日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

プラットフォームのセキュリティ機能

07/03/2024 共同作成者

PDF

StorageGRIDのプラットフォームセキュリティ機能について説明します。

機能	機能	影響	コンプライアンス
内部公開鍵インフラ（PKI）、ノード証明書、TLS	StorageGRIDは、内部PKIおよびノード証明書を使用して、ノード間通信を認証および暗号化します。ノード間通信はTLSで保護されます。	特にマルチサイト展開では、LANまたはWAN経由のシステムトラフィックの保護に役立ちます。	SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）
ノードのファイアウォール	StorageGRIDは、IPテーブルとファイアウォールルールを自動的に設定して、送受信ネットワークトラフィックを制御し、未使用のポートを閉じます。	StorageGRIDシステム、データ、メタデータを未承諾のネットワークトラフィックから保護します。	—
OSのセキュリティ強化	StorageGRID物理アプライアンスと仮想ノードのベースオペレーティングシステムが強化され、関連のないソフトウェアパッケージが削除されます。	潜在的な攻撃対象領域を最小限に抑えます。	SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）
プラットフォームとソフトウェアの定期的な更新	StorageGRIDでは、オペレーティングシステム、アプリケーションバイナリ、ソフトウェアアップデートなどのソフトウェアリリースを定期的に提供しています。	StorageGRIDシステムを最新のソフトウェアとアプリケーションバイナリで更新するのに役立ちます。	—
Secure Shell（SSH）を使用したルートログインの無効化	SSH経由のrootログインは、すべてのStorageGRIDノードで無効になっています。SSHアクセスでは証明書認証が使用されます。	rootログインの潜在的なリモートパスワードクラックからお客様を保護するのに役立ちます。	SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）
自動時刻同期	StorageGRIDは、各ノードのシステムクロックを複数の外部タイムネットワークタイムプロトコル（NTP）サーバと自動的に同期します。Stratum 3以降のNTPサーバが少なくとも4台必要です。	すべてのノードで時刻参照が同じになるようにします。	SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）
クライアント、管理者、内部のグリッドトラフィック用に別々のネットワークを使用	StorageGRIDソフトウェアノードとハードウェアアプライアンスは、複数の仮想ネットワークインターフェイスと物理ネットワークインターフェイスをサポートしているため、クライアントトラフィック、管理トラフィック、内部グリッドトラフィックを別々のネットワーク経由で分離できます。	グリッド管理者は、内部と外部のネットワークトラフィックを分離して、SLAの異なるネットワーク経由でトラフィックを配信できます。	—
複数の仮想LAN（VLAN）インターフェイス	StorageGRIDでは、StorageGRIDクライアントネットワークおよびグリッドネットワークにVLANインターフェイスを設定できます。	グリッド管理者はアプリケーショントラフィックをパーティショニングして分離し、セキュリティ、柔軟性、パフォーマンスを確保できます。
Untrusted Client Networkの略	信頼されていないクライアントネットワークインターフェイスは、ロードバランサエンドポイントとして明示的に設定されたポートでのみインバウンド接続を受け入れます。	信頼されていないネットワークに公開されているインターフェイスのセキュリティが確保されます。	—
設定可能なファイアウォール	管理、グリッド、クライアントの各ネットワークの開いているポートと閉じているポートを管理します。	グリッド管理者がポートでのアクセスを制御し、ポートへの承認済みデバイスアクセスを管理できるようにします。
SSH動作の強化	ノードをStorageGRID 11.5にアップグレードすると、新しいSSHホスト証明書とホストキーが生成されます。	中間者攻撃からの保護を強化します。	SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）
ノード暗号化	新しいKMSホストサーバ暗号化機能の一部として、StorageGRIDアプライアンスインストーラに新しいノード暗号化設定が追加されます。	この設定は、アプライアンスの設置のハードウェア構成段階で有効にする必要があります。	SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

機能

影響

コンプライアンス

内部公開鍵インフラ（PKI）、ノード証明書、TLS

StorageGRIDは、内部PKIおよびノード証明書を使用して、ノード間通信を認証および暗号化します。ノード間通信はTLSで保護されます。

特にマルチサイト展開では、LANまたはWAN経由のシステムトラフィックの保護に役立ちます。

SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

ノードのファイアウォール

StorageGRIDは、IPテーブルとファイアウォールルールを自動的に設定して、送受信ネットワークトラフィックを制御し、未使用のポートを閉じます。

StorageGRIDシステム、データ、メタデータを未承諾のネットワークトラフィックから保護します。

—

OSのセキュリティ強化

StorageGRID物理アプライアンスと仮想ノードのベースオペレーティングシステムが強化され、関連のないソフトウェアパッケージが削除されます。

潜在的な攻撃対象領域を最小限に抑えます。

SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

プラットフォームとソフトウェアの定期的な更新

StorageGRIDでは、オペレーティングシステム、アプリケーションバイナリ、ソフトウェアアップデートなどのソフトウェアリリースを定期的に提供しています。

StorageGRIDシステムを最新のソフトウェアとアプリケーションバイナリで更新するのに役立ちます。

—

Secure Shell（SSH）を使用したルートログインの無効化

SSH経由のrootログインは、すべてのStorageGRIDノードで無効になっています。SSHアクセスでは証明書認証が使用されます。

rootログインの潜在的なリモートパスワードクラックからお客様を保護するのに役立ちます。

SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

自動時刻同期

StorageGRIDは、各ノードのシステムクロックを複数の外部タイムネットワークタイムプロトコル（NTP）サーバと自動的に同期します。Stratum 3以降のNTPサーバが少なくとも4台必要です。

すべてのノードで時刻参照が同じになるようにします。

SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

クライアント、管理者、内部のグリッドトラフィック用に別々のネットワークを使用

StorageGRIDソフトウェアノードとハードウェアアプライアンスは、複数の仮想ネットワークインターフェイスと物理ネットワークインターフェイスをサポートしているため、クライアントトラフィック、管理トラフィック、内部グリッドトラフィックを別々のネットワーク経由で分離できます。

グリッド管理者は、内部と外部のネットワークトラフィックを分離して、SLAの異なるネットワーク経由でトラフィックを配信できます。

—

複数の仮想LAN（VLAN）インターフェイス

StorageGRIDでは、StorageGRIDクライアントネットワークおよびグリッドネットワークにVLANインターフェイスを設定できます。

グリッド管理者はアプリケーショントラフィックをパーティショニングして分離し、セキュリティ、柔軟性、パフォーマンスを確保できます。

Untrusted Client Networkの略

信頼されていないクライアントネットワークインターフェイスは、ロードバランサエンドポイントとして明示的に設定されたポートでのみインバウンド接続を受け入れます。

信頼されていないネットワークに公開されているインターフェイスのセキュリティが確保されます。

—

設定可能なファイアウォール

管理、グリッド、クライアントの各ネットワークの開いているポートと閉じているポートを管理します。

グリッド管理者がポートでのアクセスを制御し、ポートへの承認済みデバイスアクセスを管理できるようにします。

SSH動作の強化

ノードをStorageGRID 11.5にアップグレードすると、新しいSSHホスト証明書とホストキーが生成されます。

中間者攻撃からの保護を強化します。

SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

ノード暗号化

新しいKMSホストサーバ暗号化機能の一部として、StorageGRIDアプライアンスインストーラに新しいノード暗号化設定が追加されます。

この設定は、アプライアンスの設置のハードウェア構成段階で有効にする必要があります。

SECルール17a-4（f）CTFC 1.31（c）-（d）（FINRA）ルール4511（c）

プラットフォームのセキュリティ機能

Creating your file...