Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

内部ファイアウォールコントロールを管理します

共同作成者
PDF

StorageGRID には、各ノードに内部ファイアウォールがあります。このファイアウォールを使用すると、ノードへのネットワークアクセスを制御できるため、グリッドのセキュリティが強化されます。ファイアウォールを使用して、特定のグリッド環境に必要なポートを除くすべてのポートでネットワークアクセスを禁止します。[Firewall]コントロールページで行った設定変更は、各ノードに展開されます。

Firewallコントロールページの3つのタブを使用して、グリッドに必要なアクセスをカスタマイズします。

  • 特権アドレスリスト:このタブを使用して、選択したポートへのアクセスを許可します。[Manage external access]タブを使用して閉じたポートにアクセスできるIPアドレスまたはサブネットをCIDR表記で追加できます。

  • 外部アクセスの管理:このタブを使用して、デフォルトで開いているポートを閉じるか、以前閉じていたポートを再度開きます。

  • 信頼されていないクライアントネットワーク:このタブを使用して、ノードがクライアントネットワークからのインバウンドトラフィックを信頼するかどうかを指定します。

    このタブの設定は、[外部アクセスの管理]タブの設定よりも優先されます。

    • 信頼されていないクライアントネットワークを使用するノードは、そのノードに設定されているロードバランサエンドポイントポート(グローバル、ノードインターフェイス、およびノードタイプにバインドされたエンドポイント)の接続のみを受け入れます。

    • ロードバランサエンドポイントのポート_は、[外部ネットワークの管理]タブの設定に関係なく、信頼されていないクライアントネットワークで唯一開いているポート_です。

    • 信頼されている場合は、[Manage external access]タブで開いたすべてのポートおよびクライアントネットワークで開いているロードバランサエンドポイントにアクセスできます。

メモ あるタブで行った設定は、別のタブで行ったアクセス変更に影響を与える可能性があります。すべてのタブの設定を確認して、ネットワークが想定どおりに動作することを確認してください。

内部ファイアウォールコントロールを設定するには、を参照してください"ファイアウォールコントロールを設定します"

外部ファイアウォールとネットワークセキュリティの詳細については、を参照してください"外部ファイアウォールでアクセスを制御します"

[Privileged address list]タブと[Manage external access]タブ

特権アドレスリストタブでは、閉じられているグリッドポートへのアクセスを許可する1つ以上のIPアドレスを登録できます。[Manage external access]タブでは、選択した外部ポートまたは開いているすべての外部ポート(デフォルトではグリッド以外のノードからアクセス可能なポート)への外部アクセスを閉じることができます。多くの場合、この2つのタブを一緒に使用して、グリッドに必要な正確なネットワークアクセスをカスタマイズできます。

メモ 特権IPアドレスには、デフォルトで内部グリッドポートへのアクセスはありません。

例1:メンテナンスタスクにジャンプホストを使用します

ネットワーク管理にジャンプホスト(セキュリティ強化ホスト)を使用するとします。次の一般的な手順を使用できます。

  1. 特権アドレスリストタブを使用して、ジャンプホストのIPアドレスを追加します。

  2. [Manage external access]タブを使用して、すべてのポートをブロックします。

注意 ポート443と8443をブロックする前に、特権IPアドレスを追加してください。ブロックされたポートに現在接続されているユーザ(ユーザを含む)は、自分のIPアドレスが特権アドレスリストに追加されていないかぎり、Grid Managerにアクセスできません。

設定を保存すると、グリッド内の管理ノードのすべての外部ポートが、ジャンプホストを除くすべてのホストに対してブロックされます。これにより、ジャンプホストを使用して、グリッドでより安全にメンテナンスタスクを実行できるようになります。

例2:敏感なポートをロックダウンします

機密性の高いポートとそのポート上のサービス(たとえば、ポート22のSSH)をロックダウンするとします。次の一般的な手順を使用できます。

  1. サービスへのアクセスを必要とするホストにのみアクセスを許可するには、特権アドレスリストタブを使用します。

  2. [Manage external access]タブを使用して、すべてのポートをブロックします。

注意 Grid ManagerおよびTenant Managerへのアクセスを割り当てられているポート(事前設定ポートは443および8443)へのアクセスをブロックする前に、権限付きIPアドレスを追加してください。ブロックされたポートに現在接続されているユーザ(ユーザを含む)は、自分のIPアドレスが特権アドレスリストに追加されていないかぎり、Grid Managerにアクセスできません。

設定を保存すると、特権アドレスリストのホストでポート22とSSHサービスを使用できるようになります。要求の送信元インターフェイスに関係なく、他のすべてのホストはサービスへのアクセスを拒否されます。

例3:未使用のサービスへのアクセスを無効にします

ネットワークレベルでは、使用する予定のない一部のサービスを無効にすることができます。たとえば、HTTP S3クライアントトラフィックをブロックするには、[Manage external access]タブのトグルを使用してポート18084をブロックします。

[信頼されていないクライアントネットワーク]タブ

クライアントネットワークを使用している場合は、明示的に設定されたエンドポイントでのみインバウンドクライアントトラフィックを受け入れることで、悪意のある攻撃から StorageGRID を保護できます。

デフォルトでは、各グリッドノードのクライアントネットワークは trusted_ です。つまり、StorageGRIDはデフォルトで、すべてののグリッドノードへのインバウンド接続を信頼します"使用可能な外部ポート"

各ノードのクライアントネットワークを「 untrusted_ 」に指定することで、 StorageGRID システムに対する悪意ある攻撃の脅威を軽減できます。ノードのクライアントネットワークが信頼されていない場合、ノードはロードバランサエンドポイントとして明示的に設定されたポートのインバウンド接続だけを受け入れます。およびを参照してください"ロードバランサエンドポイントを設定する""ファイアウォールコントロールを設定します"

例 1 :ゲートウェイノードが HTTPS S3 要求のみを受け入れる

ゲートウェイノードで、 HTTPS S3 要求を除くクライアントネットワーク上のすべてのインバウンドトラフィックを拒否するとします。この場合、次の一般的な手順を実行します。

  1. "ロードバランサエンドポイント"ページで、ポート443にHTTPS経由のS3用のロードバランサエンドポイントを設定します。

  2. [Firewall control]ページで、[Untrusted]を選択して、ゲートウェイノードのクライアントネットワークを信頼されていないネットワークとして指定します。

設定を保存すると、ポート 443 での HTTPS S3 要求と ICMP エコー( ping )要求を除き、ゲートウェイノードのクライアントネットワーク上のすべてのインバウンドトラフィックが破棄されます。

例 2 :ストレージノードが S3 プラットフォームサービス要求を送信する

あるストレージノードからのアウトバウンドS3プラットフォームサービストラフィックは有効にするが、クライアントネットワークではそのストレージノードへのインバウンド接続は禁止するとします。この場合は、次の手順を実行します。

  • [Firewall]制御ページの[Untrusted Client Networks]タブで、ストレージノード上のクライアントネットワークが信頼されていないことを指定します。

設定を保存すると、ストレージノードはクライアントネットワークで受信トラフィックを受け入れなくなりますが、設定されているプラットフォームサービスのデスティネーションへのアウトバウンド要求は引き続き許可します。

例3:Grid Managerへのアクセスをサブネットに制限する

Grid Managerに特定のサブネットに対するアクセスのみを許可するとします。次の手順を実行します。

  1. 管理ノードのクライアントネットワークをサブネットに接続します。

  2. [Untrusted Client Network]タブを使用して、クライアントネットワークを信頼されていないものとして設定します。

  3. 管理インターフェイスのロードバランサエンドポイントを作成する場合は、「port」と入力し、ポートからアクセスする管理インターフェイスを選択します。

  4. 信頼されていないクライアントネットワークについては*[はい]*を選択します。

  5. [Manage external access]タブを使用して、すべての外部ポートをブロックします(サブネット外のホストに対して特権IPアドレスが設定されているかどうかに関係なく)。

設定を保存すると、指定したサブネットのホストだけがGrid Managerにアクセスできるようになります。他のすべてのホストはブロックされます。