StorageGRID ノードの保護対策のガイドライン
StorageGRID ノードは、 VMware 仮想マシン、 Linux ホスト上のコンテナエンジン、または専用のハードウェアアプライアンスとして導入できます。プラットフォームのタイプとノードのタイプにはそれぞれ、強化に関するベストプラクティスがあります。
ファイアウォールの設定
システム強化プロセスの一環として、外部ファイアウォールの設定を確認し、 IP アドレスとそれが厳密に必要なポートからのみトラフィックが許可されるように変更する必要があります。
StorageGRID には、各ノードに内部ファイアウォールがあります。このファイアウォールを使用すると、ノードへのネットワークアクセスを制御できるため、グリッドのセキュリティが強化されます。お勧めします "内部ファイアウォールコントロールを管理します" 特定のグリッド環境に必要なポート以外のすべてのポートでネットワークアクセスを禁止する。[Firewall]コントロールページで行った設定変更は、各ノードに展開されます。
具体的には、次の領域を管理できます。
-
特権アドレス:[外部アクセスの管理]タブの設定によって閉じられたポートに、選択したIPアドレスまたはサブネットがアクセスできるようにすることができます。
-
外部アクセスの管理:デフォルトで開いているポートを閉じるか、以前閉じていたポートを再度開くことができます。
-
信頼されていないクライアントネットワーク:ノードがクライアントネットワークからのインバウンドトラフィックを信頼するかどうか、および信頼されていないクライアントネットワークが設定されている場合に開く追加ポートを指定できます。
この内部ファイアウォールは、一部の一般的な脅威に対する追加の保護レイヤを提供しますが、外部ファイアウォールの必要性は排除されません。
StorageGRID で使用されるすべての内部ポートと外部ポートのリストについては、を参照してください "ネットワークポートのリファレンス"。
未使用のサービスを無効にします
すべての StorageGRID ノードについて、未使用のサービスへのアクセスを無効化またはブロックする必要があります。たとえば、NFSの監査共有へのクライアントアクセスを設定する予定がない場合は、これらのサービスへのアクセスをブロックまたは無効にします。
仮想化、コンテナ、共有ハードウェア
すべての StorageGRID ノードで、信頼されていないソフトウェアと同じ物理ハードウェア上で StorageGRID を実行しないでください。StorageGRID とマルウェアの両方が同じ物理ハードウェア上に存在する場合、ハイパーバイザーの保護によってStorageGRIDで保護されたデータへのマルウェアのアクセスが防止されるとは限りません。たとえば、 Meltdown と Specter 攻撃は、最新のプロセッサに存在する重要な脆弱性を悪用し、プログラムが同じコンピュータ上のメモリにデータを盗むことを可能にします。
インストール中にノードを保護
ノードがインストールされているときに、信頼されていないユーザがネットワーク経由でStorageGRID ノードにアクセスできないようにします。ノードは、グリッドに参加するまで完全にセキュアになりません。
管理ノードのガイドライン
管理ノードは、システムの設定、監視、ロギングなどの管理サービスを提供します。Grid Manager または Tenant Manager にサインインすると、管理ノードに接続されます。
StorageGRID システムで管理ノードを保護するには、次のガイドラインに従います。
-
開いているインターネット上の管理ノードなど、信頼されていないクライアントからすべての管理ノードを保護します。グリッドネットワーク上、管理ネットワーク上、またはクライアントネットワーク上のどの管理ノードにも、信頼されていないクライアントがアクセスできないようにします。
-
StorageGRID グループは Grid Manager とテナントマネージャの機能へのアクセスを制御します。各ユーザグループにロールに最低限必要な権限を付与し、読み取り専用アクセスモードを使用してユーザによる設定変更を防止します。
-
StorageGRID ロードバランサエンドポイントを使用する場合は、信頼されないクライアントトラフィックに管理ノードの代わりにゲートウェイノードを使用します。
-
信頼されていないテナントがある場合は、そのテナントにTenant Managerまたはテナント管理APIへの直接アクセスを許可しないでください。代わりに、信頼されていないテナントがテナントポータルまたはテナント管理 API と連動する外部テナント管理システムを使用するようにします。
-
必要に応じて、管理プロキシを使用して、管理ノードからネットアップサポートへのAutoSupport 通信を詳細に制御します。の手順を参照してください "管理プロキシの作成"。
-
必要に応じて、制限された 8443 ポートと 9443 ポートを使用して Grid Manager と Tenant Manager の通信を分離します。共有ポート 443 をブロックして、テナント要求をポート 9443 に制限して追加の保護を確保します。
-
必要に応じて、グリッド管理者とテナントユーザには別々の管理ノードを使用します。
詳細については、の手順を参照してください "StorageGRID の管理"。
ストレージノードに関するガイドライン
ストレージノードは、オブジェクトデータとメタデータを管理および格納します。StorageGRID システムでストレージノードを保護するには、次のガイドラインに従います。
-
信頼されていないクライアントがストレージノードに直接接続することを許可しないでください。ゲートウェイノードまたはサードパーティのロードバランサによって処理されるロードバランサエンドポイントを使用します。
-
信頼されていないテナントに対してアウトバウンドサービスを有効にしないでください。たとえば、信頼されていないテナントのアカウントを作成する場合は、テナントに独自のアイデンティティソースの使用やプラットフォームサービスの使用を許可しないでください。の手順を参照してください "テナントアカウントを作成する"。
-
信頼されないクライアントトラフィックには、サードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。
-
必要に応じて、ストレージプロキシを使用して、クラウドストレージプールとプラットフォームサービスのストレージノードから外部サービスへの通信をより細かく制御します。の手順を参照してください "ストレージプロキシを作成します"。
-
必要に応じて、クライアントネットワークを使用して外部サービスに接続します。次に、* configuration > Security > Firewall control > Untrusted Client Networks *を選択し、ストレージノード上のクライアントネットワークが信頼されていないことを指定します。ストレージノードはクライアントネットワーク上の受信トラフィックを受け入れなくなりますが、プラットフォームサービスへのアウトバウンド要求は引き続き許可します。
ゲートウェイノードのガイドライン
ゲートウェイノードは、クライアントアプリケーションが StorageGRID への接続に使用できるオプションのロードバランシングインターフェイスです。StorageGRID システムにゲートウェイノードを保護するには、次のガイドラインに従います。
-
ロードバランサエンドポイントを設定して使用する。を参照してください "ロードバランシングに関する考慮事項"。
-
クライアントとゲートウェイノードまたはストレージノードの間で、信頼されていないクライアントトラフィックにサードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。サードパーティのロードバランサを使用する場合でも、内部のロードバランサエンドポイントを経由するようにネットワークトラフィックを設定したり、ストレージノードに直接送信したりすることができます。
-
ロードバランサエンドポイントを使用している場合は、必要に応じてクライアントネットワーク経由で接続します。次に、* configuration > Security > Firewall control > Untrusted Client Networks *を選択し、ゲートウェイノード上のクライアントネットワークが信頼されていないことを指定します。ゲートウェイノードは、ロードバランサエンドポイントとして明示的に設定されたポートのインバウンドトラフィックのみを受け入れます。
ハードウェアアプライアンスノードのガイドライン
StorageGRID ハードウェアアプライアンスは、 StorageGRID システム専用に設計されています。一部のアプライアンスはストレージノードとして使用できます。その他のアプライアンスは、管理ノードまたはゲートウェイノードとして使用できます。アプライアンスノードをソフトウェアベースのノードと組み合わせることも、自社開発の全アプライアンスグリッドを導入することもできます。
StorageGRID システムにハードウェアアプライアンスノードを固定するには、次のガイドラインに従います。
-
アプライアンスでストレージコントローラの管理に SANtricity System Manager を使用している場合は、信頼されていないクライアントからネットワーク経由で SANtricity System Manager にアクセスできないようにします。
-
アプライアンスに Baseboard Management Controller ( BMC ;ベースボード管理コントローラ)が搭載されている場合は、 BMC 管理ポートで下位レベルのハードウェアアクセスが許可されることに注意してください。BMC 管理ポートは、信頼されているセキュアな内部管理ネットワークにのみ接続してください。該当するネットワークがない場合は、テクニカルサポートから BMC 接続の要請があった場合を除き、 BMC 管理ポートを接続しないか、またはブロックしたままにしてください。
-
アプライアンスが Intelligent Platform Management Interface ( IPMI )標準を使用したイーサネット経由でのコントローラハードウェアのリモート管理をサポートする場合は、ポート 623 での信頼されていないトラフィックをブロックします。
管理APIのプライベートエンドポイントPUT /private/bmcを使用して、BMCを含むすべてのアプライアンスに対してリモートIPMIアクセスを有効または無効にできます。 |
-
アプライアンスのストレージコントローラに FDE または FIPS ドライブが搭載されていて、ドライブセキュリティ機能が有効になっている場合は、 SANtricity を使用してドライブセキュリティキーを設定します。を参照してください "SANtricity システムマネージャの設定(SG6000およびSG5700)"。
-
FDE または FIPS ドライブが搭載されていないアプライアンスの場合は、 Key Management Server ( KMS )を使用してノード暗号化を有効にします。を参照してください "オプション:ノード暗号化を有効にします"。