Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

セキュリティ管理ツール

共同作成者 netapp-alavoie
PDF

Data Infrastructure Insightsには、環境を強化されたセキュリティで運用できるようにするセキュリティ機能が含まれています。機能には、暗号化、パスワード ハッシュの改善、内部ユーザー パスワードの変更機能、およびパスワードを暗号化および復号化するキー ペアの変更機能が含まれます。

機密データを保護するために、 NetApp、インストールまたはアップグレード後にデフォルトのキーと Acquisition ユーザー パスワードを変更することをお勧めします。

データ ソースの暗号化されたパスワードはData Infrastructure Insightsに保存され、ユーザーがデータ コレクター構成ページでパスワードを入力すると、公開キーを使用してパスワードが暗号化されます。 Data Infrastructure Insights には、データ コレクターのパスワードを復号化するために必要な秘密キーがありません。データ コレクターのパスワードを復号化するために必要なデータ コレクターの秘密キーを持っているのは、Acquisition Unit (AU) だけです。

アップグレードとインストールに関する考慮事項

Insight システムにデフォルト以外のセキュリティ構成が含まれている場合 (つまり、パスワードのキーを変更した場合)、セキュリティ構成をバックアップする必要があります。新しいソフトウェアをインストールしたり、場合によってはソフトウェアをアップグレードしたりすると、システムはデフォルトのセキュリティ構成に戻ります。システムをデフォルト構成に戻す場合、システムが正しく動作するために、デフォルト以外の構成を復元する必要があります。

買収部門のセキュリティ管理

SecurityAdmin ツールを使用すると、 Data Infrastructure Insightsのセキュリティ オプションを管理できます。このツールは、取得ユニット システムで実行されます。セキュリティ管理には、キーとパスワードの管理、作成したセキュリティ構成の保存と復元、構成をデフォルト設定に復元することが含まれます。

開始する前に

  • Acquisition Unit ソフトウェア (SecurityAdmin ツールを含む) をインストールするには、AU システムに対する管理者権限が必要です。

  • 後で SecurityAdmin ツールにアクセスする必要がある管理者以外のユーザーがいる場合は、そのユーザーを cisys グループに追加する必要があります。 cisys グループは AU インストール中に作成されます。

AU のインストール後、SecurityAdmin ツールは取得ユニット システムの次のいずれかの場所にあります。

Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\bin\securityadmin.bat
Linux - /bin/oci-securityadmin.sh

SecurityAdminツールの使用

SecurityAdmin ツールを対話モード (-i) で起動します。

メモ ログに記録される可能性のある秘密をコマンド ラインで渡すことを避けるため、SecurityAdmin ツールを対話型モードで使用することをお勧めします。

次のオプションが表示されます。

SecurityAdmin ツールのオプション (Linux)

  1. バックアップ

    すべてのパスワードとキーを含む Vault のバックアップ zip ファイルを作成し、そのファイルをユーザーが指定した場所、または次のデフォルトの場所に配置します。

    Windows - <install_path>\Cloud Insights\Acquisition Unit\acq\securityadmin\backup\vault
Linux - /var/log/netapp/oci/backup/vault

    ボールトバックアップには機密情報が含まれているため、安全に保管することをお勧めします。

  2. 復元する

    作成されたボールトの zip バックアップを復元します。復元されると、すべてのパスワードとキーはバックアップ作成時の値に戻ります。

    復元を使用すると、複数のサーバー上のパスワードとキーを同期できます。たとえば、次の手順に従います。1) AU の暗号化キーを変更します。 2) ボールトのバックアップを作成します。 3) 各 AU に Vault バックアップを復元します。

  3. 外部キー取得スクリプトの登録/更新

    外部スクリプトを使用して、デバイスのパスワードを暗号化または復号化するために使用される AU 暗号化キーを登録または変更します。

    暗号化キーを変更する場合は、アップグレードまたはインストール後に復元できるように、新しいセキュリティ構成をバックアップする必要があります。

    このオプションは Linux でのみ使用可能であることに注意してください。

    SecurityAdmin ツールで独自のキー取得スクリプトを使用する場合は、次の点に注意してください。

    • 現在サポートされているアルゴリズムは、最小 2048 ビットの RSA です。

    • スクリプトは、秘密鍵と公開鍵をプレーンテキストで返す必要があります。スクリプトは暗号化された秘密鍵と公開鍵を返してはなりません。

    • スクリプトは、生のエンコードされたコンテンツ (PEM 形式のみ) を返す必要があります。

    • 外部スクリプトには execute 権限が必要です。

  4. 暗号化キーのローテーション

    暗号化キーをローテーションします (現在のキーを登録解除し、新しいキーを登録します)。外部キー管理システムのキーを使用するには、公開キー ID と秘密キー ID を指定する必要があります。

  5. デフォルトキーにリセット

    取得ユーザーのパスワードと取得ユーザーの暗号化キーをデフォルト値にリセットします。デフォルト値はインストール時に提供される値です。

  6. Truststoreのパスワードを変更する

    トラストストアのパスワードを変更します。

  7. キーストアのパスワードを変更する

    キーストアのパスワードを変更します。

  8. コレクターパスワードの暗号化

    データ コレクターのパスワードを暗号化します。

  9. 出口

    SecurityAdmin ツールを終了します。

設定するオプションを選択し、プロンプトに従います。

ツールを実行するユーザーを指定する

制御されたセキュリティ重視の環境の場合は、cisys グループがなくても、特定のユーザーに SecurityAdmin ツールを実行させたい場合があります。

これを実現するには、AU ソフトウェアを手動でインストールし、アクセスを許可するユーザー/グループを指定します。

  • API を使用して、CI インストーラーを AU システムにダウンロードし、解凍します。

    • 1 回限りの認証トークンが必要になります。 API Swagger ドキュメント (Admin > API AccessAPI Documentation リンクを選択) を参照し、GET /au/oneTimeToken API セクションを見つけます。

    • トークンを取得したら、GET /au/installers/{platform}/{version} API を使用してインストーラー ファイルをダウンロードします。プラットフォーム (Linux または Windows) とインストーラーのバージョンを指定する必要があります。

  • ダウンロードしたインストーラー ファイルを AU システムにコピーし、解凍します。

  • ファイルが含まれているフォルダに移動し、ユーザーとグループを指定して、インストーラをルートとして実行します。

    ./cloudinsights-install.sh <User> <Group>

指定されたユーザーまたはグループが存在しない場合は、作成されます。ユーザーは SecurityAdmin ツールにアクセスできます。

プロキシの更新または削除

SecurityAdmin ツールを -pr パラメータ付きで実行することで、取得ユニットのプロキシ情報を設定または削除できます。

[root@ci-eng-linau bin]# ./securityadmin -pr
usage: securityadmin -pr -ap <arg> | -h | -rp | -upr <arg>

The purpose of this tool is to enable reconfiguration of security aspects
of the Acquisition Unit such as encryption keys, and proxy configuration,
etc. For more information about this tool, please check the Data Infrastructure Insights
Documentation.

-ap,--add-proxy <arg>       add a proxy server.  Arguments: ip=ip
                             port=port user=user password=password
                             domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)
-h,--help
-rp,--remove-proxy          remove proxy server
-upr,--update-proxy <arg>   update a proxy.  Arguments: ip=ip port=port
                             user=user password=password domain=domain
                             (Note: Always use double quote(") or single
                             quote(') around user and password to escape
                             any special characters, e.g., <, >, ~, `, ^,
                             !
                             For example: user="test" password="t'!<@1"
                             Note: domain is required if the proxy auth
                             scheme is NTLM.)

たとえば、プロキシを削除するには、次のコマンドを実行します。

 [root@ci-eng-linau bin]# ./securityadmin -pr -rp
コマンドを実行した後、取得ユニットを再起動する必要があります。

プロキシを更新するには、コマンドは

./securityadmin -pr -upr <arg>

外部キーの取得

UNIX シェル スクリプトを提供すると、取得ユニットによってそのスクリプトが実行され、キー管理システムから 秘密キー公開キー を取得できます。

キーを取得するために、 Data Infrastructure Insights はスクリプトを実行し、key idkey type の 2 つのパラメータを渡します。 キー ID は、キー管理システム内のキーを識別するために使用できます。 キー タイプ は「公開」または「秘密」のいずれかです。キー タイプが「public」の場合、スクリプトは公開キーを返す必要があります。キー タイプが「private」の場合、秘密キーを返す必要があります。

キーを取得ユニットに送り返すには、スクリプトでキーを標準出力に出力する必要があります。スクリプトはキーのみを標準出力に出力する必要があります。他のテキストを標準出力に出力してはなりません。要求されたキーが標準出力に印刷されると、スクリプトは終了コード 0 で終了する必要があります。その他の戻りコードはエラーと見なされます。

スクリプトは、SecurityAdmin ツールを使用して取得ユニットに登録する必要があります。これにより、取得ユニットとともにスクリプトが実行されます。スクリプトには、ルートおよび「cisys」ユーザーに対する read および execute 権限が必要です。登録後にシェル スクリプトを変更した場合は、変更したシェル スクリプトを取得ユニットに再登録する必要があります。

入力パラメータ: キーID

顧客のキー管理システムでキーを識別するために使用されるキー識別子。

入力パラメータ: キータイプ

公立か私立か。

出力

要求されたキーは標準出力に印刷する必要があります。現在、2048 ビットの RSA キーがサポートされています。キーは以下の形式でエンコードおよび印刷する必要があります - 秘密鍵形式 - PEM、DERエンコード PKCS8 PrivateKeyInfo RFC 5958 公開鍵形式 - PEM、DERエンコード X.509 SubjectPublicKeyInfo RFC 5280

終了コード

成功した場合の終了コードはゼロです。その他の終了値はすべて失敗とみなされます。

スクリプト権限

スクリプトには、ルートおよび「cisys」ユーザーの読み取りおよび実行権限が必要です。

ログ

スクリプトの実行がログに記録されます。ログは次の場所にあります - /var/log/netapp/cloudinsights/securityadmin/securityadmin.log /var/log/netapp/cloudinsights/acq/acq.log

APIで使用するパスワードの暗号化

オプション 8 を使用すると、パスワードを暗号化して、API 経由でデータ コレクターに渡すことができます。

SecurityAdmin ツールを対話モードで起動し、オプション 8: Encrypt Password を選択します。

 securityadmin.sh -i
暗号化するパスワードを入力するよう求められます。入力した文字は画面に表示されないことに注意してください。プロンプトが表示されたらパスワードを再入力します。

あるいは、スクリプト内でコマンドを使用する場合は、コマンド ラインで securityadmin.sh を "-enc" パラメータとともに使用し、暗号化されていないパスワードを渡します。

 securityadmin -enc mypassword
image:SecurityAdmin_Encrypt_Key_API_CLI_Example.png["CLIの例"]

暗号化されたパスワードが画面に表示されます。先頭または末尾の記号を含む文字列全体をコピーします。

対話モードのパスワード暗号化、幅=640

暗号化されたパスワードをデータ コレクターに送信するには、Data Collection API を使用できます。この API の Swagger は、管理 > API アクセス で「API ドキュメント」リンクをクリックすると見つかります。 「データ収集」API タイプを選択します。この例では、data_collection.data_collector の見出しの下で、/collector/datasources POST API を選択します。

データ収集用のAPI

preEncrypted オプションを True に設定すると、API コマンドを通じて渡すパスワードは すでに暗号化されている ものとして扱われ、API はパスワードを再暗号化しません。 API を構築するときは、以前に暗号化したパスワードを適切な場所に貼り付けるだけです。

APIの例、幅=600