内部ファイアウォール制御を管理する
変更を提案
PDF
StorageGRID には各ノードに内部ファイアウォールが含まれており、ノードへのネットワーク アクセスを制御できるため、グリッドのセキュリティが強化されます。ファイアウォールを使用して、特定のグリッド展開に必要なポートを除くすべてのポートでのネットワーク アクセスを防止します。ファイアウォール制御ページで行った構成の変更は、各ノードに展開されます。
ファイアウォール制御ページの 3 つのタブを使用して、グリッドに必要なアクセスをカスタマイズします。
-
特権アドレス リスト: このタブを使用して、閉じたポートへの選択したアクセスを許可します。 「外部アクセスの管理」タブを使用して、閉じられたポートにアクセスできる IP アドレスまたはサブネットを CIDR 表記で追加できます。
-
外部アクセスの管理: このタブを使用して、デフォルトで開いているポートを閉じたり、以前に閉じたポートを再度開いたりします。
-
信頼されていないクライアント ネットワーク: このタブを使用して、ノードがクライアント ネットワークからの受信トラフィックを信頼するかどうかを指定します。
このタブの設定は、「外部アクセスの管理」タブの設定を上書きします。
-
信頼できないクライアント ネットワークを持つノードは、そのノードに設定されているロード バランサ エンドポイント ポート (グローバル、ノード インターフェイス、およびノード タイプにバインドされたエンドポイント) 上の接続のみを受け入れます。
-
ロード バランサのエンドポイント ポートは、[外部ネットワークの管理] タブの設定に関係なく、信頼されていないクライアント ネットワーク上で唯一開いているポートです。
-
信頼されている場合、[外部アクセスの管理] タブで開かれているすべてのポートと、クライアント ネットワークで開かれているすべてのロード バランサー エンドポイントにアクセスできるようになります。
-
|
あるタブで行った設定は、別のタブで行うアクセスの変更に影響を与える可能性があります。すべてのタブの設定を必ず確認し、ネットワークが期待どおりに動作することを確認してください。 |
内部ファイアウォール制御を構成するには、"ファイアウォール制御を構成する" 。
外部ファイアウォールとネットワークセキュリティの詳細については、以下を参照してください。"外部ファイアウォールでアクセスを制御する" 。
特権アドレスリストと外部アクセスの管理タブ
特権アドレス リスト タブでは、閉じられているグリッド ポートへのアクセスが許可される 1 つ以上の IP アドレスを登録できます。 [外部アクセスの管理] タブでは、選択した外部ポートまたは開いているすべての外部ポートへの外部アクセスを閉じることができます (外部ポートは、デフォルトで非グリッド ノードからアクセスできるポートです)。多くの場合、これら 2 つのタブを一緒に使用して、グリッドに許可する必要があるネットワーク アクセスを正確にカスタマイズできます。
|
|
特権 IP アドレスには、デフォルトでは内部グリッド ポートへのアクセス権がありません。 |
例1: メンテナンスタスクにジャンプホストを使用する
ネットワーク管理にジャンプ ホスト (セキュリティが強化されたホスト) を使用するとします。次の一般的な手順を使用できます。
-
特権アドレス リスト タブを使用して、ジャンプ ホストの IP アドレスを追加します。
-
すべてのポートをブロックするには、「外部アクセスの管理」タブを使用します。
|
ポート 443 および 8443 をブロックする前に、特権 IP アドレスを追加します。ブロックされたポートに現在接続しているユーザー (あなたを含む) は、その IP アドレスが特権アドレス リストに追加されていない限り、Grid Manager にアクセスできなくなります。 |
設定を保存すると、グリッド内の管理ノード上のすべての外部ポートが、ジャンプ ホストを除くすべてのホストに対してブロックされます。その後、ジャンプ ホストを使用して、グリッド上でメンテナンス タスクをより安全に実行できるようになります。
例2: 機密ポートをロックダウンする
機密ポートとそのポート上のサービス (たとえば、ポート 22 上の SSH) をロックダウンするとします。次の一般的な手順を使用できます。
-
特権アドレス リスト タブを使用して、サービスへのアクセスが必要なホストにのみアクセスを許可します。
-
すべてのポートをブロックするには、「外部アクセスの管理」タブを使用します。
|
|
Grid Manager および Tenant Manager にアクセスするために割り当てられたポートへのアクセスをブロックする前に、特権 IP アドレスを追加します (プリセット ポートは 443 と 8443)。ブロックされたポートに現在接続しているユーザー (あなたを含む) は、その IP アドレスが特権アドレス リストに追加されていない限り、Grid Manager にアクセスできなくなります。 |
設定を保存すると、特権アドレス リスト上のホストでポート 22 と SSH サービスが利用できるようになります。他のすべてのホストは、リクエストがどのインターフェースから送信されたかに関係なく、サービスへのアクセスを拒否されます。
例3: 使用されていないサービスへのアクセスを無効にする
ネットワーク レベルでは、使用しない予定の一部のサービスを無効にすることができます。たとえば、HTTP S3 クライアント トラフィックをブロックするには、[外部アクセスの管理] タブのトグルを使用してポート 18084 をブロックします。
信頼できないクライアントネットワークタブ
クライアント ネットワークを使用している場合は、明示的に構成されたエンドポイントでのみ受信クライアント トラフィックを受け入れることで、 StorageGRID を敵対的な攻撃から保護することができます。
デフォルトでは、各グリッド ノード上のクライアント ネットワークは信頼済みです。つまり、デフォルトでは、 StorageGRIDはすべてのグリッドノードへの受信接続を信頼します。"利用可能な外部ポート" 。
各ノードのクライアント ネットワークを信頼できないものとして指定することで、 StorageGRIDシステムに対する敵対的な攻撃の脅威を軽減できます。ノードのクライアント ネットワークが信頼されていない場合、ノードはロード バランサのエンドポイントとして明示的に構成されたポート上の受信接続のみを受け入れます。見る"ロードバランサのエンドポイントを構成する"そして"ファイアウォール制御を構成する"。
例1: ゲートウェイノードはHTTPS S3リクエストのみを受け入れる
ゲートウェイ ノードで、HTTPS S3 リクエストを除くクライアント ネットワーク上のすべての受信トラフィックを拒否するとします。次のような一般的な手順を実行します。
-
から"ロード バランサ エンドポイント"ページで、ポート 443 で HTTPS 経由の S3 のロード バランサー エンドポイントを構成します。
-
ファイアウォール制御ページで、「信頼できない」を選択して、ゲートウェイ ノード上のクライアント ネットワークが信頼できないことを指定します。
設定を保存すると、ポート 443 の HTTPS S3 要求と ICMP エコー (ping) 要求を除き、ゲートウェイ ノードのクライアント ネットワーク上のすべての受信トラフィックがドロップされます。
例2: ストレージノードがS3プラットフォームサービスリクエストを送信する
ストレージ ノードからの送信 S3 プラットフォーム サービス トラフィックを有効にしたいが、クライアント ネットワーク上のそのストレージ ノードへの受信接続を禁止したいとします。次のような一般的な手順を実行します。
-
ファイアウォール制御ページの「信頼できないクライアント ネットワーク」タブで、ストレージ ノード上のクライアント ネットワークが信頼できないことを示します。
構成を保存すると、ストレージ ノードはクライアント ネットワーク上の着信トラフィックを受け入れなくなりますが、構成されたプラットフォーム サービスの宛先への送信要求は引き続き許可されます。
例3: グリッドマネージャへのアクセスをサブネットに制限する
特定のサブネット上でのみ Grid Manager アクセスを許可するとします。次の手順を実行します。
-
管理ノードのクライアント ネットワークをサブネットに接続します。
-
「信頼できないクライアント ネットワーク」タブを使用して、クライアント ネットワークを信頼できないものとして構成します。
-
管理インターフェイス ロード バランサ エンドポイントを作成するときは、ポートを入力し、ポートがアクセスする管理インターフェイスを選択します。
-
信頼できないクライアントネットワークに対して*はい*を選択します。
-
[外部アクセスの管理] タブを使用して、すべての外部ポート (そのサブネットの外部のホストに特権 IP アドレスが設定されているかどうかに関係なく) をブロックします。
設定を保存すると、指定したサブネット上のホストのみがグリッド マネージャーにアクセスできるようになります。その他のホストはすべてブロックされます。