Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ワイヤ暗号化を介した IP セキュリティ( IPsec )を設定します

共同作成者
PDF

ONTAPは、転送モードでインターネットプロトコルセキュリティ(IPsec)を使用して、転送中もデータの安全性と暗号化を継続的に確保します。IPSec では、 NFS 、 iSCSI 、 SMB の各プロトコルを含むすべての IP トラフィックを暗号化できます。

ONTAP 9.12.1以降では、フロントエンドホストプロトコルIPsecサポートは、MetroCluster IPおよびMetroCluster ファブリック接続構成で利用できます。
MetroCluster クラスタでのIPSecのサポートは、フロントエンドのホストトラフィックに限定され、MetroCluster のクラスタ間LIFではサポートされません。

ONTAP 9.10.1 以降では、 Pre-Shared Key ( PSK; 事前共有キー)または証明書のいずれかを使用して IPSec での認証を行うことができます。以前は、 IPsec でサポートされていたのは PSK だけでした。

ONTAP 9.9.1以降では、IPsecで使用される暗号化アルゴリズムがFIPS 140-2に準拠しています。アルゴリズムは、ONTAP のNetApp Cryptographic Moduleによって生成され、FIPS 140-2認定を継承しています。

ONTAP 9.8以降では、ONTAPでトランスポートモードのIPsecがサポートされます。

IPSec の設定後は、リプレイ攻撃や中間者( MITM )攻撃に対抗するための予防措置を講じて、クライアントと ONTAP 間のネットワークトラフィックを保護します。

NetApp SnapMirror およびクラスタピアリングトラフィックの暗号化では、クラスタピアリング暗号化( CPE )の場合でも、 IPSec 経由でセキュアな転送レイヤセキュリティ( TLS )を使用することを推奨します。これは、TLSの方がIPsecよりもパフォーマンスが優れているためです。

クラスタで IPSec 機能が有効になっている場合、ネットワークでトラフィックを処理するには、保護対象のトラフィックと一致する Security Policy Database ( SPD )エントリ、および保護の詳細(暗号スイートや認証方式など)を指定する必要があります。各クライアントには、対応する SPD エントリも必要です。

クラスタで IPSec を有効に設定します

クラスタの IPSec を有効にして、転送中もデータのセキュリティを継続的に確保し、暗号化することができます。

手順

  1. IPSec がすでに有効になっているかどうかを検出します。

    security ipsec config show

    結果にが含まれている場合 `IPsec Enabled: false`次の手順に進みます。

  2. IPsec を有効にします。

    security ipsec config modify -is-enabled true

  3. 検出コマンドを再度実行します。

    security ipsec config show

    結果にが含まれるようになりました IPsec Enabled: true

証明書認証を使用したIPSecポリシーの作成の準備

認証に事前共有キー(PSK)のみを使用し、証明書認証を使用しない場合は、この手順を省略できます。

認証に証明書を使用するIPsecポリシーを作成する前に、次の前提条件を満たしていることを確認する必要があります。

  • エンドエンティティ(ONTAPまたはクライアント)の証明書を両側で検証できるように、ONTAPとクライアントの両方に相手のCA証明書をインストールする必要があります。

  • ポリシーに含まれる ONTAP LIF の証明書がインストールされます

メモ ONTAP LIF は証明書を共有できます。証明書と LIF の間に 1 対 1 のマッピングは必要ありません。
手順

  1. 相互認証で使用したすべてのCA証明書(ONTAP側CAとクライアント側CAの両方を含む)をONTAP証明書管理にインストールします(ONTAPの自己署名ルートCAの場合など)。

    サンプルコマンド
    cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. インストールされているCAが認証時にIPsec CA検索パス内にあることを確認するには、を使用して、ONTAP証明書管理CAをIPsecモジュールに追加します。 security ipsec ca-certificate add コマンドを実行します

    サンプルコマンド
    cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. ONTAP LIF で使用する証明書を作成してインストールします。この証明書の発行元 CA がすでに ONTAP にインストールされ、 IPSec に追加されている必要があります。

    サンプルコマンド
    cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

ONTAPの証明書の詳細については、ONTAP 9のドキュメントのsecurity certificateコマンドを参照してください。

セキュリティポリシーデータベース( SPD )の定義

IPSec では、トラフィックをネットワーク上に転送する前に SPD エントリが必要です。これは、認証に PSK と証明書のどちらを使用している場合にも当てはまります。

手順

  1. を使用します security ipsec policy create コマンドの宛先:

    1. ONTAP IP アドレスまたは IP アドレスのサブネットを選択して、 IPSec 転送に参加します。

    2. ONTAP IP アドレスに接続するクライアント IP アドレスを選択します。

      メモ クライアントは、 Pre-Shared Key ( PSK )を使用して Internet Key Exchange バージョン 2 ( IKEv2 )をサポートしている必要があります。

    3. 任意。上位層プロトコル(UDP、TCP、ICMPなど)など、きめ細かなトラフィックパラメータを選択します。 )、ローカルポート番号、およびトラフィックを保護するリモートポート番号。対応するパラメータはです protocolslocal-ports および remote-ports それぞれ。

      ONTAP IP アドレスとクライアント IP アドレスの間のすべてのトラフィックを保護するには、この手順を省略します。デフォルトでは、すべてのトラフィックを保護します。

    4. のPSKまたは公開キーインフラストラクチャ(PKI)を入力します。 auth-method 必要な認証方式のパラメータ。

      1. PSKを入力する場合は、パラメータを指定し、<enter>キーを押して事前共有キーの入力と確認を求めるプロンプトを表示します。

        メモ local-identity および remote-identity ホストとクライアントの両方でstrongSwanを使用し、ホストまたはクライアントに対してワイルドカードポリシーが選択されていない場合、パラメータはオプションです。

      2. PKIを入力する場合は、も入力する必要があります cert-namelocal-identityremote-identity パラメータリモート側の証明書IDが不明な場合、または複数のクライアントIDが予想される場合は、特殊なIDを入力します。 ANYTHING

security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

ONTAPとクライアントの両方が一致するIPsecポリシーを設定し、認証クレデンシャル(PSKまたは証明書)が両側に配置されるまで、IPトラフィックはクライアントとサーバの間を流れません。詳細については、クライアント側のIPsec設定を参照してください。

IPsec ID を使用する

事前共有キー認証方式では、ホストとクライアントの両方でstrongSwanを使用し、ホストまたはクライアントに対してワイルドカードポリシーが選択されていない場合、ローカルIDとリモートIDはオプションです。

PKI/ 証明書認証方式の場合、ローカル ID とリモート ID の両方が必須です。IDは、各側の証明書内で認証され、検証プロセスで使用されるIDを指定します。リモートIDが不明な場合、または多数の異なるIDである可能性がある場合は、特別なIDを使用します ANYTHING

このタスクについて

ONTAP では、 SPD エントリを変更するか、または SPD ポリシーを作成する際に、 ID を指定します。SPD には、 IP アドレスまたは文字列形式の ID 名を使用できます。

ステップ

既存のSPD ID設定を変更するには、次のコマンドを使用します。

security ipsec policy modify

コマンドの例を示します

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

IPSec の複数クライアント設定

多数のクライアントで IPSec を利用する必要がある場合、クライアントごとに 1 つの SPD エントリを使用すれば十分です。ただし、数百、数千のクライアントで IPSec を利用する必要がある場合には、 IPSec の複数クライアント設定を使用することを推奨します。

このタスクについて

ONTAP では、 IPSec が有効な単一の SVM IP アドレスに、多数のネットワーク上にある複数のクライアントを接続できます。これを行うには、次のいずれかの方法を使用します。

  • * サブネット構成 *

    特定のサブネット(192.168.134.0/24など)のすべてのクライアントが単一のSPDポリシーエントリを使用して単一のSVM IPアドレスに接続できるようにするには、を指定する必要があります remote-ip-subnets サブネット形式。また、を指定する必要があります remote-identity フィールドに正しいクライアント側IDを入力します。

メモ サブネット設定で 1 つのポリシーエントリを使用する場合、そのサブネット内の IPsec クライアントは、 IPsec ID と Pre-Shared Key ( PSK ;事前共有キー)を共有します。ただし、これは証明書認証には当てはまりません。証明書を使用する場合、各クライアントは独自の一意の証明書または共有証明書を使用して認証できます。ONTAP IPSec は、ローカルの信頼ストアにインストールされている CA に基づいて、証明書の有効性をチェックします。ONTAP は、証明書失効リスト (CRL) チェックもサポートしています。

  • * すべてのクライアント設定を許可 *

    ソースIPアドレスに関係なくすべてのクライアントにSVMのIPsec対応IPアドレスへの接続を許可するには、を使用します 0.0.0.0/0 ワイルドカードヲシテイスルバアイ remote-ip-subnets フィールド。

    また、を指定する必要があります remote-identity フィールドに正しいクライアント側IDを入力します。証明書認証の場合は、と入力できます ANYTHING

    また、ときに 0.0.0.0/0 ワイルドカードを使用する場合は、使用する特定のローカルまたはリモートポート番号を設定する必要があります。例: NFS port 2049

    手順

    1. 複数のクライアントに対してIPsecを設定するには、次のいずれかのコマンドを使用します。

      1. サブネット設定*を使用して複数のIPsecクライアントをサポートする場合:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      コマンドの例を示します

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. [すべてのクライアントの設定を許可する]*を使用して複数のIPsecクライアントをサポートする場合は、次の手順を実行します。

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    コマンドの例を示します

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

IPSec の統計情報

ネゴシエーションを使用すると、 ONTAP SVM の IP アドレスとクライアントの IP アドレスの間に、 IKE セキュリティアソシエーション( SA )と呼ばれるセキュリティチャネルを確立できます。IPsec SA は、実際のデータ暗号化および復号化を実行するために両方のエンドポイントにインストールされます。

statistics コマンドを使用して、 IPsec SA と IKE SA の両方のステータスを確認できます。

コマンドの例を示します

IKE SA サンプルコマンド:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

IPSec SA サンプルコマンドおよび出力:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

IPSec SA サンプルコマンドおよび出力:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED