AES暗号化を使用したKerberosベースの通信用の強力なONTAP SMBセキュリティを構成する
変更を提案
PDF
Kerberosベースの通信による最も強固なセキュリティを実現するために、AES-256暗号化とAES-128暗号化をSMBサーバで有効にすることができます。デフォルトでは、SVMでのSMBサーバの作成時にAdvanced Encryption Standard(AES)暗号化は無効になっています。AES暗号化が提供する強固なセキュリティを活用するには、AES暗号化を有効にする必要があります。
SMBのKerberos関連の通信は、SVMでSMBサーバを作成する際や、SMBセッションの設定フェーズで使用されます。SMBサーバはKerberos通信で次の暗号化タイプをサポートしています。
-
AES 256
-
AES 128
-
DES
-
RC4-HMAC
Kerberos通信で最高のセキュリティを持つ暗号化タイプを使用する場合は、SVMのKerberos通信でAES暗号化を有効にする必要があります。
SMBサーバを作成すると、ドメイン コントローラによってActive Directoryにコンピュータ マシン アカウントが作成されます。この時点で、KDCは特定のマシン アカウントの暗号化機能を認識するようになっています。これ以降は、認証の際にクライアントがサーバに提示するサービス チケットを暗号化するために特定の暗号化タイプが選択されます。
ONTAP 9.12.1以降では、Active Directory(AD)KDCにアドバタイズする暗号化タイプを指定できるようになりました。 `-advertised-enc-types`オプションを使用して、推奨される暗号化タイプを有効にしたり、より弱い暗号化タイプを無効にしたりできます。"Kerberosベースの通信用にAES暗号化を設定する"方法をご確認ください。
|
SMB 3.0で利用可能なIntel AES New Instructions(Intel AES NI)はAESアルゴリズムの改良版で、サポート対象のプロセッサ ファミリーでのデータ暗号化処理を高速化します。SMB 3.1.1以降では、SMB暗号化で使用されるハッシュ アルゴリズムとして、AES-128-CCMに代わってAES-128-GCMが使用されます。 |