Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

内部ファイアウォールコントロールを管理します

共同作成者
PDF

StorageGRID には、各ノードに内部ファイアウォールがあります。このファイアウォールを使用すると、ノードへのネットワークアクセスを制御できるため、グリッドのセキュリティが強化されます。ファイアウォールを使用して、特定のグリッド環境に必要なポートを除くすべてのポートでネットワークアクセスを禁止します。[Firewall]コントロールページで行った設定変更は、各ノードに展開されます。

Firewallコントロールページの3つのタブを使用して、グリッドに必要なアクセスをカスタマイズします。

  • 特権アドレスリスト:このタブを使用して、選択したポートへのアクセスを許可します。[Manage external access]タブを使用して閉じたポートにアクセスできるIPアドレスまたはサブネットをCIDR表記で追加できます。

  • 外部アクセスの管理:このタブを使用して、デフォルトで開いているポートを閉じるか、以前閉じていたポートを再度開きます。

  • 信頼されていないクライアントネットワーク:このタブを使用して、ノードがクライアントネットワークからのインバウンドトラフィックを信頼するかどうかを指定します。

    このタブでは、信頼されていないクライアントネットワークが設定されている場合に開く追加のポートを指定することもできます。これらのポートから、Grid Manager、Tenant Manager、またはその両方へのアクセスを提供できます。

    このタブの設定は、[外部アクセスの管理]タブの設定よりも優先されます。

    • 信頼されていないクライアントネットワークを使用するノードは、そのノードに設定されているロードバランサエンドポイントポート(グローバル、ノードインターフェイス、およびノードタイプにバインドされたエンドポイント)の接続のみを受け入れます。

    • 信頼されていないクライアントネットワークでは、ロードバランサエンドポイントが設定されていない場合でも、[Untrusted Client Network]タブで開いている追加のポートがすべて開いています。

    • 信頼されていないクライアントネットワークでは、[Manage external networks]タブの設定に関係なく、ロードバランサエンドポイントのポートと選択された追加ポート_のみが開いています。

    • 信頼されている場合は、[Manage external access]タブで開いたすべてのポートおよびクライアントネットワークで開いているロードバランサエンドポイントにアクセスできます。

メモ あるタブで行った設定は、別のタブで行ったアクセス変更に影響を与える可能性があります。すべてのタブの設定を確認して、ネットワークが想定どおりに動作することを確認してください。

内部ファイアウォールコントロールを設定するには、を参照してください "ファイアウォールコントロールを設定します"

外部ファイアウォールとネットワークセキュリティの詳細については、を参照してください "外部ファイアウォールでアクセスを制御します"

[Privileged address list]タブと[Manage external access]タブ

特権アドレスリストタブでは、閉じられているグリッドポートへのアクセスを許可する1つ以上のIPアドレスを登録できます。[Manage external access]タブでは、選択した外部ポートまたは開いているすべての外部ポート(デフォルトではグリッド以外のノードからアクセス可能なポート)への外部アクセスを閉じることができます。多くの場合、この2つのタブを一緒に使用して、グリッドに必要な正確なネットワークアクセスをカスタマイズできます。

メモ 特権IPアドレスには、デフォルトで内部グリッドポートへのアクセスはありません。

例1:メンテナンスタスクにジャンプホストを使用します

ネットワーク管理にジャンプホスト(セキュリティ強化ホスト)を使用するとします。次の一般的な手順を使用できます。

  1. 特権アドレスリストタブを使用して、ジャンプホストのIPアドレスを追加します。

  2. [Manage external access]タブを使用して、すべてのポートをブロックします。

注意 ポート443と8443をブロックする前に、特権IPアドレスを追加してください。ブロックされたポートに現在接続されているユーザ(ユーザを含む)は、自分のIPアドレスが特権アドレスリストに追加されていないかぎり、Grid Managerにアクセスできません。

設定を保存すると、グリッド内の管理ノードのすべての外部ポートが、ジャンプホストを除くすべてのホストに対してブロックされます。これにより、ジャンプホストを使用して、グリッドでより安全にメンテナンスタスクを実行できるようになります。

例2:Grid ManagerとTenant Managerへのアクセスを制限する

セキュリティ上の理由から、Grid ManagerとTenant Managerへのアクセスを制限するとします。次の一般的な手順を使用できます。

  1. [Manage external access]タブのトグルを使用して、ポート443をブロックします。

  2. [Manage external access]タブのトグルを使用して、ポート8443へのアクセスを許可します。

  3. [Manage external access]タブのトグルを使用して、ポート9443へのアクセスを許可します。

設定を保存すると、ホストはポート443にアクセスできなくなりますが、引き続きGrid Managerにはポート8443経由で、Tenant Managerにはポート9443経由でアクセスできます。

例3:敏感なポートをロックダウンします

機密性の高いポートとそのポート上のサービス(たとえば、ポート22のSSH)をロックダウンするとします。次の一般的な手順を使用できます。

  1. サービスへのアクセスを必要とするホストにのみアクセスを許可するには、特権アドレスリストタブを使用します。

  2. [Manage external access]タブを使用して、すべてのポートをブロックします。

注意 ポート443と8443をブロックする前に、特権IPアドレスを追加してください。ブロックされたポートに現在接続されているユーザ(ユーザを含む)は、自分のIPアドレスが特権アドレスリストに追加されていないかぎり、Grid Managerにアクセスできません。

設定を保存すると、特権アドレスリストのホストでポート22とSSHサービスを使用できるようになります。要求の送信元インターフェイスに関係なく、他のすべてのホストはサービスへのアクセスを拒否されます。

例4:未使用のサービスへのアクセスを無効にします

ネットワークレベルでは、使用する予定のない一部のサービスを無効にすることができます。たとえば、Swiftアクセスを許可しない場合は、次の一般的な手順を実行します。

  1. [Manage external access]タブのトグルを使用して、ポート18083をブロックします。

  2. [Manage external access]タブのトグルを使用して、ポート18085をブロックします。

設定を保存すると、ストレージノードでSwift接続は許可されなくなりますが、ブロックされていないポートで他のサービスへのアクセスは引き続き許可されます。

[信頼されていないクライアントネットワーク]タブ

クライアントネットワークを使用している場合は、明示的に設定されたエンドポイントまたはこのタブで選択した追加のポートでのみインバウンドクライアントトラフィックを受け入れることで、StorageGRID を悪意のある攻撃から保護できます。

デフォルトでは、各グリッドノードのクライアントネットワークは trusted_ です。つまり、StorageGRID はデフォルトで、すべてののグリッドノードへのインバウンド接続を信頼します "使用可能な外部ポート"

各ノードのクライアントネットワークを「 untrusted_ 」に指定することで、 StorageGRID システムに対する悪意ある攻撃の脅威を軽減できます。ノードのクライアントネットワークが信頼されていない場合、ノードはロードバランサエンドポイントとして明示的に設定されたポートと、[Firewall]制御ページの[Untrusted Client Network]タブを使用して指定した追加のポートでのみインバウンド接続を受け入れます。を参照してください "ロードバランサエンドポイントを設定する" および "ファイアウォールコントロールを設定します"

例 1 :ゲートウェイノードが HTTPS S3 要求のみを受け入れる

ゲートウェイノードで、 HTTPS S3 要求を除くクライアントネットワーク上のすべてのインバウンドトラフィックを拒否するとします。この場合、次の一般的な手順を実行します。

  1. から "ロードバランサエンドポイント" ページで、HTTPS経由のS3用のロードバランサエンドポイントをポート443に設定します。

  2. [Firewall control]ページで、[Untrusted]を選択して、ゲートウェイノードのクライアントネットワークを信頼されていないネットワークとして指定します。

設定を保存すると、ポート 443 での HTTPS S3 要求と ICMP エコー( ping )要求を除き、ゲートウェイノードのクライアントネットワーク上のすべてのインバウンドトラフィックが破棄されます。

例 2 :ストレージノードが S3 プラットフォームサービス要求を送信する

あるストレージノードからのアウトバウンドS3プラットフォームサービストラフィックは有効にするが、クライアントネットワークではそのストレージノードへのインバウンド接続は禁止するとします。この場合は、次の手順を実行します。

  • [Firewall]制御ページの[Untrusted Client Networks]タブで、ストレージノード上のクライアントネットワークが信頼されていないことを指定します。

設定を保存すると、ストレージノードはクライアントネットワークで受信トラフィックを受け入れなくなりますが、設定されているプラットフォームサービスのデスティネーションへのアウトバウンド要求は引き続き許可します。

例3:Grid Managerへのアクセスをサブネットに制限する

Grid Managerに特定のサブネットに対するアクセスのみを許可するとします。次の手順を実行します。

  1. 管理ノードのクライアントネットワークをサブネットに接続します。

  2. [Untrusted Client Network]タブを使用して、クライアントネットワークを信頼されていないものとして設定します。

  3. タブの*[信頼されていないクライアントネットワークで開くポートの追加]*セクションで、ポート443または8443を追加します。

  4. [Manage external access]タブを使用して、すべての外部ポートをブロックします(サブネット外のホストに対して特権IPアドレスが設定されているかどうかに関係なく)。

設定を保存すると、指定したサブネットのホストだけがGrid Managerにアクセスできるようになります。他のすべてのホストはブロックされます。