送したら、ストレージ管理イン
ターフェイスに割り当てた IP アドレスを使用して Web ブラウザーからストレージシステムに
接続することができます。
ストレージシステムに初めて接続すると、ストレージシステム構成ウィザードが起動されま
す。構成ウィザードでは、ストレージシステムの初期構成を設定できます。初期構成を設定
したら、ストレージリソース作成作業を開始できます。
CIFS 暗号化
ストレージシステムで SMB 3.0 および Windows 2012 がサポートされることで、CIFS を使
用できるホストに CIFS 暗号化が提供できます。 CIFS 暗号化によって、CIFS ファイル共有上
のデータに安全にアクセスできます。この暗号化により、信頼されないネットワーク上でデ
ータに対するセキュリティが提供されます。つまり、アレイとホストの間で送信される SMB デ
ータがエンドツーエンドで暗号化されます。信頼されないネットワーク上での盗聴/覗き見
の攻撃からデータが保護されます。
CIFS 暗号化は共有ごとに構成できます。共有の暗号化が定義されている場合、すべての
SMB3 クライアントは共有に関するすべてのリクエストを暗号化する必要があります。暗号
化しないと共有へのアクセスが拒否されます。
CIFS 暗号化を有効にするには、CIFS サーバーの追加時に［CIFS 暗号化］オプションを設定
するか、CIFS 共有に対して create コマンドと set コマンドを使用して設定します。また、
46
3.1 セキュリティ構成ガイド
通信セキュリティ
CIFS ファイルシステムの作成時にも［CIFS 暗号化］オプションを設定できます。 SMB クライ
アントで必要な設定はありません。
㽷
CIFS 暗号化の設定の詳細については、Unisphere オンラインヘルプおよび「Unisphere CLI
ユーザーガイド」を参考にしてください。
CIFS 暗号化
47
通信セキュリティ
48
3.1 セキュリティ構成ガイド
第5章
データセキュリティ設定
本章では、サポートされているストレージタイプに対応するストレージシステムで使用可能
なセキュリティ機能を説明します。
次のトピックが含まれます。
l
データセキュリティ設定......................................................................................... 50
データセキュリティ設定
49
データセキュリティ設定
データセキュリティ設定
セキュリティ機能（50 ページ）に、サポートされているストレージシステムストレージタイ
プで使用可能なセキュリティ機能を示します。
㽷
ブロックのみの導入では、次の CIFS および NFS 関連ポートを構成しないでください。
l
445（CIFS）
l
2049（NFS）
表 13 セキュリティ機能
ストレージ
タイプ
ポート
プロトコル
セキュリティ設定
iSCSI ストレ
ージ
3260
TCP
l
Unisphere を介した、iSCSI ホスト（イニシエータ）
レベルのアクセス制御が可能です。これにより、
クライアントはプライマリストレージまたはスナッ
プショット、あるいはこの両方にアクセスできま
す。
l
CHAP 認証がサポートされます。これにより、スト
レージシステム iSCSI サーバー（ターゲット）は、
iSCSI ベースストレージにアクセスする iSCSI ホ
スト（イニシエーター）を認証できます。
l
双方向 CHAP 認証がサポートされます。これに
より、iSCSI ホスト（イニシエーター）はストレージ
システム iSCSI サーバーを認証できます。
l
Active Directory のユーザーアカウントとグルー
プアカウントによって、ドメインアクションと管理
アクションに対する認証が提供されます。
l
Windows のディレクトリサービスによって、ファ
イルアクセス制御と共有アクセス制御が提供さ
れます。 CIFS 共有の ACL（アクセスコントロール
リスト）は、SMI-S インターフェイスからも構成で
きます。
l
SMB 署名で、セキュリティシグネチャがサポート
されます。
l
CIFS 暗号化は、CIFS を使用できるホスト向けに
SMB 3.0 および Windows 2012 により提供され
ます。 CIFS 暗号化の詳細については、「データ
セキュリティ設定（50 ページ）」を参照してくださ
い。
l
アドオンソフトウェアで、オプションのファイルレ
ベルリテンション設定サービスがサポートされま
す。
l
Unisphere で、共有ベースのアクセス制御が提
供されます。
CIFS ストレー
ジ
NFS ストレー
ジ
50
3.1 セキュリティ構成ガイド
445
2049
TCP、UDP
TCP
データセキュリティ設定
表 13 セキュリティ機能（続き）
ストレージ
タイプ
バックアップ
とリストア
ポート
プロトコル
セキュリティ設定
l
NFS バージョン 2 および 3 で特定されている
NFS 認証とアクセス制御方式のサポート。
l
アドオンソフトウェアで、オプションのファイルレ
ベルリテンション設定サービスがサポートされま
す。
l
NDMP 共有シークレットに基づいて NDMP セキ
ュリティを実装できます。
データセキュリティ設定
51
データセキュリティ設定
52
3.1 セキュリティ構成ガイド
第6章
セキュリティメンテナンス
本章では、ストレージシステムに実装されている各種セキュリティ保守機能について簡単に
説明します。
次のトピックが含まれます。
l
l
安全な保守........................................................................................................... 54
ストレージシステムの EMC セキュアリモートサポート........................................... 55
セキュリティメンテナンス
53
セキュリティメンテナンス
安全な保守
ストレージシステムでは、リモートシステムのメンテナンスと更新のタスクを実施する、次の
安全性のための機能が提供されています。
l
ライセンスのアクティベーション
l
ソフトウェアのアップグレード
l
ソフトウェアホットフィックス
ライセンス更新
ライセンス更新機能は、ファイルレベル保存期間設定や RepliStor™レプリケーションなど、
特定のストレージシステム機能のライセンスの取得とインストールに使用します。ライセン
ス更新セキュリティ機能（54 ページ）に、ライセンス更新機能に関連するセキュリティ機能
を示します。
表 14 ライセンス更新セキュリティ機能
プロセス
セキュリティ
EMC オンラインサポート Web サイト
からライセンスを取得する
ライセンスの取得は、EMC オンラインサポート用 Web サイト（http://www.emc.com/
vnxesupport）の認証されたセッションで行います。
ライセンスファイルの受信
ライセンスは、EMC オンラインサポート用 Web サイト（http://www.emc.com/vnxesupport）の
認証されたトランザクションで指定したメールアドレスに送信されます。
Unisphere クライアントによる、ストレ
ージシステムへのライセンスのアップ
ロードとインストール
l
ストレージシステムへのライセンスファイルのアップロードは、HTTPS を介して認証された
Unisphere セッション内で行います。
l
ストレージシステムは、デジタル署名を使用して、受信したライセンスファイルを検証しま
す。ライセンスされた各機能は、ライセンスファイル内の固有の署名によって検証されま
す。
ソフトウェアのアップグレード
ストレージシステムソフトウェア更新機能は、ストレージシステム上で実行しているソフトウ
ェアをアップグレードまたは更新するソフトウェアの取得とインストールを行う場合に使用し
ます。ソフトウェアアップグレードセキュリティ機能（54 ページ）に、ストレージシステムソ
フトウェアアップグレード機能に関連するセキュリティ機能を示します。
表 15 ソフトウェアアップグレードセキュリティ機能
プロセス
説明
EMC オンラインサポート用 Web サイトからのスト
レージシステムソフトウェアのダウンロード
ライセンスの取得は、EMC オンラインサポート用 Web サイト（http://
www.emc.com/vnxesupport）の認証されたセッションで行います。
ストレージシステムソフトウェアのアップロード
ストレージシステムへのソフトウェアのアップロードは、HTTPS を介して認証され
た Unisphere セッションで行います。
54
3.1 セキュリティ構成ガイド
セキュリティメンテナンス
ストレージシステムの EMC セキュアリモートサポート
ESRS（EMC セキュアリモートサポート）機能（物理環境のみ）により、認定サービスプロバイ
ダーに対して、暗号化された安全なトンネルを使用したストレージシステムへのリモートア
クセスを提供することができます。この機能は、実装環境によっては使用できない場合があ
ります。アウトバウンドアクセスを提供するには、ストレージシステム管理 IP ネットワークで
アウトバウンドおよびインバウンドの両方の HTTPS トラフィックが可能である必要がありま
す。また、ESRS によって確立されたストレージシステムデバイスと EMC ネットワーク上の
許可されたシステムの間の安全なトンネルを使用して、ストレージシステムにファイルを転
送したり、逆に EMC ネットワークにファイルを転送したりできます。 ESRS 機能の詳細につい
ては、「VNXe 向け EMC セキュアリモートサポートの要件および構成に関するテクニカルノート」
を参照してください。
ストレージシステム自体には、いずれのポリシーも実装されていません。ストレージシステ
ムに対するリモートアクセスをより細かく管理する必要がある場合は、ポリシーマネージャ
ーを使用して権限を設定できます。ポリシーマネージャソフトウェアコンポーネントは、お
客様提供のサーバにインストールすることができます。ポリシーマネージャーの詳細につ
いては、「VNXe 向け EMC セキュアリモートサポートの要件および構成に関するテクニカルノー
ト」を参照してください。ポリシーマネージャーの追加情報については、EMC オンラインサ
ポート用 Web サイト（http://Support.EMC.com）を参照してください。
ストレージシステムの EMC セキュアリモートサポート
55
セキュリティメンテナンス
56
3.1 セキュリティ構成ガイド
第7章
セキュリティアラートの設定
本章では、ストレージシステムで発生したアラートを管理者に通知するためのさまざまな方
法を説明します。
次のトピックが含まれます。
l
アラートの設定...................................................................................................... 58
セキュリティアラートの設定
57
セキュリティアラートの設定
アラートの設定
ストレージシステムアラートは、ストレージシステム上で発生する、ユーザーによる処置が
可能なイベントを管理者に通知します。アラートの設定（59 ページ）に示すように、ストレ
ージシステムイベントがレポートされます。
58
3.1 セキュリティ構成ガイド
セキュリティアラートの設定
表 16 アラートの設定
アラートタイプ
説明
視覚的な通知
ユーザーがインタフェースにログインした際や、アラート条件が発生した際にリアルタイムに、情報ポ
ップアップメッセージが表示されます。ポップアップには、アラート条件の基本的な情報が示されま
す。詳細情報は、［システム］＞［システムアラート］ページで確認できます。
㽷
ストレージシステムの視覚的なアラート通知は構成できません。
メール通知
アラートメッセージの送信先メールアドレスを 1 個以上指定できます。次の設定を構成できます。
l
ストレージシステムアラートの送信先メールアドレス。
l
メール通知に必要な重大度レベル（緊急、エラー、情報）。
㽷
ストレージアラートメール通知が動作するためには、ストレージシステムでターゲット SMTP サーバ
ーを構成する必要があります。
SNMP トラップ
指定されたホスト（トラップ送信先）にアラート情報を転送します。この送信先は、ストレージネットワ
ークシステムによって生成されるアラート情報のリポジトリとして機能します。 SNMP トラップは
Unisphere で構成できます。以下の項目を設定します。
l
ネットワーク SNMP トラップ送信先の IP アドレス
l
トラップ送信先がトラップを受信するポート番号
l
トラップデータ転送のオプションのセキュリティ設定
n
認証プロトコル： SNMP トラップに使用されるハッシュアルゴリズム（SHA または MD5）
n
プライバシープロトコル： SNMP トラップに使用される暗号化アルゴリズム（DES、AES、
AES192、または AES256）
詳細については、Unisphere オンラインヘルプを参照してください。
ConnectEMC （物理環境のみ）
製品の問題点の診断に役立つように、EMC に自動的にアラート通知を送信します。
㽷
ConnectEMC 通知が動作するためには、ストレージシステムでターゲット SMTP サーバーを構成する
必要があります。この機能は、実装環境によっては使用できない場合があります。
ESRS（EMC Secure Remote
Support）（物理環境のみ）
ESRS は、IP ベースの接続を提供します。これにより、EMC サポートがストレージシステムからエラー
ファイルとアラートメッセージを受け取り、リモートでトラブルシューティングを実行できるため、問題
を迅速かつ効果的に解決できるようになります。
㽷
OE（オペレーティング環境）バージョン 3.0 以降で使用できます。 ESRS が動作するためには、ストレ
ージシステムで ESRS を有効化する必要があります。この機能は、実装環境によっては使用できな
い場合があります。
アラート設定の構成
ストレージシステムからのメール通知と SNMP トラップについて、ストレージシステムアラ
ート設定を構成できます。
アラート設定の構成
59
セキュリティアラートの設定
メール通知のアラート設定の構成
Unisphere を使用して、以下を実行します。
手順
1. ［設定］＞［その他の構成］＞［アラートの設定］の順にクリックします。
2. ［メールアラート］のセクションで、アラートメールメッセージが生成される重大度レベル
を次のいずれかに構成します。
l
重大
l
エラー以上
l
警告以上
l
通知以上
l
情報以上
㽷
ストレージシステムアラートメールメカニズムを使用するには、ストレージシステムでタ
ーゲット SMTP サーバーを構成する必要があります。
SNMP トラップのアラート設定の構成
Unisphere を使用して、以下を実行します。
手順
1. ［設定］＞［その他の構成］＞［アラートの設定］の順にクリックします。
2. ［アラートの設定］のセクションで、SNMP トラップが生成される重大度レベルを次のいず
れかに構成します。
60
3.1 セキュリティ構成ガイド
l
重大
l
エラー以上
l
警告以上
l
通知以上
l
情報以上
第8章
その他のセキュリティ設定
本章では、ストレージシステムの安全な運用を確実に行うためのその他の情報を説明しま
す。
次のトピックが含まれます。
l
l
物理的セキュリティ統制.........................................................................................62
ウイルス対策保護................................................................................................. 62
その他のセキュリティ設定
61
その他のセキュリティ設定
物理的セキュリティ統制
ストレージシステムが存在する場所は、ストレージシステムの物理的なセキュリティが確保
されるように選択および変更する必要があります。たとえば、十分なドアとロックを用意する
こと、システムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼
性の高い電源を使用すること、標準的な配線のベストプラクティスに従うことなど、基本的
な対策を行います。
さらに、次のストレージシステムコンポーネントについては、特別の配慮が必要です。
l
パスワードリセットボタン：ストレージシステムのデフォルトの管理者アカウントとサー
ビスアカウントの両方について、管理者がパスワードをリセットするまで、一時的に出荷
時のデフォルトパスワードにリセットします。
l
SP Ethernet サービスポートコネクタ： SP Ethernet サービスポート接続を介して認証さ
れたアクセスを許可します。
ウイルス対策保護
ストレージシステムは、CAVA（Common AntiVirus Agent）をサポートしています。 EE（Event
Enabler）4.9.3.0 のコンポーネントである CAVA は、ストレージシステムを使用するクライア
ントにウイルス対策ソリューションを提供します。 Microsoft Windows Server 環境で業界標
準の CIFS プロトコルを使用します。 CAVA は、サードパーティのウイルス対策ソフトを使用
して、ストレージシステムのファイルに感染する前に既知のウイルスを識別して排除しま
す。 CAVA インストーラーを含む EE インストーラーと、EE のリリースノートは、EMC オンライ
ンサポート用 Web サイトで入手できます（［ダウンロード］ > ［VNXe 製品サポート］）。
62
3.1 セキュリティ構成ガイド
付録 A
SSL/TSL 暗号スイート
この付録では、ストレージシステムでサポートされている SSL/TSL 暗号スイートのリストを
示します。
次のトピックが含まれます。
l
サポートされている SSL/TSL 暗号スイート..............................................................64
SSL/TSL 暗号スイート
63
SSL/TSL 暗号スイート
サポートされている SSL/TSL 暗号スイート
暗号スイートでは、SSL/TLS 通信をセキュリティで保護するための一連のテクノロジーを定
義します。
l
鍵交換アルゴリズム（データの暗号化に使用される秘密鍵がクライアントからサーバに
伝達される仕組み）。例： RSA 鍵または DH（Diffie-Hellman）
l
認証方法（ホストでリモートホストの ID を認証する仕組み）。例： RSA 証明書、DSS 証
明書、認証なし
l
暗号化サイファ（データを暗号化する仕組み）。例： AES（256 または 128 ビット）、RC4
（128 または 56 ビット）、3DES（168 ビット）、DES（56 または 40 ビット）、NULL 暗号化
l
ハッシュアルゴリズム（データの変更を特定する手段を提供し、データの整合性を確保
する仕組み）。例： SHA-1 または MD5
サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。
次のリストは、ストレージシステムおよび関連ポートの SSL または TLS 暗号スイートの
OpenSSL 名を示しています。
表 17 ストレージシステムでサポートされるデフォルト/サポート対象 SSL/TSL 暗号スイート
64
暗号スイート
プロトコル
ポート
AES128-GCM-SHA256
TLSv1.2
443
AES256-GCM-SHA384
TLSv1.2
443
AES256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
AES128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
AES128-SHA256
TLSv1.2
443
AES256-SHA256
TLSv1.2
443
CAMELLIA128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
CAMELLIA256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-AES128-GCM-SHA256 TLSv1.2
443
DHE-RSA-AES256-GCM-SHA384 TLSv1.2
443
DHE-RSA-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-AES256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-AES128-SHA256
TLSv1.2
443
DHE-RSA-AES256-SHA256
TLSv1.2
443
DHE-RSA-CAMELLIA256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
DHE-RSA-CAMELLIA128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
ECDHE-RSA-AES128-SHA
TLSv1、TLSv1.1、TLSv1.2
443
ECDHE-RSA-AES256-SHA
TLSv1、TLSv1.1、TLSv1.2
443
ECDHE-RSA-AES128-SHA256
TLSv1.2
443
3.1 セキュリティ構成ガイド
SSL/TSL 暗号スイート
表 17 ストレージシステムでサポートされるデフォルト/サポート対象 SSL/TSL 暗号スイート（続き）
暗号スイート
プロトコル
ポート
ECDHE-RSA-AES256-SHA384
TLSv1.2
443
ECDHE-RSA-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2
443
EDH-RSA-DES-CBC3-SHA
TLSv1、TLSv1.1、TLSv1.2
443
RSA-AES128-SHA256
TLSv1.2
443
RSA-AES256-SHA256
TLSv1.2
443
AES128-SHA
SSLv3（非 FIPS モードのみ）、TLSv1、TLSv1.1、TLSv1.2 5989
AES256-SHA
SSLv3（非 FIPS モードのみ）、TLSv1、TLSv1.1、TLSv1.2 5989
DES-CBC3-SHA
SSLv3（非 FIPS モードのみ）、TLSv1、TLSv1.1、TLSv1.2 5989
サポートされている SSL/TSL 暗号スイート
65
SSL/TSL 暗号スイート
66
3.1 セキュリティ構成ガイド