Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPネットワークのIPセキュリティを構成する

共同作成者 netapp-bhouser dmp-netapp netapp-aaron-holt netapp-barbe netapp-aherbin
PDF

ONTAPクラスタでIPSecの転送中暗号化を設定してアクティブ化するためには、いくつかのタスクを実行する必要があります。

メモ IPsec を設定する前に、必ず"IPセキュリティを使用する準備"を確認してください。たとえば、ONTAP 9.16.1以降で使用可能なIPsecハードウェア オフロード機能を使用するかどうかを決定する必要がある場合があります。

クラスタでのIPsecの有効化

IPsecをクラスタで有効にすることで、転送中もデータの安全性と暗号化を維持できます。

手順

  1. IPsecがすでに有効になっているかどうかを確認します。

    security ipsec config show

    結果に `IPsec Enabled: false`が含まれる場合は、次の手順に進みます。

  2. IPsecを有効にします。

    security ipsec config modify -is-enabled true

    ブール型パラメータ `is-offload-enabled`を使用して、IPsec ハードウェア オフロード機能を有効にできます。

  3. 検出コマンドをもう一度実行します。

    security ipsec config show

    結果には `IPsec Enabled: true`が含まれるようになりました。

証明書認証用のIPsecポリシーの作成準備

この手順は、認証に事前共有キー(PSK)のみを使用しており、証明書認証を使用しない場合は省略できます。

認証に証明書を使用するIPsecポリシーを作成する前に、次の前提条件を満たしていることを確認する必要があります。

  • ONTAPとクライアントの両方がエンド エンティティ(ONTAPまたはクライアント)の証明書を検証できるように、両方に相手側のCA証明書がインストールされている。

  • ポリシーの対象になるONTAP LIFの証明書がインストールされている。

メモ 証明書はONTAP LIF間で共有できます。証明書とLIFが1対1で対応している必要はありません。
手順

  1. すでにインストールされている場合(ONTAPの自己署名ルートCAの場合)を除き、相互認証で使用するすべてのCA証明書(ONTAP側とクライアント側の両方のCAを含む)をONTAP証明書管理にインストールします。

    サンプル コマンド
    cluster::> security certificate install -vserver svm_name -type server-ca -cert-name my_ca_cert

  2. 認証中にインストールされている CA が IPsec CA 検索パス内にあることを確認するには、 `security ipsec ca-certificate add`コマンドを使用して ONTAP 証明書管理 CA を IPsec モジュールに追加します。

    サンプル コマンド
    cluster::> security ipsec ca-certificate add -vserver svm_name -ca-certs my_ca_cert

  3. ONTAP LIFで使用する証明書を作成してインストールします。この証明書の発行元CAがすでにONTAPにインストールされ、IPsecに追加されている必要があります。

    サンプル コマンド
    cluster::> security certificate install -vserver svm_name -type server -cert-name my_nfs_server_cert

ONTAPの証明書の詳細については、ONTAP 9のドキュメントのsecurity certificateコマンドを参照してください。

セキュリティ ポリシー データベース(SPD)の定義

IPsecでトラフィックをネットワーク上で転送するためにはSPDエントリが必要です。これは、認証にPSKと証明書のどちらを使用する場合にも当てはまります。

手順

  1. `security ipsec policy create`コマンドを使用して次の操作を実行します:

    1. IPsec転送に参加するONTAPのIPアドレスまたはIPアドレスのサブネットを選択します。

    2. ONTAPのIPアドレスに接続するクライアントのIPアドレスを選択します。

      メモ クライアントでInternet Key Exchangeバージョン2(IKEv2)と事前共有キー(PSK)がサポートされている必要があります。

    3. 必要に応じて、トラフィックを保護するための上位層プロトコル(UDP、TCP、ICMPなど)、ローカルポート番号、リモートポート番号などの詳細なトラフィックパラメータを選択します。対応するパラメータは、 protocolslocal-ports、 `remote-ports`です。

      この手順は、ONTAPのIPアドレスとクライアントのIPアドレスの間のすべてのトラフィックを保護する場合は省略します。デフォルトでは、すべてのトラフィックが保護されます。

    4. 希望する認証方法の `auth-method`パラメータとして、PSK または公開鍵インフラストラクチャ(PKI)を入力します。

      1. PSK を入力する場合は、パラメータを含めて、<enter> を押して事前共有キーを入力して検証します。

        メモ ホストとクライアントの両方がstrongSwanを使用し、ホストまたはクライアントに対してワイルドカード ポリシーが選択されていない場合、 `local-identity`および `remote-identity`パラメータはオプションです。

      2. PKIを入力する場合は、 cert-namelocal-identity、 `remote-identity`パラメータも入力する必要があります。リモート側の証明書IDが不明な場合、または複数のクライアントIDが想定される場合は、特別なID `ANYTHING`を入力してください。

    5. ONTAP 9.17.1以降では、 `ppk-identity`パラメータを使用して、オプションでポスト量子事前共有鍵(PPK)IDを入力できます。PPKは、将来起こりうる量子コンピュータ攻撃に対するセキュリティをさらに強化します。PPK IDを入力すると、PPKシークレットの入力を求められます。PPKはPSK認証でのみサポートされます。

      `security ipsec policy create`の詳細については、link:https://docs.netapp.com/us-en/ontap-cli/security-ipsec-policy-create.html["ONTAPコマンド リファレンス"^]をご覧ください。
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32
Enter the preshared key for IPsec Policy _test34_ on Vserver _vs1_:
security ipsec policy create -vserver vs1 -name test34 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.44/32 -local-ports 2049 -protocols tcp -auth-method PKI -cert-name my_nfs_server_cert -local-identity CN=netapp.ipsec.lif1.vs0 -remote-identity ANYTHING

ONTAPとクライアントの両方で一致するIPsecポリシーが設定され、両方に認証クレデンシャル(PSKまたは証明書)がインストールされるまで、クライアントとサーバの間でIPトラフィックを転送することはできません。

IPsec IDの使用

事前共有キー認証方式では、ホストとクライアントの両方でstrongSwanを使用しており、ホストまたはクライアントに対してワイルドカード ポリシーが選択されていない場合、ローカルIDとリモートIDは任意です。

PKI/証明書認証方式では、ローカルIDとリモートIDの両方が必須です。これらのIDは、それぞれの証明書内で認証されるIDを指定し、検証プロセスで使用されます。リモートIDが不明な場合、または複数の異なるIDが使用される可能性がある場合は、特別なID `ANYTHING`を使用してください。

タスク概要

ONTAPでは、SPDエントリを変更するかSPDポリシーの作成時にIDを指定します。SPDには、IPアドレスまたは文字列形式のID名を使用できます。

手順

  1. 次のコマンドを使用して、既存のSPD ID設定を変更します。

security ipsec policy modify

コマンド例

security ipsec policy modify -vserver vs1 -name test34 -local-identity 192.168.134.34 -remote-identity client.fooboo.com

IPsecの複数クライアント設定

IPsecを利用するクライアントの数が少ない場合は、クライアントごとにSPDエントリを1つ使用するだけで十分です。ただし、数百、数千のクライアントがIPsecを利用する必要がある場合は、IPsecの複数クライアント設定を使用することを推奨します。

タスク概要

ONTAPでは、IPsecを有効にした状態で、単一のSVM IPアドレスに複数のクライアントを多数のネットワーク経由で接続できます。そのためには、次のいずれかの方法を使用します。

  • サブネット構成

    特定のサブネット(例:192.168.134.0/24)上のすべてのクライアントが単一のSPDポリシーエントリを使用して単一のSVM IPアドレスに接続できるようにするには、 `remote-ip-subnets`をサブネット形式で指定する必要があります。さらに、 `remote-identity`フィールドに正しいクライアント側IDを指定する必要があります。

メモ サブネット設定で単一のポリシー エントリを使用する場合、そのサブネット内のIPsecクライアントはIPsec IDと事前共有キー(PSK)を共有します。ただし、これは証明書認証には当てはまりません。証明書を使用する場合は、各クライアントはそれぞれ固有の証明書か共有の証明書のいずれかを認証に使用できます。ONTAPのIPsecは、証明書の有効性をローカルの信頼ストアにインストールされているCAに基づいてチェックします。証明書失効リスト(CRL)のチェックもサポートされています。

  • すべてのクライアント構成を許可する

    送信元 IP アドレスに関係なく、すべてのクライアントが SVM IPsec 対応 IP アドレスに接続できるようにするには、 `remote-ip-subnets`フィールドを指定するときに `0.0.0.0/0`ワイルドカードを使用します。

    さらに、正しいクライアント側IDを `remote-identity`フィールドに指定する必要があります。証明書認証の場合は、 `ANYTHING`と入力できます。

    また、 0.0.0.0/0`ワイルドカードを使用する場合は、使用するローカルまたはリモートのポート番号を具体的に設定する必要があります。例: `NFS port 2049

    手順

    1. 次のいずれかのコマンドを使用して、複数クライアント向けのIPsecを設定します。

      1. 複数の IPsec クライアントをサポートするために サブネット構成 を使用している場合:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets IP_address/subnet -local-identity local_id -remote-identity remote_id

      コマンド例

      security ipsec policy create -vserver vs1 -name subnet134 -local-ip-subnets 192.168.134.34/32 -remote-ip-subnets 192.168.134.0/24 -local-identity ontap_side_identity -remote-identity client_side_identity

      1. 複数の IPsec クライアントをサポートするために すべてのクライアントを許可する構成 を使用している場合:

        security ipsec policy create -vserver vserver_name -name policy_name -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports port_number -local-identity local_id -remote-identity remote_id

    コマンド例

    security ipsec policy create -vserver vs1 -name test35 -local-ip-subnets IPsec_IP_address/32 -remote-ip-subnets 0.0.0.0/0 -local-ports 2049 -local-identity ontap_side_identity -remote-identity client_side_identity

IPSecの統計の表示

ネゴシエーションを通じて、ONTAP SVMのIPアドレスとクライアントのIPアドレスの間に、IKEセキュリティ アソシエーション(SA)と呼ばれるセキュリティ チャネルが確立されます。実際のデータの暗号化と復号化を実行するために、両方のエンドポイントにIPsec SAがインストールされます。統計コマンドを使用して、IPsec SAとIKE SAの両方のステータスを確認できます。

メモ IPsec ハードウェア オフロード機能を使用している場合は、コマンド `security ipsec config show-ipsecsa`でいくつかの新しいカウンターが表示されます。
コマンド例

IKE SAのコマンドの例:

security ipsec show-ikesa -node hosting_node_name_for_svm_ip

IPsec SAのコマンドと出力の例:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ikesa -node cluster1-node1
            Policy Local           Remote
Vserver     Name   Address         Address         Initator-SPI     State
----------- ------ --------------- --------------- ---------------- -----------
vs1         test34
                   192.168.134.34  192.168.134.44  c764f9ee020cec69 ESTABLISHED

IPsec SAのコマンドと出力の例:

security ipsec show-ipsecsa -node hosting_node_name_for_svm_ip

cluster1::> security ipsec show-ipsecsa -node cluster1-node1
            Policy  Local           Remote          Inbound  Outbound
Vserver     Name    Address         Address         SPI      SPI      State
----------- ------- --------------- --------------- -------- -------- ---------
vs1         test34
                    192.168.134.34  192.168.134.44  c4c5b3d6 c2515559 INSTALLED
関連情報