Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

FlexPod のセキュリティに関するその他の考慮事項

共同作成者
PDF

"前のスライド:解決策 が FlexPod コンバージドインフラのメリットを提供"

FlexPod インフラは、モジュラ型の統合型で、必要に応じて仮想化と拡張性に優れた、コスト効率の高いプラットフォームです。FlexPod プラットフォームでは、コンピューティング、ネットワーク、ストレージを個別にスケールアウトできるため、アプリケーションの導入時間が短縮されます。また、モジュラアーキテクチャにより、システムのスケールアウトやアップグレード時にもノンストップオペレーションが実現します。

HIT システムのさまざまなコンポーネントは、データを SMB/CIFS 、 NFS 、 ext4 、および NTFS ファイルシステムに格納する必要があります。つまり、この要件のインフラでは、 NFS 、 CIFS 、 SAN の各プロトコル経由でデータアクセスを提供する必要があります。1 つのネットアップストレージシステムでこれらのプロトコルをすべてサポートできるため、プロトコル固有のストレージシステムという従来の手法は必要ありません。さらに、 1 つのネットアップストレージシステムで複数の HIT ワークロード( EHR 、 PACS 、 VNA 、ゲノム、 VDI など)をサポートし、 パフォーマンスレベルが保証され、設定も可能です。

HIT は、 FlexPod システムに導入されると、医療業界に固有の利点をいくつか提供します。次に、これらの利点の概要概要 を示します。

  • * FlexPod セキュリティ * 。セキュリティは、 FlexPod システムの基盤にあります。ここ数年、ランサムウェアは脅威になっています。ランサムウェアは、暗号化を使用して悪意のあるソフトウェアを構築する暗号技術に基づいたマルウェアの一種です。このマルウェアは、対称キー暗号と非対称キー暗号の両方を使用して、被害者のデータをロックし、データを復号化するための鍵を提供するために身代金を要求できます。FlexPod 解決策 がランサムウェアなどの脅威を軽減する方法については、を参照してください "TR-4802 :『 The 解決策 to Ransomware 』"。FlexPod インフラコンポーネントもあります "FIPS 140-2 に準拠しています"

  • * Cisco Intersight * Cisco Intersight は、クラウドベースの革新的な管理サービスプラットフォームであり、単一のコンソールでフルスタックの FlexPod 管理とオーケストレーションを実現します。Intersight プラットフォームでは、 FIPS 140-2 セキュリティ準拠の暗号モジュールが使用されています。このプラットフォームのアウトオブバンド管理アーキテクチャは、 HIPAA などの一部の標準や監査の範囲外になります。ネットワーク上の個々の識別可能なヘルス情報が、サイト間ポータルに送信されることはありません。

  • * NetApp FPolicy テクノロジ。 * NetApp FPolicy (名前ファイルポリシーの変更)は、 NFS または SMB / CIFS プロトコル経由のファイルアクセスを監視および管理するための、ファイルアクセス通知フレームワークです。このテクノロジは、 ONTAP データ管理ソフトウェアに 10 年以上にわたって組み込まれており、ランサムウェアの検出に役立ちます。このゼロトラストエンジンは、アクセスコントロールリスト( ACL )の権限を超えた追加のセキュリティ対策を提供します。FPolicy の処理モードには、ネイティブと外部の 2 つがあります。

    • ネイティブモードでは、ファイル拡張子のブラックリストとホワイトリストの両方が提供されます。

    • 外部モードはネイティブモードと同じ機能を備えていますが、 ONTAP システムとは外部で実行される FPolicy サーバや、セキュリティ情報 / イベント管理( SIEM )システムと統合されています。ランサムウェアと戦う方法の詳細については、を参照してください "『 Fighting Ransomware : Part 3 – ONTAP FPolicy 、 Another powerful Native (別名 Free ) Tool 』" ブログ

  • * 保存データ * 。ONTAP 9 以降には、 FIPS 140-2 準拠の保管データ暗号化ソリューションが 3 つあります。

    • NSE は、自己暗号化ドライブを使用するハードウェア解決策 です。

    • NVE は、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェア解決策です。ボリュームごとに一意のキーを使用して有効にします。

    • NAE は、あらゆるドライブタイプのあらゆるデータボリュームを暗号化できるソフトウェア解決策です。 NAE は、アグリゲートごとに固有のキーを使用して有効にします。

メモ ONTAP 9.7 以降では、 VE という名前の NetApp NVE ライセンスパッケージがある場合、 NAE および NVE がデフォルトで有効になります。

  • * 転送中のデータ * 。ONTAP 9.8 以降では、 Internet Protocol security ( IPSec ;インターネットプロトコルセキュリティ)により、クライアントと ONTAP SVM の間のすべての IP トラフィックをエンドツーエンドで暗号化できます。すべての IP トラフィックの IPSec データ暗号化には、 NFS 、 iSCSI 、 SMB/CIFS の各プロトコルが含まれます。IPSec では、 iSCSI トラフィックに対して転送中の暗号化オプションのみが提供されます。

  • * ハイブリッドマルチクラウドデータファブリック全体でエンドツーエンドのデータ暗号化を実現 * 。データレプリケーショントラフィックに NSE や NVE およびクラスタピアリング暗号化( CPE )などの保管データ暗号化テクノロジを使用しているお客様は、 ONTAP 9.8 以降にアップグレードして IPsec を使用することで、ハイブリッドマルチクラウドデータファブリック全体でクライアントとストレージの間のエンドツーエンドの暗号化を使用できるようになりました。ONTAP 9 以降では、クラスタ全体のコントロールプレーンインターフェイスに対して、 FIPS 140-2 準拠モードを有効にできます。FIPS 140-2 専用モードは、デフォルトでは無効になっています。ONTAP 9.6 以降では、 CPE によって、 NetApp SnapMirror 、 NetApp SnapVault 、 NetApp FlexCache テクノロジなどの ONTAP データレプリケーション機能に対する TLS 1.2 AES-256 GCM 暗号化がサポートされます。暗号化は、 2 つのクラスタピア間での Pre-Shared Key ( PSK ;事前共有キー)を使用して設定されます。

  • * セキュアマルチテナンシー * 。仮想化されたサーバとストレージ共有インフラのニーズの増大に対応し、特にデータベースとソフトウェアの複数のインスタンスをホストする場合に、施設固有の情報のセキュアマルチテナンシーを実現します。

"次は終わりです"