日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ワイヤ暗号化を介した IP セキュリティ( IPsec )を設定します

寄稿者 netapp-barbe

ONTAP 9.8 以降では、 ONTAP は転送モードで IPSec プロトコルを使用して、転送中もデータのセキュリティと暗号化を継続的に確保します。IPSec では、 NFS 、 iSCSI 、 SMB の各プロトコルを含むすべての IP トラフィックを暗号化できます。IPSec では、 iSCSI トラフィックに対して転送中の暗号化オプションのみが提供されます。

ONTAP 9.10.1 以降では、 Pre-Shared Key ( PSK; 事前共有キー)または証明書のいずれかを使用して IPSec での認証を行うことができます。以前は、 IPsec でサポートされていたのは PSK だけでした。

IPSec の設定後は、リプレイ攻撃や中間者( MITM )攻撃に対抗するための予防措置を講じて、クライアントと ONTAP 間のネットワークトラフィックを保護します。

NetApp SnapMirror およびクラスタピアリングトラフィックの暗号化では、クラスタピアリング暗号化( CPE )の場合でも、 IPSec 経由でセキュアな転送レイヤセキュリティ( TLS )を使用することを推奨します。これは、 TLS のパフォーマンスが IPsec よりも優れているためです。

クラスタで IPSec 機能が有効になっている場合、ネットワークでトラフィックを処理するには、保護対象のトラフィックと一致する Security Policy Database ( SPD )エントリ、および保護の詳細(暗号スイートや認証方式など)を指定する必要があります。各クライアントには、対応する SPD エントリも必要です。SPD 要件は、 PSK 認証方式と証明書認証方式の両方で必要です。

クラスタで IPSec を有効に設定します

クラスタの IPSec を有効にして、転送中もデータのセキュリティを継続的に確保し、暗号化することができます。

手順
  1. IPSec がすでに有効になっているかどうかを検出します。

    「 securityIPSec config show 」を参照してください

    結果に「 ipsec enabled:false 」が含まれている場合は、次の手順に進みます。

  2. IPsec を有効にします。

    「 securityIPSec config modify -is-enabled true

  3. 検出コマンドを再度実行します。

    「 securityIPSec config show 」を参照してください

    結果には 'ipsec enabled:true' が含まれます

証明書認証を使用した IPSec ポリシーの作成を準備しています

認証に事前共有キー PSK のみを使用し、証明書認証を使用しない場合は、この手順を省略できます。

認証に証明書を使用する IPSec ポリシーを作成する前に、次の前提条件を満たしていることを確認する必要があります。

  • エンドエンティティ( ONTAP またはクライアント)の証明書が両側で検証可能になるように、 ONTAP とクライアントの両方に、相手側の CA 証明書がインストールされている必要があります

  • ポリシーに含まれる ONTAP LIF の証明書がインストールされます

注記 ONTAP LIF は証明書を共有できます。証明書と LIF の間に 1 対 1 のマッピングは必要ありません。
手順
  1. 相互認証で使用するすべての CA 証明書を( ONTAP 側とクライアント側の両方の CA を含む) ONTAP 証明書管理にインストールする必要があります。ただし、 CA がすでにインストールされている場合は、 ONTAP の自己署名ルート CA と同様です。* サンプルコマンド * 'cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert`

  2. インストールされた CA が認証時に IPsec CA 検索パス内にあることを確認するには、 security ipsec ca-certificate add コマンドを使用して、 ONTAP 証明書管理 CA を IPSec モジュールに追加します。* サンプルコマンド * 'cluster::> security ipsec ca-certificate add -vserver svm_name -certs my_ca_certs `

  3. ONTAP LIF で使用する証明書を作成してインストールします。この証明書の発行元 CA がすでに ONTAP にインストールされ、 IPSec に追加されている必要があります。* サンプルコマンド * 'cluster::> security certificate install -vserver SVM_name -type server -cert-name my_nfs_server_cert`

ONTAP の証明書の詳細については、 ONTAP 9 のドキュメントの security certificate コマンドを参照してください。

セキュリティポリシーデータベース( SPD )の定義

IPSec では、トラフィックをネットワーク上に転送する前に SPD エントリが必要です。これは、認証に PSK と証明書のどちらを使用している場合にも当てはまります。

ステップ
  1. 「 securityIPSec policy create 」コマンドを使用して、次の操作を実行します。

    1. ONTAP IP アドレスまたは IP アドレスのサブネットを選択して、 IPSec 転送に参加します。

    2. ONTAP IP アドレスに接続するクライアント IP アドレスを選択します。

      注記 クライアントは、 Pre-Shared Key ( PSK )を使用して Internet Key Exchange バージョン 2 ( IKEv2 )をサポートしている必要があります。
    3. 任意。上位層プロトコル( UDP 、 TCP 、 ICMP など)、ローカルポート番号、および保護するリモートポート番号を選択します。対応するパラメータは、それぞれ「 protocols 」、「 local-ports 」、および「 re moe-ports 」です。

      ONTAP IP アドレスとクライアント IP アドレスの間のすべてのトラフィックを保護するには、この手順を省略します。デフォルトでは、すべてのトラフィックを保護します。

    4. 目的の認証方式の 'auth-method' パラメータに PSK または PKI を入力します

      1. PSK を入力した場合は、他のすべてのオプションパラメータを終了した後、 Enter キーを押して事前共有キーを入力し、確認するプロンプトを表示します。

      2. PKI を入力する場合は、「 cert-name 」、「 local-identity 」、「 re mont-identity 」パラメータも入力する必要があります。リモートサイド証明書の ID が不明な場合、または複数のクライアント ID が必要な場合は、「何でも」という特殊語を入力します。

security ipsec policy create -vserver <vs1> -name <test34> -local-ip-subnets <192.168.134.34/32> -remote-ip-subnets <192.168.134.44/32>
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

ONTAP とクライアントの両方で一致する IPSec ポリシーを設定し、認証クレデンシャル( PSK または証明書)が両側に配置されるまで、 IP トラフィックはクライアントとサーバの間を流れることはできません。詳細については、クライアント側の IPSec 設定を参照してください。

IPsec ID を使用する

事前共有キー認証方式の場合、 IPsec クライアント( Libreswan など)で要求されない限り、 ID はオプションです。PKI/ 証明書認証方式の場合、ローカル ID とリモート ID の両方が必須です。ID は、各サイドの証明書で認証され、検証プロセスで使用される ID を指定します。remote-identity が不明な場合、または多くの異なる ID になる可能性がある場合は、特別な ID 「何でも」を使用します。

ONTAP では、 SPD エントリを変更するか、または SPD ポリシーを作成する際に、 ID を指定します。SPD には、 IP アドレスまたは文字列形式の ID 名を使用できます。

既存の SPD の ID 設定を変更するには、次のコマンドを使用します。

「セキュリティ IPsec ポリシーの変更」を参照してください

「 securityIPSec policy modify -vserver vs1-name_test34_local-identity_192.168.134.34_ -remote-identity client.fooboo.com` 」を参照してください

IPSec の複数クライアント設定

多数のクライアントで IPSec を利用する必要がある場合、クライアントごとに 1 つの SPD エントリを使用すれば十分です。ただし、数百、数千のクライアントで IPSec を利用する必要がある場合には、 IPSec の複数クライアント設定を使用することを推奨します。

ONTAP では、 IPSec が有効な単一の SVM IP アドレスに、多数のネットワーク上にある複数のクライアントを接続できます。これを行うには、次のいずれかの方法を使用します。

  • * サブネット構成 *

    特定のサブネット上のすべてのクライアント( 192.168.134.0/24 など)が、 1 つの SPD ポリシーエントリを使用して 1 つの SVM IP アドレスに接続できるようにするには、「 IP サブネット」をサブネット形式で指定する必要があります。また、「 remote-identity 」フィールドに正しいクライアント側の ID を指定する必要があります。

注記 サブネット設定で 1 つのポリシーエントリを使用する場合、そのサブネット内の IPsec クライアントは、 IPsec ID と Pre-Shared Key ( PSK ;事前共有キー)を共有します。ただし、これは証明書認証には当てはまりません。証明書を使用する場合、各クライアントは独自の一意の証明書または共有証明書を使用して認証できます。ONTAP IPSec は、ローカルの信頼ストアにインストールされている CA に基づいて、証明書の有効性をチェックします。ONTAP は、証明書失効リスト (CRL) チェックもサポートしています。
  • * すべてのクライアント設定を許可 *

    ソース IP アドレスに関係なく、すべてのクライアントが SVM IPsec 対応 IP アドレスに接続できるようにするには、「 remont-ip-Subnets 」フィールドを指定するときに「 0.0.0.0/0 」ワイルドカードを使用します。

    また、「 remote-identity 」フィールドに正しいクライアント側の ID を指定する必要があります。証明書認証の場合は、「何でも」を入力できます。

    また '0.0.0/0' ワイルドカードを使用する場合は ' 使用する特定のローカルまたはリモートのポート番号を設定する必要がありますたとえば 'nfs port 2049 と入力します

    ステップ
    1. 複数のクライアントに対して IPSec を設定するには、次のいずれかのコマンドを使用します。

      1. 複数の IPSec クライアントをサポートするために * サブネット構成 * を使用する場合:

        「 securityIPSec policy create -vserver vserver_name _ -name_policy_name_local-ip-subnets_ipsec_IP_address /32_ -remote-ip -subnets_ip_address / subnet_local-identity_local_id _ -remote-identity_remote_id`

      「 securityIPSec policy create -vserver_vs1_-name_subnet134_ -local-ip-subnets_192.168.134.34/32_ -remote-ip -subnets_192.168.134.0/24_local-identity_ONTAP_Side-identy_client_Side-idental_identity_

      1. すべてのクライアント構成を許可する * を使用して複数の IPSec クライアントをサポートする場合:

        「 securityIPSec policy create -vserver_name_policy-name_local-ip-subnets_ipsec_IP_address /32__ remote-ip-subnets_0.0.0/0_-local-ports_ports_number_local-identity_local-identity_local_id _ -remote_id`

    「 securityIPSec policy create -vserver_vs1_-name_test35_ -local-ipSubnets IP_ip_address /32 -remote-IP-Subnets 0.0/0-local-ports_2049 」 -local-identity_ONTAP_Side-identity_Side-idental_Side-idental_identity_Side-idental_identity_Side-identity_identity_`

IPSec の統計情報

ネゴシエーションを使用すると、 ONTAP SVM の IP アドレスとクライアントの IP アドレスの間に、 IKE セキュリティアソシエーション( SA )と呼ばれるセキュリティチャネルを確立できます。IPsec SA は、実際のデータ暗号化および復号化を実行するために両方のエンドポイントにインストールされます。

statistics コマンドを使用して、 IPsec SA と IKE SA の両方のステータスを確認できます。

IKE SA サンプルコマンド:

「 securityIPSec show -ikesasa -node hosting_node_name _for _svm _ip` 」を参照してください

IPSec SA サンプルコマンドおよび出力:

「 securityIPSec show -ipsecsa -node_hosting_node_name for _svm_ip 」と入力します

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

IPSec SA サンプルコマンドおよび出力:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED