Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ONTAPでデータ主体のアプローチでゼロトラストを実現

共同作成者

ゼロトラストネットワークは、データ中心のアプローチによって定義され、セキュリティ制御は可能な限りデータに近いものにする必要があります。ONTAPの機能とNetApp FPolicyパートナーエコシステムを組み合わせることで、データ中心のゼロトラストモデルに必要な制御を提供できます。

ONTAPは、NetAppが提供するセキュリティリッチなデータ管理ソフトウェアです。FPolicyゼロトラストエンジンは業界をリードするONTAP機能で、きめ細かなファイルベースのイベント通知インターフェイスを提供します。NetAppのFPolicyパートナーは、このインターフェイスを使用して、ONTAP内のデータアクセスの照度を高めることができます。

ゼロトラストアーキテクチャ図

ゼロトラストのデータ主体のMCAPを設計

データ中心のゼロトラストMCAPを設計するには、次の手順を実行します。

  1. すべての組織データの場所を特定します。

  2. データを分類

  3. 不要になったデータを安全に破棄できます。

  4. データ分類へのアクセス権を持つ役割を理解する。

  5. 最小権限の原則を適用して、アクセス制御を適用します。

  6. 管理アクセスとデータアクセスに多要素認証を使用します。

  7. 保存中のデータと転送中のデータに暗号化を使用

  8. すべてのアクセスを監視してログに記録します。

  9. 不審なアクセスまたは動作を警告します。

すべての組織データの場所を特定する

ONTAPのFPolicy機能とパートナーのNetAppアライアンスパートナーエコシステムを組み合わせることで、組織のデータがどこに存在し、誰がデータにアクセスできるかを特定できます。これには、データアクセスパターンが有効かどうかを特定するユーザ行動分析が使用されます。ユーザーの行動分析の詳細については、「すべてのアクセスを監視してログに記録する」を参照してください。データがどこにあり、誰がデータにアクセスできるかを理解していない場合、ユーザー行動分析は、経験的観察から分類とポリシーを構築するためのベースラインを提供できます。

データを分類

ゼロトラストモデルの用語では、データの分類には毒性データの識別が含まれます。有害データとは、組織の外部に公開することを意図していない機密データです。有害なデータの開示は、規制コンプライアンスに違反し、組織の評判を損なう可能性があります。規制コンプライアンスの観点から、有害データには、のカード所有者データ、EUの個人データ、またはの医療データが含まれます "クレジットカード業界の データ セキュリティ 標準 (PCI-DSS)" "一般データ保護規則(GDPR)" "医療保険の携行性と責任に関する法律(HIPAA)"。AIベースのツールキットであるNetApp(旧称Cloud Data Sense)を使用すると、データを自動的にスキャン、分析、分類でき "BlueXPの分類" ます。

不要になったデータを安全に廃棄

組織のデータを分類した後、一部のデータが不要になったり、組織の機能と関連性がなくなったりすることがあります。不要なデータの保持は責任であり、そのようなデータは削除する必要があります。暗号化によってデータを消去する高度なメカニズムについては、「保存データの暗号化」でのセキュアパージの説明を参照してください。

データ分類へのアクセス権が必要な役割を理解し、アクセス制御を実施するために最小権限の原則を適用する

機密データへのアクセスをマッピングし、最小権限の原則を適用すると、組織内のユーザーに、業務の遂行に必要なデータのみにアクセスできるようになります。このプロセスにはロールベースアクセス制御が含まれ ("RBAC"ます)。これは、データアクセスと管理アクセスに適用されます。

ONTAPでは、Storage Virtual Machine(SVM)を使用して、ONTAPクラスタ内のテナントによる組織のデータアクセスを分割できます。RBACは、SVMへのデータアクセスと管理アクセスに適用できます。RBACはクラスタ管理レベルでも適用できます。

RBACに加えて、ONTAP(MAV)を使用して、またはなどのコマンドの承認を1人以上の管理者に要求することができます "マルチ管理者認証" volume delete volume snapshot delete。MAVを有効にすると、MAVを変更または無効にするには、MAV管理者の承認が必要になります。

Snapshotコピーを保護するもう1つの方法として、ONTAPがあり "Snapshotコピーロック"ます。Snapshotコピーロックは、ボリュームSnapshotコピーポリシーの保持期間に応じて手動または自動でSnapshotコピーを消去できないようにするSnapLock機能です。Snapshotコピーロックは、改ざん防止Snapshotコピーロックとも呼ばれます。Snapshotコピーロックの目的は、悪意のある管理者や信頼されていない管理者がプライマリおよびセカンダリONTAPシステム上のSnapshotコピーを削除しないようにすることです。ランサムウェアによって破損したボリュームをリストアするために、プライマリシステム上のロックされたSnapshotコピーを迅速にリカバリできます。

管理アクセスとデータアクセスに多要素認証を使用

クラスタ管理のRBACに加えて、 "多要素認証(MFA)" ONTAP Web管理アクセスおよびSecure Shell(SSH)コマンドラインアクセス用にも導入できます。管理者アクセスのためのMFAは、米国の公共機関またはPCI-DSSに従う必要がある組織の要件です。MFAを使用すると、攻撃者がユーザー名とパスワードのみを使用してアカウントを侵害することが不可能になります。MFAでは、認証に2つ以上の独立した要素が必要です。二要素認証の例としては、秘密鍵などのユーザが所有するものや、パスワードなどのユーザが知っているものがあります。ONTAP System ManagerまたはActiveIQ Unified Managerへの管理Webアクセスは、Security Assertion Markup Language(SAML)2.0で有効になります。SSHコマンドラインアクセスでは、公開鍵とパスワードを使用したチェーン型の2要素認証が使用されます。

ONTAPのIDおよびアクセス管理機能を使用して、APIを使用してユーザおよびマシンのアクセスを制御できます。

  • ユーザ:

    • *認証と承認。*SMBとNFSのNASプロトコル機能を介して提供

    • *監査。*アクセスおよびイベントのsyslog。認証ポリシーと許可ポリシーをテストするためのCIFSプロトコルの詳細な監査ログ。詳細なNASアクセスをファイルレベルできめ細かくFPolicyで監査

  • デバイス:

    • *認証。*APIアクセス用の証明書ベースの認証。

    • *承認。*デフォルトまたはカスタムのRole-Based Access Control(RBAC;ロールベースアクセス制御)。

    • *監査。*実行されたすべてのアクションのsyslog。

保存中のデータと転送中のデータに暗号化を使用

保存データ暗号化

組織がドライブの転用、故障したドライブの返却、大容量ドライブの販売や取り引きを行ってドライブをアップグレードする際に、ストレージシステムのリスクとインフラのギャップを軽減するための新たな要件が日 々 発生しています。 ストレージエンジニアには、データの管理者や運用者として、データのライフサイクルを通じて安全にデータを管理、維持することが求められています。 "NetAppストレージ暗号化(NSE);NetAppボリューム暗号化(NVE);およびNetAppアグリゲート暗号化" 毒性があるかどうかにかかわらず、日常の運用に影響を与えることなく、保管中のすべてのデータを常に暗号化できます。 "NSE" は、FIPS 140-2レベル2認定自己暗号化ドライブを使用するONTAPハードウェアソリューションです "保存データ""NVEおよびNAE" は、を使用するONTAPソフトウェアソリューションです "保存データ" "FIPS 140-2レベル1認定NetApp暗号モジュール"。NVEおよびNAEでは、ハードドライブまたはソリッドステートドライブのいずれかを使用して保存データを暗号化できます。さらに、NSEドライブを使用して、暗号化の冗長性とセキュリティを強化するネイティブの階層型暗号化ソリューションを提供できます。1つのレイヤに違反しても、2つ目のレイヤでデータが保護されます。これらの機能により、ONTAPはに適しています "Quantum対応の暗号化"

NVEには、機密ファイルが分類されていないボリュームに書き込まれたときに、暗号化によってデータ流出から有害なデータを削除するという機能もあります。 "セキュアパージ"

ONTAPに組み込まれているキー管理ツールであるを "オンボードキーマネージャ( OKM )"使用するか、 "承認済み" またはサードパーティ製品 "カイフキカンリツル" をNSEおよびNVEと併用して、キー情報をセキュアに格納できます。

AFFおよびFAS向けの2レイヤ暗号化ソリューションのフロー図

上の図に示すように、ハードウェアベースとソフトウェアベースの暗号化を組み合わせることができます。この機能により、ではトップシークレットデータの保存が可能になり "分類されたプログラムのためのNSAの商用ソリューションへのONTAPの検証" ました。

転送中データの暗号化

ONTAPの転送中データ暗号化により、ユーザデータアクセスとコントロールプレーンアクセスが保護されます。ユーザデータアクセスは、Microsoft CIFS共有アクセスの場合はSMB 3.0暗号化、NFS Kerberos 5の場合はkrb5pによって暗号化できます。ユーザデータアクセスは、を使用してCIFS、NFS、iSCSIの暗号化することもできます "IPSec" 。コントロールプレーンアクセスは、Transport Layer Security(TLS)で暗号化されます。ONTAPには、コントロールプレーンアクセスのコンプライアンスモードが用意されて"FIPS"います。このモードでは、FIPS承認のアルゴリズムが有効になり、FIPS承認でないアルゴリズムが無効になります。データレプリケーションはで暗号化され "クラスタピア暗号化"ます。これにより、ONTAP SnapVaultテクノロジとSnapMirrorテクノロジが暗号化されます。

すべてのアクセスを監視してログに記録

RBACポリシーを設定したら、アクティブな監視、監査、アラートを導入する必要があります。NetApp ONTAPのFPolicyゼロトラストエンジンとを組み合わせること "NetApp FPolicyパートナーエコシステム"で、データ主体のゼロトラストモデルに必要な制御を実現できます。NetApp ONTAPは、セキュリティが充実したデータ管理ソフトウェアであり "FPolicy" 、きめ細かなファイルベースのイベント通知インターフェイスを提供する、業界をリードするONTAP機能です。NetAppのFPolicyパートナーは、このインターフェイスを使用して、ONTAP内のデータアクセスの照度を高めることができます。ONTAPのFPolicy機能とFPolicyパートナーのNetAppアライアンスパートナーエコシステムを組み合わせることで、組織のデータがどこに存在し、誰がデータにアクセスできるかを特定できます。これには、データアクセスパターンが有効かどうかを特定するユーザ行動分析が使用されます。ユーザの行動分析を使用すると、通常のパターンから外れた不審なデータアクセスや異常なデータアクセスをアラートで通知し、必要に応じてアクセスを拒否するアクションを実行できます。

FPolicyパートナーは、ユーザ行動分析にとどまらず、機械学習(ML)や人工知能(AI)に移行しつつあります。これにより、イベントの忠実度が向上し、誤検出があった場合にはそれを減らすことができます。すべてのイベントは、syslogサーバ、またはMLやAIを使用できるセキュリティ情報イベント管理(SIEM)システムに記録する必要があります。

FPolicyのアーキテクチャ図

ネットアップのストレージワークロードセキュリティ(旧称: "Cloud Secure")は、クラウドとオンプレミスの両方のONTAPストレージシステムでFPolicyインターフェイスとユーザ行動分析を使用して、悪意のあるユーザの行動に関するリアルタイムのアラートを提供します。Storage Workload Securityは、高度な機械学習と異常検出機能を通じて、悪意のあるユーザや不正ユーザによる不正使用を防ぎます。Storage Workload Securityは、ランサムウェア攻撃やその他の不正な動作を特定し、Snapshotコピーを起動して、悪意のあるユーザを隔離します。Storage Workload Securityには、ユーザとエンティティのアクティビティの詳細を表示するフォレンジック機能もあります。ストレージワークロードセキュリティはNetApp Cloud Insightsの一部です。

ONTAPには、ストレージワークロードのセキュリティに加えて、(ARP)と呼ばれるランサムウェア検出機能が搭載され "自律型ランサムウェア対策" ています。ARPは機械学習を使用して、ランサムウェア攻撃が進行中であることを示す異常なファイルアクティビティがないかどうかを判断し、Snapshotコピーを呼び出して管理者にアラートを送信します。Storage Workload Securityは、ONTAPと統合してARPイベントを受信し、追加の分析機能と自動応答レイヤを提供します。

この手順で説明されているコマンドの詳細については、を"ONTAPコマンド リファレンス"参照してください。