日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

WP-7353 :『 ONTAP tools for VMware vSphere - Product Security 』

寄稿者

Chance Bingen 、 Dan Tulledge 、ネットアップ、 Jenn Schrie 氏

安全な開発活動

NetApp ONTAP Tools for VMware vSphere のソフトウェアエンジニアリングでは、次の安全な開発作業を実施します。

  • * 脅威モデリング。 * 脅威モデリングの目的は、ソフトウェア開発ライフサイクルの早い段階で、機能、コンポーネント、または製品のセキュリティ上の欠陥を発見することです。脅威モデルとは、アプリケーションのセキュリティに影響するすべての情報を構造化したものです。本質的に、これはセキュリティの観点から見たアプリケーションとその環境です。

  • * Dynamic Application Security Testing ( DAST )。 * このテクノロジーは、実行中のアプリケーションで脆弱な状態を検出するように設計されています。DAST は、 Web 対応アプリケーションの公開 HTTP および HTML インターフェイスをテストします。

  • * サードパーティーのコード通貨。 * オープンソース・ソフトウェア( OSS )を使用したソフトウェア開発の一環として、製品に組み込まれた OSS に関連するセキュリティ上の脆弱性に対処する必要があります。これは継続的な取り組みです。新しい OSS バージョンには、いつでも新たに検出された脆弱性が報告される可能性があります。

  • * 脆弱性スキャン。 * 脆弱性スキャンは、お客様にリリースされる前にネットアップ製品の一般的なセキュリティの脆弱性と既知のセキュリティの脆弱性を検出するためのものです。

  • * ペネトレーションテスト。 * ペネトレーションテストは、システム、 Web アプリケーション、またはネットワークを評価して、攻撃者によって悪用される可能性のあるセキュリティの脆弱性を検出するプロセスです。ネットアップでのペネトレーションテスト(ペンテスト)は、承認された信頼できる第三者企業のグループが実施します。テスト範囲には、高度な攻撃方法やツールを使用した悪意のある侵入者やハッカーと同様のアプリケーションまたはソフトウェアに対する攻撃の開始が含まれます。

製品のセキュリティ機能

NetApp ONTAP Tools for VMware vSphere には、各リリースに次のセキュリティ機能が含まれています。

  • * ログインバナー。 * SSH はデフォルトでは無効になっており、 VM コンソールから有効になっている場合は 1 回限りのログインしか許可されません。ユーザがログインプロンプトでユーザ名を入力すると、次のログインバナーが表示されます。

  • 警告: * このシステムへの不正アクセスは禁止されており、法律で訴追されます。このシステムにアクセスすることで、不正な使用が疑われる場合に、ユーザーのアクションが監視される可能性があることに同意したものとみなされます。

    ユーザが SSH チャネルを介したログインを完了すると、次のテキストが表示されます。

Linux vsc1 4.19.0-12-amd64 #1 SMP Debian 4.19.152-1 (2020-10-18) x86_64
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
  • * ロールベースアクセス制御 (RBAC) 。 * ONTAP ツールには、次の 2 種類の RBAC 制御が関連付けられています。

  • * 暗号化された通信チャネル。 * すべての外部通信は、バージョン 1.2 の TLS を使用して HTTPS 経由で行われます。

  • * 最小限のポート露出。 * 必要なポートのみがファイアウォールで開かれています。

    次の表に、オープンポートの詳細を示します。

TCP v4 / V6 ポート番号 方向( Direction ) 機能

8143

インバウンド

REST API 用の HTTPS 接続

8043

インバウンド

HTTPS 接続

9060

インバウンド

HTTPS 接続で SOAP over https 接続に使用される HTTPS 接続このポートを開いて、クライアントが ONTAP ツール API サーバに接続できるようにする必要があります。

22

インバウンド

SSH (デフォルトでは無効)

9080

インバウンド

HTTPS 接続 - VP および SRA - ループバックからの内部接続のみ

9083 年

インバウンド

HTTPS 接続 - HTTPS 経由の SOAP 接続に使用する VP および SRA

1162

インバウンド

VP SNMP トラップパケット

1527

内部のみ

Derby データベースポート。このコンピュータとそれ自体の間のみ、外部接続は許可されません — 内部接続のみ

443

双方向

ONTAP クラスタへの接続に使用します

  • * 認証局( CA )署名証明書のサポート。 * VMware vSphere 用の ONTAP ツールは CA 署名証明書をサポートしています。を参照してください "こちらの技術情報アーティクル" を参照してください。

  • * 監査ログ。 * サポートバンドルはダウンロード可能で、非常に詳細です。ONTAP ツールは、すべてのユーザログインおよびログアウトアクティビティを個別のログファイルに記録します。VASA API 呼び出しは、専用の VASA 監査ログ(ローカルの cxf.log )に記録されます。

  • * パスワードポリシー。 * 次のパスワードポリシーが適用されます。

    • パスワードはどのログファイルにも記録されません。

    • パスワードはプレーンテキストで伝達されません。

    • パスワードは、インストールプロセスで設定します。

    • パスワード履歴は設定可能なパラメータです。

    • パスワードの最小有効期間は 24 時間に設定されます。

    • パスワードフィールドの自動入力は無効です。

    • ONTAP ツールは、保存されているすべてのクレデンシャル情報を SHA256 ハッシュで暗号化し

バージョン履歴

バージョン 日付 ドキュメントのバージョン履歴

バージョン 1.0 以降

2021年11月

初版リリース