Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

StorageGRID ノードの保護対策のガイドライン

共同作成者
PDF

StorageGRID ノードは、 VMware 仮想マシン、 Linux ホスト上のコンテナエンジン、または専用のハードウェアアプライアンスとして導入できます。プラットフォームのタイプとノードのタイプにはそれぞれ、強化に関するベストプラクティスがあります。

BMCへのリモートIPMIアクセスの制御

BMCを含むすべてのアプライアンスに対してリモートIPMIアクセスを有効または無効にすることができます。リモートIPMIインターフェイスを使用すると、BMCアカウントとパスワードを持つすべてのユーザが、低レベルのハードウェアからStorageGRIDアプライアンスにアクセスできます。BMCへのリモートIPMIアクセスが不要な場合は、このオプションを無効にします。

  • Grid ManagerでBMCへのリモートIPMIアクセスを制御するには、* configuration > Security > Security settings > Appliances *:

    • BMCへのIPMIアクセスを無効にするには、*リモートIPMIアクセスを有効にする*チェックボックスをオフにします。

    • BMCへのIPMIアクセスを有効にするには、*リモートIPMIアクセスを有効にする*チェックボックスをオンにします。

ファイアウォールの設定

システム強化プロセスの一環として、外部ファイアウォールの設定を確認し、 IP アドレスとそれが厳密に必要なポートからのみトラフィックが許可されるように変更する必要があります。

StorageGRID には、各ノードに内部ファイアウォールがあります。このファイアウォールを使用すると、ノードへのネットワークアクセスを制御できるため、グリッドのセキュリティが強化されます。特定のグリッド環境に必要なポート以外のすべてのポートでネットワークアクセスを禁止する必要があります"内部ファイアウォールコントロールを管理します"。[Firewall]コントロールページで行った設定変更は、各ノードに展開されます。

具体的には、次の領域を管理できます。

  • 特権アドレス:[外部アクセスの管理]タブの設定によって閉じられたポートに、選択したIPアドレスまたはサブネットがアクセスできるようにすることができます。

  • 外部アクセスの管理:デフォルトで開いているポートを閉じるか、以前閉じていたポートを再度開くことができます。

  • 信頼されていないクライアントネットワーク:ノードがクライアントネットワークからのインバウンドトラフィックを信頼するかどうか、および信頼されていないクライアントネットワークが設定されている場合に開く追加ポートを指定できます。

この内部ファイアウォールは、一部の一般的な脅威に対する追加の保護レイヤを提供しますが、外部ファイアウォールの必要性は排除されません。

StorageGRIDで使用されるすべての内部ポートと外部ポートのリストについては、を参照してください"ネットワークポートのリファレンス"

未使用のサービスを無効にします

すべての StorageGRID ノードについて、未使用のサービスへのアクセスを無効化またはブロックする必要があります。たとえば、DHCPを使用する予定がない場合は、Grid Managerを使用してポート68を閉じます。* configuration > Firewall control > Manage external access を選択します。次に、ポート68のステータストグルを Open から Closed *に変更します。

仮想化、コンテナ、共有ハードウェア

すべての StorageGRID ノードで、信頼されていないソフトウェアと同じ物理ハードウェア上で StorageGRID を実行しないでください。StorageGRID とマルウェアの両方が同じ物理ハードウェア上に存在する場合、ハイパーバイザーの保護によってStorageGRIDで保護されたデータへのマルウェアのアクセスが防止されるとは限りません。たとえば、 Meltdown と Specter 攻撃は、最新のプロセッサに存在する重要な脆弱性を悪用し、プログラムが同じコンピュータ上のメモリにデータを盗むことを可能にします。

インストール中にノードを保護

ノードがインストールされているときに、信頼されていないユーザがネットワーク経由でStorageGRID ノードにアクセスできないようにします。ノードは、グリッドに参加するまで完全にセキュアになりません。

管理ノードのガイドライン

管理ノードは、システムの設定、監視、ロギングなどの管理サービスを提供します。Grid Manager または Tenant Manager にサインインすると、管理ノードに接続されます。

StorageGRID システムで管理ノードを保護するには、次のガイドラインに従います。

  • 開いているインターネット上の管理ノードなど、信頼されていないクライアントからすべての管理ノードを保護します。グリッドネットワーク上、管理ネットワーク上、またはクライアントネットワーク上のどの管理ノードにも、信頼されていないクライアントがアクセスできないようにします。

  • StorageGRID グループは Grid Manager とテナントマネージャの機能へのアクセスを制御します。各ユーザグループにロールに最低限必要な権限を付与し、読み取り専用アクセスモードを使用してユーザによる設定変更を防止します。

  • StorageGRID ロードバランサエンドポイントを使用する場合は、信頼されないクライアントトラフィックに管理ノードの代わりにゲートウェイノードを使用します。

  • 信頼されていないテナントがある場合は、そのテナントにTenant Managerまたはテナント管理APIへの直接アクセスを許可しないでください。代わりに、信頼されていないテナントがテナントポータルまたはテナント管理 API と連動する外部テナント管理システムを使用するようにします。

  • 必要に応じて、管理プロキシを使用して、管理ノードからNetAppサポートへのAutoSupport通信を詳細に制御します。の手順を参照してください"管理プロキシの作成"

  • 必要に応じて、制限された 8443 ポートと 9443 ポートを使用して Grid Manager と Tenant Manager の通信を分離します。共有ポート 443 をブロックして、テナント要求をポート 9443 に制限して追加の保護を確保します。

  • 必要に応じて、グリッド管理者とテナントユーザには別々の管理ノードを使用します。

詳細については、の手順を参照してください"StorageGRID の管理"

ストレージノードに関するガイドライン

ストレージノードは、オブジェクトデータとメタデータを管理および格納します。StorageGRID システムでストレージノードを保護するには、次のガイドラインに従います。

  • 信頼されていないクライアントがストレージノードに直接接続することを許可しないでください。ゲートウェイノードまたはサードパーティのロードバランサによって処理されるロードバランサエンドポイントを使用します。

  • 信頼されていないテナントに対してアウトバウンドサービスを有効にしないでください。たとえば、信頼されていないテナントのアカウントを作成する場合は、テナントに独自のアイデンティティソースの使用やプラットフォームサービスの使用を許可しないでください。の手順を参照してください"テナントアカウントを作成する"

  • 信頼されないクライアントトラフィックには、サードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。

  • 必要に応じて、ストレージプロキシを使用して、クラウドストレージプールとプラットフォームサービスのストレージノードから外部サービスへの通信を詳細に制御します。の手順を参照してください"ストレージプロキシの作成"

  • 必要に応じて、クライアントネットワークを使用して外部サービスに接続します。次に、* configuration > Security > Firewall control > Untrusted Client Networks *を選択し、ストレージノード上のクライアントネットワークが信頼されていないことを指定します。ストレージノードはクライアントネットワーク上の受信トラフィックを受け入れなくなりますが、プラットフォームサービスへのアウトバウンド要求は引き続き許可します。

ゲートウェイノードのガイドライン

ゲートウェイノードは、クライアントアプリケーションが StorageGRID への接続に使用できるオプションのロードバランシングインターフェイスです。StorageGRID システムにゲートウェイノードを保護するには、次のガイドラインに従います。

  • ロードバランサエンドポイントを設定して使用する。を参照して "ロードバランシングに関する考慮事項"

  • クライアントとゲートウェイノードまたはストレージノードの間で、信頼されていないクライアントトラフィックにサードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。サードパーティのロードバランサを使用する場合でも、内部のロードバランサエンドポイントを経由するようにネットワークトラフィックを設定したり、ストレージノードに直接送信したりすることができます。

  • ロードバランサエンドポイントを使用している場合は、必要に応じてクライアントネットワーク経由で接続します。次に、* configuration > Security > Firewall control > Untrusted Client Networks *を選択し、ゲートウェイノード上のクライアントネットワークが信頼されていないことを指定します。ゲートウェイノードは、ロードバランサエンドポイントとして明示的に設定されたポートのインバウンドトラフィックのみを受け入れます。

ハードウェアアプライアンスノードのガイドライン

StorageGRID ハードウェアアプライアンスは、 StorageGRID システム専用に設計されています。一部のアプライアンスはストレージノードとして使用できます。その他のアプライアンスは、管理ノードまたはゲートウェイノードとして使用できます。アプライアンスノードをソフトウェアベースのノードと組み合わせることも、自社開発の全アプライアンスグリッドを導入することもできます。

StorageGRID システムにハードウェアアプライアンスノードを固定するには、次のガイドラインに従います。

  • アプライアンスでストレージコントローラの管理に SANtricity System Manager を使用している場合は、信頼されていないクライアントからネットワーク経由で SANtricity System Manager にアクセスできないようにします。

  • アプライアンスに Baseboard Management Controller ( BMC ;ベースボード管理コントローラ)が搭載されている場合は、 BMC 管理ポートで下位レベルのハードウェアアクセスが許可されることに注意してください。BMC 管理ポートは、信頼されているセキュアな内部管理ネットワークにのみ接続してください。該当するネットワークがない場合は、テクニカルサポートから BMC 接続の要請があった場合を除き、 BMC 管理ポートを接続しないか、またはブロックしたままにしてください。

  • アプライアンスが Intelligent Platform Management Interface ( IPMI )標準を使用したイーサネット経由でのコントローラハードウェアのリモート管理をサポートする場合は、ポート 623 での信頼されていないトラフィックをブロックします。

メモ BMCを含むすべてのアプライアンスに対してリモートIPMIアクセスを有効または無効にすることができます。リモートIPMIインターフェイスを使用すると、BMCアカウントとパスワードを持つすべてのユーザが、低レベルのハードウェアからStorageGRIDアプライアンスにアクセスできます。BMCへのリモートIPMIアクセスが必要ない場合は、次のいずれかの方法でこのオプションを無効にします。+ Grid Managerで* configuration > Security > Security settings > Appliances に移動し、 Enable remote IPMI access *チェックボックスをオフにします。+グリッド管理APIで、プライベートエンドポイントを使用します PUT /private/bmc