リリースノート
Insightセキュリティ
変更を提案
-
このドキュメント ページのPDF
PDF版ドキュメントのセット
Creating your file...
OnCommand Insight の7.3.1リリースでは、強化されたセキュリティでInsight環境を運用できるようにセキュリティ機能が導入されました。暗号化、パスワードハッシュの強化、内部ユーザパスワードの変更、パスワードの暗号化と復号化を行うキーペアの変更などが含まれます。これらの機能は、Insight環境内のすべてのサーバで管理できます。
Insightのデフォルトのインストールには、環境内のすべてのサイトで同じキーと同じデフォルトパスワードを共有するセキュリティ設定が含まれています。機密データを保護するために、インストールまたはアップグレード後にデフォルトのキーとAcquisitionユーザのパスワードを変更することを推奨します。
データソースで暗号化されたパスワードは、Insight Serverデータベースに保存されます。サーバには公開鍵があり、ユーザがWebUIデータソース設定ページにパスワードを入力すると暗号化されます。サーバーには、サーバーデータベースに保存されているデータソースパスワードの復号化に必要な秘密鍵がありません。データソースのパスワードの復号化に必要なデータソースの秘密鍵があるのは、Acquisition Unit(LAU、RAU)だけです。
キーを変更しています
デフォルトキーを使用すると、環境にセキュリティの脆弱性が発生します。デフォルトでは、データソースのパスワードはInsightデータベースに暗号化されて保存されます。すべてのInsight環境に共通のキーを使用して暗号化されます。デフォルトの設定では、ネットアップに送信されるInsightデータベースには、理論的にはネットアップが復号化できるパスワードが含まれています。
取得ユーザのパスワードを変更しています
デフォルトの「Acquisition」ユーザパスワードを使用すると、環境にセキュリティの脆弱性がもたらされます。すべてのAcquisition Unitが「Acquisition」ユーザを使用してサーバと通信します。デフォルトのパスワードを使用するRAUは、理論的にはデフォルトのパスワードを使用して任意のInsightサーバに接続できます。
アップグレードとインストールに関する考慮事項
Insightシステムにデフォルト以外のセキュリティ設定が含まれている場合(パスワードのキーを変更または変更した場合)は、セキュリティ設定をバックアップする必要があります。新しいソフトウェアをインストールするか、ソフトウェアをアップグレードする場合によっては、システムをデフォルトのセキュリティ設定に戻します。システムがデフォルトの設定に戻ったら、システムを正常に動作させるために、デフォルト以外の設定をリストアする必要があります。
複雑なサービスプロバイダ環境でのキーの管理
サービスプロバイダは、データを収集する複数のOnCommand Insight 顧客をホストできます。これらのキーは、Insight Server上の複数のお客様による不正アクセスからお客様のデータを保護します。各お客様のデータは、それぞれのキーペアによって保護されます。
このInsightの実装は、次の図のように設定できます。
この構成では、顧客ごとに個別のキーを作成する必要があります。お客様Aでは、両方のRAUに同一のキーが必要です。顧客Bは単一のキーセットを必要とします。
顧客Aの暗号化キーを変更する手順は次のとおりです。
-
RAU1をホストしているサーバへのリモートログインを実行します。
-
セキュリティ管理ツールを起動します。
-
デフォルトのキーを置き換えるには、[Change Encryption Key]を選択します。
-
[Backup]を選択して、セキュリティ設定のバックアップzipファイルを作成します。
-
RAU2をホストしているサーバへのリモートログインを実行します。
-
セキュリティ設定のバックアップzipファイルをRAU2にコピーします。
-
セキュリティ管理ツールを起動します。
-
RAU1から現在のサーバにセキュリティバックアップをリストアします。
顧客Bの暗号化キーを変更する手順は次のとおりです。
-
RAU3をホストしているサーバへのリモートログインを実行します。
-
セキュリティ管理ツールを起動します。
-
デフォルトのキーを置き換えるには、[Change Encryption Key]を選択します。
-
[Backup]を選択して、セキュリティ設定のバックアップzipファイルを作成します。