StorageGRID ネットワークのセキュリティ強化のガイドライン
StorageGRID システムでは、グリッドノードあたり最大 3 つのネットワークインターフェイスがサポートされ、各グリッドノードのネットワークをセキュリティやアクセスの要件に応じて設定することができます。
グリッドネットワークのガイドライン
グリッドネットワークはすべての内部 StorageGRID トラフィック用に設定する必要があります。グリッドネットワークのグリッドノードは、いずれも他のすべてのノードと通信できなければなりません。
グリッドネットワークを設定する際は、次のガイドラインに従ってください。
-
オープンインターネット上のクライアントなど、信頼できないクライアントからネットワークが保護されていることを確認します。
-
可能な場合は、グリッドネットワークを内部トラフィック専用にします。管理ネットワークとクライアントネットワークの両方に、内部サービスへの外部トラフィックをブロックするファイアウォール制限が追加されています。グリッドネットワークを使用した外部クライアントトラフィックの処理はサポートされていますが、この使用によって保護レイヤが少なくなります。
-
StorageGRID 環境が複数のデータセンターにまたがっている場合は、仮想プライベートネットワーク( VPN )またはグリッドネットワーク上で同等の機能を使用して、内部トラフィックをさらに保護します。
-
一部のメンテナンス手順では、プライマリ管理ノードと他のすべてのグリッドノードの間のポート 22 で Secure Shell ( SSH )アクセスが必要です。外部ファイアウォールを使用して、信頼できるクライアントへの SSH アクセスを制限します。
管理ネットワークのガイドライン
管理ネットワークは、通常、管理タスク( Grid Manager または SSH を使用する信頼できる従業員)および LDAP 、 DNS 、 NTP 、 KMS ( KMIP サーバ)などの信頼された他のサービスとの通信に使用します。ただし、 StorageGRID ではこの使用が内部的に適用されることはありません。
管理ネットワークを使用する場合は、次のガイドラインに従ってください。
-
管理ネットワーク上のすべての内部トラフィックポートをブロックします。使用するプラットフォームに対応したインストールガイドの内部ポートの一覧を参照してください。
-
信頼されていないクライアントが管理ネットワークにアクセスできる場合は、外部ファイアウォールで管理ネットワーク上の StorageGRID へのアクセスをブロックします。
クライアントネットワークのガイドライン
クライアントネットワークは、通常、テナント、および CloudMirror レプリケーションサービスや別のプラットフォームサービスなどの外部サービスとの通信に使用されます。ただし、 StorageGRID ではこの使用が内部的に適用されることはありません。
クライアントネットワークを使用する場合は、次のガイドラインに従ってください。
-
クライアントネットワーク上のすべての内部トラフィックポートをブロックします。使用するプラットフォームに対応したインストールガイドの内部ポートの一覧を参照してください。
-
明示的に設定されたエンドポイントでのみ、インバウンドクライアントトラフィックを受け入れます。StorageGRID の管理手順の信頼されていないクライアントネットワークの管理に関する情報を参照してください。