StorageGRID ノードの保護対策のガイドライン
StorageGRID ノードは、VMware仮想マシン、Linuxホスト上のDockerコンテナ内に導入できるほか、専用のハードウェアアプライアンスとして導入することもできます。プラットフォームのタイプとノードのタイプにはそれぞれ、強化に関するベストプラクティスがあります。
ファイアウォールの設定
システム強化プロセスの一環として、外部ファイアウォールの設定を確認し、 IP アドレスとそれが厳密に必要なポートからのみトラフィックが許可されるように変更する必要があります。
VMwareプラットフォームおよびStorageGRID アプライアンスで実行されるノードは、自動的に管理される内部ファイアウォールを使用します。この内部ファイアウォールは、一部の一般的な脅威に対する追加の保護レイヤを提供しますが、外部ファイアウォールの必要性は排除されません。
StorageGRID で使用されるすべての内部ポートと外部ポートの一覧については、ご使用のプラットフォームのインストールガイドを参照してください。
仮想化、コンテナ、共有ハードウェア
すべての StorageGRID ノードで、信頼されていないソフトウェアと同じ物理ハードウェア上で StorageGRID を実行しないでください。StorageGRID とマルウェアの両方が同じ物理ハードウェア上に存在する場合、ハイパーバイザーによる保護によって、 StorageGRID で保護されたデータへのマルウェアのアクセスが防止されるとは限りません。たとえば、 Meltdown と Specter 攻撃は、最新のプロセッサに存在する重要な脆弱性を悪用し、プログラムが同じコンピュータ上のメモリにデータを盗むことを可能にします。
未使用のサービスを無効にします
すべての StorageGRID ノードについて、未使用のサービスへのアクセスを無効化またはブロックする必要があります。たとえば、 CIFS または NFS 用の監査共有へのクライアントアクセスを設定しない場合は、これらのサービスへのアクセスをブロックするか無効にします。
インストール中にノードを保護
信頼されていないユーザが、ノードのインストール時にネットワーク経由で StorageGRID ノードにアクセスすることを許可しないでください。ノードは、グリッドに参加するまで完全にはセキュアではありません。
管理ノードのガイドライン
管理ノードは、システムの設定、監視、ロギングなどの管理サービスを提供します。Grid Manager または Tenant Manager にサインインすると、管理ノードに接続されます。
StorageGRID システムで管理ノードを保護するには、次のガイドラインに従います。
-
開いているインターネット上の管理ノードなど、信頼されていないクライアントからすべての管理ノードを保護します。グリッドネットワーク上、管理ネットワーク上、またはクライアントネットワーク上のどの管理ノードにも、信頼されていないクライアントがアクセスできないようにします。
-
StorageGRID グループは Grid Manager とテナントマネージャの機能へのアクセスを制御します。各ユーザグループにロールに最低限必要な権限を付与し、読み取り専用アクセスモードを使用してユーザによる設定変更を防止します。
-
StorageGRID ロードバランサエンドポイントを使用する場合は、信頼されないクライアントトラフィックに管理ノードの代わりにゲートウェイノードを使用します。
-
信頼されていないテナントがある場合は、テナントマネージャやテナント管理 API に直接アクセスすることを許可しないでください。代わりに、信頼されていないテナントがテナントポータルまたはテナント管理 API と連動する外部テナント管理システムを使用するようにします。
-
必要に応じて、管理ノードからネットアップサポートへの AutoSupport 通信をより細かく制御するために管理プロキシを使用します。StorageGRID の管理手順の管理プロキシの作成手順を参照してください。
-
必要に応じて、制限された 8443 ポートと 9443 ポートを使用して Grid Manager と Tenant Manager の通信を分離します。共有ポート 443 をブロックして、テナント要求をポート 9443 に制限して追加の保護を確保します。
-
必要に応じて、グリッド管理者とテナントユーザには別々の管理ノードを使用します。
詳細については、 StorageGRID の管理手順を参照してください。
ストレージノードに関するガイドライン
ストレージノードは、オブジェクトデータとメタデータを管理および格納します。StorageGRID システムでストレージノードを保護するには、次のガイドラインに従います。
-
信頼されていないテナントのアウトバウンドサービスは有効にしないでください。たとえば、信頼されていないテナントのアカウントを作成する場合は、テナントが独自のアイデンティティソースを使用することを許可せず、プラットフォームサービスの使用も許可しないでください。StorageGRID の管理手順に従って、テナントアカウントを作成する手順を参照してください。
-
信頼されないクライアントトラフィックには、サードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。
-
必要に応じて、ストレージプロキシを使用して、クラウドストレージプールとプラットフォームサービスのストレージノードから外部サービスへの通信をより細かく制御します。StorageGRID の管理手順のストレージプロキシの作成手順を参照してください。
-
必要に応じて、クライアントネットワークを使用して外部サービスに接続します。次に、「* Configuration > Network Settings > Untrusted Client Network *」を選択し、ストレージノード上のクライアントネットワークが信頼されていないことを示します。ストレージノードはクライアントネットワーク上の受信トラフィックを受け入れなくなりますが、プラットフォームサービスへのアウトバウンド要求は引き続き許可します。
ゲートウェイノードのガイドライン
ゲートウェイノードは、クライアントアプリケーションが StorageGRID への接続に使用できるオプションのロードバランシングインターフェイスです。StorageGRID システムにゲートウェイノードを保護するには、次のガイドラインに従います。
-
ゲートウェイノード上の CLB サービスを使用する代わりに、ロードバランサエンドポイントを設定して使用する。StorageGRID の管理手順のロードバランシングの管理手順を参照してください。
CLB サービスは廃止されました。 -
クライアントとゲートウェイノードまたはストレージノードの間で、信頼されていないクライアントトラフィックにサードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。サードパーティのロードバランサを使用する場合でも、内部のロードバランサエンドポイントを経由するようにネットワークトラフィックを設定したり、ストレージノードに直接送信したりすることができます。
-
ロードバランサエンドポイントを使用している場合は、必要に応じてクライアントネットワーク経由で接続します。次に、「* Configuration > Network Settings > Untrusted Client Network *」を選択し、ゲートウェイノード上のクライアントネットワークが信頼されていないことを示します。ゲートウェイノードは、ロードバランサエンドポイントとして明示的に設定されたポートのインバウンドトラフィックのみを受け入れます。
ハードウェアアプライアンスノードのガイドライン
StorageGRID ハードウェアアプライアンスは、 StorageGRID システム専用に設計されています。一部のアプライアンスはストレージノードとして使用できます。その他のアプライアンスは、管理ノードまたはゲートウェイノードとして使用できます。アプライアンスノードをソフトウェアベースのノードと組み合わせることも、自社開発の全アプライアンスグリッドを導入することもできます。
StorageGRID システムにハードウェアアプライアンスノードを固定するには、次のガイドラインに従います。
-
アプライアンスでストレージコントローラの管理に SANtricity System Manager を使用している場合は、信頼されていないクライアントからネットワーク経由で SANtricity System Manager にアクセスできないようにします。
-
アプライアンスに Baseboard Management Controller ( BMC ;ベースボード管理コントローラ)が搭載されている場合は、 BMC 管理ポートで下位レベルのハードウェアアクセスが許可されることに注意してください。BMC 管理ポートは、信頼されているセキュアな内部管理ネットワークにのみ接続してください。該当するネットワークがない場合は、テクニカルサポートから BMC 接続の要請があった場合を除き、 BMC 管理ポートを接続しないか、またはブロックしたままにしてください。
-
アプライアンスが Intelligent Platform Management Interface ( IPMI )標準を使用したイーサネット経由でのコントローラハードウェアのリモート管理をサポートする場合は、ポート 623 での信頼されていないトラフィックをブロックします。
-
アプライアンスのストレージコントローラに FDE または FIPS ドライブが搭載されていて、ドライブセキュリティ機能が有効になっている場合は、 SANtricity を使用してドライブセキュリティキーを設定します。
-
FDE または FIPS ドライブが搭載されていないアプライアンスの場合は、 Key Management Server ( KMS )を使用してノード暗号化を有効にします。
使用している StorageGRID ハードウェアアプライアンスのインストールとメンテナンスの手順を参照してください。