クラスタコンプライアンスのカテゴリ
次の表に、 Unified Manager で評価されるクラスタセキュリティコンプライアンスのパラメータ、ネットアップの推奨事項、およびクラスタが準拠か非準拠かの総合的な判断にパラメータが影響するかどうかを示します。
クラスタに非準拠の SVM があると、クラスタのコンプライアンスに影響します。そのため、クラスタのセキュリティが準拠とみなされるためには、事前に SVM のセキュリティ問題の修正が必要となる場合があります。
以下のパラメータは、すべてのインストール環境で表示されるわけではありません。たとえば、ピアクラスタがない場合やクラスタで AutoSupport を無効にしている場合、「クラスタピアリング」や「 AutoSupport HTTPS 転送」の項目は表示されません。
パラメータ | 説明 | 推奨事項 | クラスタコンプライアンスに影響します |
---|---|---|---|
グローバル FIPS |
グローバル FIPS (連邦情報処理標準) 140-2 準拠モードが有効になっているかどうかを示します。FIPS を有効にすると、 TLSv1 と SSLv3 は無効になり、 TLSv1.1 と TLSv1.2 のみが許可されます。 |
有効 |
はい。 |
Telnet |
システムへの Telnet アクセスが有効になっているかどうかを示します。ネットアップでは、セキュアなリモートアクセスのために Secure Shell ( SSH )を推奨しています。 |
無効 |
はい。 |
セキュアでない SSH 設定 |
SSHでセキュアでない暗号(で始まる暗号など)を使用しているかどうかを示します |
いいえ |
はい。 |
ログインバナー |
システムにアクセスするユーザに対してログインバナーが有効になっているかどうかを示します。 |
有効 |
はい。 |
クラスタピアリング |
ピアクラスタ間の通信が暗号化されているかどうかを示します。このパラメータが準拠とみなされるためには、ソースとデスティネーションの両方のクラスタで暗号化が設定されている必要があります。 |
暗号化 |
はい。 |
Network Time Protocol の略 |
クラスタに NTP サーバが 1 つ以上設定されているかどうかを示します。ネットアップでは、冗長性と最適なサービスを実現するために最低 3 台の NTP サーバをクラスタに関連付けることを推奨しています。 |
を設定します |
はい。 |
OCSP |
ONTAP に OCSP ( Online Certificate Status Protocol )が設定されていないアプリケーションがないか、そのため通信が暗号化されていないかどうかを示します。非準拠のアプリケーションが一覧表示されます。 |
有効 |
いいえ |
リモート監査ログ |
ログ転送( syslog )が暗号化されているかどうかを示します。 |
暗号化 |
はい。 |
AutoSupport HTTPS 転送 |
ネットアップサポートに AutoSupport メッセージを送信するためのデフォルトの転送プロトコルとして HTTPS が使用されているかどうかを示します。 |
有効 |
はい。 |
デフォルトの管理ユーザ |
デフォルトの管理ユーザ(組み込み)が有効になっているかどうかを示します。ネットアップでは、不要な組み込みアカウントはすべてロック(無効化)することを推奨しています。 |
無効 |
はい。 |
SAML ユーザ |
SAML が設定されているかどうかを示します。SAML を使用すると、シングルサインオンのログイン方法として多要素認証( MFA )を設定できます。 |
推奨事項なし |
いいえ |
Active Directory ユーザ |
Active Directory が設定されているかどうかを示します。Active Directory と LDAP は、クラスタにアクセスするユーザに対して推奨される認証メカニズムです。 |
推奨事項なし |
いいえ |
LDAPユーザ |
LDAPが設定されているかどうかを示します。Active Directory と LDAP は、ローカルユーザよりもクラスタを管理するユーザに対して推奨される認証メカニズムです。 |
推奨事項なし |
いいえ |
証明書ユーザ |
証明書ユーザがクラスタにログインするように設定されているかどうかを示します。 |
推奨事項なし |
いいえ |
ローカルユーザ |
ローカルユーザがクラスタにログインするように設定されているかどうかを示します。 |
推奨事項なし |
いいえ |