StorageGRIDノードの強化ガイドライン
変更を提案
PDF
StorageGRIDノードは、VMware 仮想マシン、Linux ホスト上のコンテナ エンジン内、または専用のハードウェア アプライアンスとして展開できます。各タイプのプラットフォームと各タイプのノードには、独自の強化ベスト プラクティス セットがあります。
BMCへのリモートIPMIアクセスを制御する
BMCを含むすべてのアプライアンスに対してリモート IPMI アクセスを有効または無効にすることができます。リモート IPMI インターフェイスを使用すると、 BMCアカウントとパスワードを持つすべてのユーザーがStorageGRIDアプライアンスに低レベルのハードウェア アクセスできるようになります。BMCへのリモート IPMI アクセスが必要ない場合は、このオプションを無効にします。
-
Grid Manager でBMCへのリモート IPMI アクセスを制御するには、[構成] > [セキュリティ] > [セキュリティ設定] > [アプライアンス] に移動します。
-
BMCへの IPMI アクセスを無効にするには、[リモート IPMI アクセスを有効にする] チェックボックスをオフにします。
-
BMCへの IPMI アクセスを有効にするには、[リモート IPMI アクセスを有効にする] チェックボックスをオンにします。
-
ファイアウォールの設定
システム強化プロセスの一環として、外部ファイアウォールの構成を確認し、厳密に必要な IP アドレスとポートからのトラフィックのみが受け入れられるように変更する必要があります。
StorageGRID には各ノードに内部ファイアウォールが含まれており、ノードへのネットワーク アクセスを制御できるため、グリッドのセキュリティが強化されます。あなたがすべき"内部ファイアウォール制御を管理する"特定のグリッド展開に必要なポートを除くすべてのポートでのネットワーク アクセスを防止します。ファイアウォール制御ページで行った構成の変更は、各ノードに展開されます。
具体的には、次の領域を管理できます。
-
特権アドレス: 選択した IP アドレスまたはサブネットが、[外部アクセスの管理] タブの設定によって閉じられているポートにアクセスできるようにすることができます。
-
外部アクセスの管理: デフォルトで開いているポートを閉じたり、以前に閉じたポートを再度開いたりすることができます。
-
信頼できないクライアント ネットワーク: 信頼できないクライアント ネットワークが構成されている場合に、ノードがクライアント ネットワークからの受信トラフィックを信頼するかどうか、および開く追加のポートを指定できます。
この内部ファイアウォールは、いくつかの一般的な脅威に対する追加の保護層を提供しますが、外部ファイアウォールの必要性を排除するものではありません。
StorageGRIDで使用されるすべての内部ポートと外部ポートのリストについては、"ネットワークポートリファレンス" 。
使用していないサービスを無効にする
すべてのStorageGRIDノードについて、未使用のサービスへのアクセスを無効にするかブロックする必要があります。たとえば、DHCP を使用する予定がない場合は、グリッド マネージャーを使用してポート 68 を閉じます。構成 > ファイアウォール制御 > 外部アクセスの管理*を選択します。次に、ポート 68 のステータス トグルを *Open から Closed に変更します。
仮想化、コンテナ、共有ハードウェア
すべてのStorageGRIDノードでは、信頼できないソフトウェアと同じ物理ハードウェア上でStorageGRIDを実行しないでください。 StorageGRIDとマルウェアの両方が同じ物理ハードウェア上に存在する場合、ハイパーバイザ保護によってマルウェアがStorageGRIDで保護されたデータにアクセスするのを防止できると想定しないでください。たとえば、Meltdown 攻撃や Spectre 攻撃では、最新のプロセッサの重大な脆弱性が悪用され、プログラムが同じコンピューター上のメモリ内のデータを盗むことが可能になります。
インストール中にノードを保護する
ノードのインストール中は、信頼できないユーザーがネットワーク経由でStorageGRIDノードにアクセスすることを許可しないでください。ノードはグリッドに参加するまで完全には安全ではありません。
管理ノードのガイドライン
管理ノードは、システム構成、監視、ログ記録などの管理サービスを提供します。Grid Manager または Tenant Manager にサインインすると、管理ノードに接続されます。
StorageGRIDシステム内の管理ノードを保護するには、次のガイドラインに従ってください。
-
オープンインターネット上のクライアントなど、信頼できないクライアントからすべての管理ノードを保護します。信頼できないクライアントがグリッド ネットワーク、管理ネットワーク、またはクライアント ネットワーク上の管理ノードにアクセスできないようにします。
-
StorageGRIDグループは、Grid Manager および Tenant Manager 機能へのアクセスを制御します。各ユーザー グループに、そのロールに必要な最小限の権限を付与し、読み取り専用アクセス モードを使用して、ユーザーが構成を変更できないようにします。
-
StorageGRIDロード バランサ エンドポイントを使用する場合は、信頼できないクライアント トラフィックに対して管理ノードではなくゲートウェイ ノードを使用します。
-
信頼できないテナントがある場合は、テナント マネージャーまたはテナント管理 API への直接アクセスを許可しないでください。代わりに、信頼できないテナントには、テナント管理 API と対話するテナント ポータルまたは外部テナント管理システムを使用するようにします。
-
オプションで、管理プロキシを使用して、管理ノードからNetAppサポートへのAutoSupport通信をより詳細に制御できます。手順については、"管理プロキシの作成" 。
-
必要に応じて、制限された 8443 ポートと 9443 ポートを使用して、Grid Manager と Tenant Manager の通信を分離します。追加の保護のために、共有ポート 443 をブロックし、テナント要求をポート 9443 に制限します。
-
必要に応じて、グリッド管理者とテナント ユーザーごとに個別の管理ノードを使用します。
詳細については、"StorageGRIDの管理" 。
ストレージノードのガイドライン
ストレージ ノードは、オブジェクト データとメタデータを管理および保存します。 StorageGRIDシステム内のストレージ ノードを保護するには、次のガイドラインに従ってください。
-
信頼できないクライアントがストレージ ノードに直接接続することを許可しません。ゲートウェイ ノードまたはサードパーティのロード バランサーによって提供されるロード バランサー エンドポイントを使用します。
-
信頼されていないテナントに対して送信サービスを有効にしないでください。たとえば、信頼されていないテナントのアカウントを作成する場合は、テナントが独自の ID ソースを使用することや、プラットフォーム サービスを使用することを許可しないでください。手順については、"テナントアカウントの作成" 。
-
信頼できないクライアント トラフィックにはサードパーティのロード バランサを使用します。サードパーティの負荷分散により、より高度な制御と、攻撃に対する追加の保護レイヤーが提供されます。
-
必要に応じて、ストレージ プロキシを使用して、ストレージ ノードから外部サービスへのクラウド ストレージ プールとプラットフォーム サービス通信をより詳細に制御します。手順については、"ストレージプロキシの作成" 。
-
必要に応じて、クライアント ネットワークを使用して外部サービスに接続します。次に、構成 > セキュリティ > ファイアウォール制御 > 信頼されていないクライアント ネットワーク を選択し、ストレージ ノード上のクライアント ネットワークが信頼されていないことを示します。ストレージ ノードは、クライアント ネットワーク上の着信トラフィックを受け入れなくなりますが、プラットフォーム サービスへの送信要求は引き続き許可します。
ゲートウェイノードのガイドライン
ゲートウェイ ノードは、クライアント アプリケーションがStorageGRIDに接続するために使用できるオプションの負荷分散インターフェイスを提供します。 StorageGRIDシステム内のゲートウェイ ノードを保護するには、次のガイドラインに従ってください。
-
ロード バランサーのエンドポイントを構成して使用します。見る"負荷分散に関する考慮事項" 。
-
信頼できないクライアント トラフィックの場合は、クライアントとゲートウェイ ノードまたはストレージ ノードの間でサードパーティのロード バランサを使用します。サードパーティの負荷分散により、より高度な制御と、攻撃に対する追加の保護レイヤーが提供されます。サードパーティのロード バランサを使用する場合でも、ネットワーク トラフィックをオプションで構成して、内部ロード バランサのエンドポイントを通過するか、ストレージ ノードに直接送信するかを選択できます。
-
ロード バランサー エンドポイントを使用している場合は、オプションでクライアントをクライアント ネットワーク経由で接続します。次に、[構成] > [セキュリティ] > [ファイアウォール制御] > [信頼されていないクライアント ネットワーク] を選択し、ゲートウェイ ノード上のクライアント ネットワークが信頼されていないことを示します。ゲートウェイ ノードは、ロード バランサーのエンドポイントとして明示的に構成されたポート上の受信トラフィックのみを受け入れます。
ハードウェアアプライアンスノードのガイドライン
StorageGRIDハードウェア アプライアンスは、 StorageGRIDシステムで使用するために特別に設計されています。一部のアプライアンスはストレージ ノードとして使用できます。その他のアプライアンスは、管理ノードまたはゲートウェイ ノードとして使用できます。アプライアンス ノードをソフトウェア ベースのノードと組み合わせたり、完全に設計された全アプライアンス グリッドを展開したりできます。
StorageGRIDシステム内のハードウェア アプライアンス ノードを保護するには、次のガイドラインに従ってください。
-
アプライアンスがストレージ コントローラの管理にSANtricity System Manager を使用する場合は、信頼できないクライアントがネットワーク経由でSANtricity System Manager にアクセスできないようにします。
-
アプライアンスにベースボード管理コントローラ (BMC) が搭載されている場合は、 BMC管理ポートによって低レベルのハードウェア アクセスが許可される場合があるので注意してください。BMC管理ポートは、安全で信頼できる内部管理ネットワークにのみ接続してください。このようなネットワークが利用できない場合は、テクニカル サポートからBMC接続が要求されない限り、 BMC管理ポートを未接続またはブロックされたままにしておきます。
-
アプライアンスがインテリジェント プラットフォーム管理インターフェイス (IPMI) 標準を使用してイーサネット経由でコントローラ ハードウェアのリモート管理をサポートしている場合は、ポート 623 上の信頼できないトラフィックをブロックします。
|
BMCを含むすべてのアプライアンスに対してリモート IPMI アクセスを有効または無効にすることができます。リモート IPMI インターフェイスを使用すると、 BMCアカウントとパスワードを持つすべてのユーザーがStorageGRIDアプライアンスに低レベルのハードウェア アクセスできるようになります。BMCへのリモート IPMI アクセスが必要ない場合は、次のいずれかの方法でこのオプションを無効にします。+ Grid Manager で、構成 > セキュリティ > セキュリティ設定 > アプライアンス に移動し、リモート IPMI アクセスを有効にする チェックボックスをオフにします。+ グリッド管理 API では、プライベート エンドポイントを使用します。 PUT /private/bmc 。
|
-
SANtricity System Managerで管理するSED、FDE、またはFIPS NL-SASドライブを搭載したアプライアンスモデルの場合、 "SANtricityドライブセキュリティを有効にして構成する" 。
-
StorageGRIDアプライアンスインストーラおよびグリッドマネージャを使用して管理するSEDまたはFIPS NVMe SSDを搭載したアプライアンスモデルの場合、 "StorageGRIDドライブ暗号化を有効にして構成する" 。
-
SED、FDE、またはFIPSドライブを搭載していないアプライアンスの場合は、 StorageGRIDソフトウェアノード暗号化を有効にして構成します。 "キー管理サーバー(KMS)を使用する" 。