Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

StorageGRID ノードの保護対策のガイドライン

共同作成者 netapp-perveilerk netapp-lhalbert netapp-pcarriga
PDF

StorageGRID ノードは、 VMware 仮想マシン、 Linux ホスト上のコンテナエンジン、または専用のハードウェアアプライアンスとして導入できます。プラットフォームのタイプとノードのタイプにはそれぞれ、強化に関するベストプラクティスがあります。

BMCへのリモートIPMIアクセスを制御する

BMCを含むすべてのアプライアンスに対してリモートIPMIアクセスを有効または無効にすることができます。リモートIPMIインターフェイスを使用すると、BMCアカウントとパスワードを持つすべてのユーザが、低レベルのハードウェアからStorageGRIDアプライアンスにアクセスできます。BMCへのリモートIPMIアクセスが不要な場合は、このオプションを無効にします。

  • Grid Manager でBMCへのリモート IPMI アクセスを制御するには、[構成] > [セキュリティ] > [セキュリティ設定] > [アプライアンス] に移動します。

    • BMCへのIPMIアクセスを無効にするには、*リモートIPMIアクセスを有効にする*チェックボックスをオフにします。

    • BMCへのIPMIアクセスを有効にするには、*リモートIPMIアクセスを有効にする*チェックボックスをオンにします。

BMC強化の詳細については、 "ベースボード管理コントローラの強化"サイバーセキュリティ情報シート "国家安全保障局(NSA)"そして "サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)"

ファイアウォールの設定

システム強化プロセスの一環として、外部ファイアウォールの設定を確認し、 IP アドレスとそれが厳密に必要なポートからのみトラフィックが許可されるように変更する必要があります。

StorageGRID には、各ノードに内部ファイアウォールがあります。このファイアウォールを使用すると、ノードへのネットワークアクセスを制御できるため、グリッドのセキュリティが強化されます。特定のグリッド環境に必要なポート以外のすべてのポートでネットワークアクセスを禁止する必要があります"内部ファイアウォールコントロールを管理します"。[Firewall]コントロールページで行った設定変更は、各ノードに展開されます。

具体的には、次の領域を管理できます。

  • 特権アドレス:[外部アクセスの管理]タブの設定によって閉じられたポートに、選択したIPアドレスまたはサブネットがアクセスできるようにすることができます。

  • 外部アクセスの管理:デフォルトで開いているポートを閉じるか、以前閉じていたポートを再度開くことができます。

  • 信頼されていないクライアントネットワーク:ノードがクライアントネットワークからのインバウンドトラフィックを信頼するかどうか、および信頼されていないクライアントネットワークが設定されている場合に開く追加ポートを指定できます。

この内部ファイアウォールは、一部の一般的な脅威に対する追加の保護レイヤを提供しますが、外部ファイアウォールの必要性は排除されません。

StorageGRIDで使用されるすべての内部ポートと外部ポートのリストについては、"StorageGRID の内部ポート"そして"外部との通信に使用するポート"

未使用のサービスを無効にします

すべてのStorageGRIDノードについて、未使用のサービスへのアクセスを無効にするかブロックする必要があります。たとえば、DHCP を使用する予定がない場合は、グリッド マネージャーを使用してポート 68 を閉じます。 構成 > ファイアウォール制御 > 外部アクセスの管理*を選択します。次に、ポート 68 のステータス トグルを *Open から Closed に変更します。

仮想化、コンテナ、共有ハードウェア

すべての StorageGRID ノードで、信頼されていないソフトウェアと同じ物理ハードウェア上で StorageGRID を実行しないでください。StorageGRID とマルウェアの両方が同じ物理ハードウェア上に存在する場合、ハイパーバイザーの保護によってStorageGRIDで保護されたデータへのマルウェアのアクセスが防止されるとは限りません。たとえば、 Meltdown と Specter 攻撃は、最新のプロセッサに存在する重要な脆弱性を悪用し、プログラムが同じコンピュータ上のメモリにデータを盗むことを可能にします。

インストール中にノードを保護

ノードがインストールされているときに、信頼されていないユーザがネットワーク経由でStorageGRID ノードにアクセスできないようにします。ノードは、グリッドに参加するまで完全にセキュアになりません。

ハードウェアへの物理的なアクセスを制限する

StorageGRIDハードウェア アプライアンス ノード、およびStorageGRIDを実行している VMware 仮想マシン ホストと Linux ホストへの物理アクセスを、許可された管理者のみに制限する必要があります。物理的なアクセス制御の例としては、ロック、ガード、物理的な障壁、ビデオ監視などがあります。

ハードウェア アプライアンス ノードは、許可された管理者のみがインストールおよび操作できるように設計されています。権限のない管理者がハードウェア アプライアンス ノードにアクセスできないようにします。

管理ノードのガイドライン

管理ノードは、システムの設定、監視、ロギングなどの管理サービスを提供します。Grid Manager または Tenant Manager にサインインすると、管理ノードに接続されます。

StorageGRID システムで管理ノードを保護するには、次のガイドラインに従います。

  • 開いているインターネット上の管理ノードなど、信頼されていないクライアントからすべての管理ノードを保護します。グリッドネットワーク上、管理ネットワーク上、またはクライアントネットワーク上のどの管理ノードにも、信頼されていないクライアントがアクセスできないようにします。

  • StorageGRID グループは Grid Manager とテナントマネージャの機能へのアクセスを制御します。各ユーザグループにロールに最低限必要な権限を付与し、読み取り専用アクセスモードを使用してユーザによる設定変更を防止します。

  • StorageGRID ロードバランサエンドポイントを使用する場合は、信頼されないクライアントトラフィックに管理ノードの代わりにゲートウェイノードを使用します。

  • 信頼されていないテナントがある場合は、そのテナントにTenant Managerまたはテナント管理APIへの直接アクセスを許可しないでください。代わりに、信頼されていないテナントがテナントポータルまたはテナント管理 API と連動する外部テナント管理システムを使用するようにします。

  • 必要に応じて、管理プロキシを使用して、管理ノードからNetAppサポートへのAutoSupport通信を詳細に制御します。の手順を参照してください"管理プロキシの作成"

  • 必要に応じて、制限された 8443 ポートと 9443 ポートを使用して Grid Manager と Tenant Manager の通信を分離します。共有ポート 443 をブロックして、テナント要求をポート 9443 に制限して追加の保護を確保します。

  • 必要に応じて、グリッド管理者とテナントユーザには別々の管理ノードを使用します。

詳細については、の手順を参照してください"StorageGRID の管理"

ストレージノードに関するガイドライン

ストレージノードは、オブジェクトデータとメタデータを管理および格納します。StorageGRID システムでストレージノードを保護するには、次のガイドラインに従います。

  • 信頼されていないクライアントがストレージノードに直接接続することを許可しないでください。ゲートウェイノードまたはサードパーティのロードバランサによって処理されるロードバランサエンドポイントを使用します。

  • 信頼されていないテナントに対してアウトバウンドサービスを有効にしないでください。たとえば、信頼されていないテナントのアカウントを作成する場合は、テナントに独自のアイデンティティソースの使用やプラットフォームサービスの使用を許可しないでください。の手順を参照してください"テナントアカウントを作成する"

  • 信頼されないクライアントトラフィックには、サードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。

  • 必要に応じて、ストレージプロキシを使用して、クラウドストレージプールとプラットフォームサービスのストレージノードから外部サービスへの通信を詳細に制御します。の手順を参照してください"ストレージプロキシの作成"

  • 必要に応じて、クライアント ネットワークを使用して外部サービスに接続します。次に、[構成] > [セキュリティ] > [ファイアウォール制御] > [信頼されていないクライアント ネットワーク] を選択し、ストレージ ノード上のクライアント ネットワークが信頼されていないことを示します。ストレージ ノードは、クライアント ネットワーク上の着信トラフィックを受け入れなくなりますが、プラットフォーム サービスへの送信要求は引き続き許可します。

ゲートウェイノードのガイドライン

ゲートウェイノードは、クライアントアプリケーションが StorageGRID への接続に使用できるオプションのロードバランシングインターフェイスです。StorageGRID システムにゲートウェイノードを保護するには、次のガイドラインに従います。

  • ロードバランサエンドポイントを設定して使用する。を参照して "ロードバランシングに関する考慮事項"

  • クライアントとゲートウェイノードまたはストレージノードの間で、信頼されていないクライアントトラフィックにサードパーティのロードバランサを使用します。サードパーティ製のロードバランシングにより、攻撃に対する制御性が向上し、追加の保護レイヤが提供されます。サードパーティのロードバランサを使用する場合でも、内部のロードバランサエンドポイントを経由するようにネットワークトラフィックを設定したり、ストレージノードに直接送信したりすることができます。

  • ロード バランサー エンドポイントを使用している場合は、オプションでクライアントをクライアント ネットワーク経由で接続します。次に、[構成] > [セキュリティ] > [ファイアウォール制御] > [信頼されていないクライアント ネットワーク] を選択し、ゲートウェイ ノード上のクライアント ネットワークが信頼されていないことを示します。ゲートウェイ ノードは、ロード バランサーのエンドポイントとして明示的に構成されたポート上の受信トラフィックのみを受け入れます。

ハードウェアアプライアンスノードのガイドライン

StorageGRID ハードウェアアプライアンスは、 StorageGRID システム専用に設計されています。一部のアプライアンスはストレージノードとして使用できます。その他のアプライアンスは、管理ノードまたはゲートウェイノードとして使用できます。アプライアンスノードをソフトウェアベースのノードと組み合わせることも、自社開発の全アプライアンスグリッドを導入することもできます。

StorageGRID システムにハードウェアアプライアンスノードを固定するには、次のガイドラインに従います。

  • アプライアンスでストレージコントローラの管理に SANtricity System Manager を使用している場合は、信頼されていないクライアントからネットワーク経由で SANtricity System Manager にアクセスできないようにします。

  • アプライアンスにベースボード管理コントローラ (BMC) が搭載されている場合は、 BMC管理ポートによって低レベルのハードウェア アクセスが許可される場合があるので注意してください。 BMC管理ポートは、安全で信頼できる内部管理ネットワークにのみ接続してください。

    VLAN を確立して、 BMCネットワーク接続を分離し、 BMCインターネット アクセスを信頼できるネットワークに制限できます。 VLAN分離の強制に関する追加情報については、 "ベースボード管理コントローラの強化"サイバーセキュリティ情報シート "国家安全保障局(NSA)"そして "サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)"

    安全で信頼できる内部管理ネットワークが利用できない場合は、 BMC管理ポートを未接続のままにするか、ブロックされたままにしておきます。テクニカル サポートでは、サポート ケース中に一時的なアクセスを要求する場合があります。

  • アプライアンスが Intelligent Platform Management Interface ( IPMI )標準を使用したイーサネット経由でのコントローラハードウェアのリモート管理をサポートする場合は、ポート 623 での信頼されていないトラフィックをブロックします。

メモ BMCを含むすべてのアプライアンスに対してリモート IPMI アクセスを有効または無効にすることができます。リモート IPMI インターフェイスを使用すると、 BMCアカウントとパスワードを持つすべてのユーザーがStorageGRIDアプライアンスに低レベルのハードウェア アクセスできるようになります。 BMCへのリモート IPMI アクセスが必要ない場合は、次のいずれかの方法でこのオプションを無効にします。+ Grid Manager で、構成 > セキュリティ > セキュリティ設定 > アプライアンス に移動し、リモート IPMI アクセスを有効にする チェックボックスをオフにします。 + グリッド管理 API では、プライベート エンドポイントを使用します。 PUT /private/bmc

+ また、リモートIPMIアクセスを無効にする

関連情報

"SANtricity System Managerのドライブセキュリティについて学ぶ"