次の表に、Unified Managerで評価されるクラスタ セキュリティ コンプライアンスのパラメータ、ネットアップの推奨事項、およびクラスタが準拠か非準拠かの総合的な判断にパラメータが影響するかどうかを示します。
クラスタに非準拠のSVMがあると、クラスタのコンプライアンスに影響します。そのため、クラスタのセキュリティが準拠とみなされるためには、事前にSVMのセキュリティ問題の修正が必要となる場合があります。
以下のパラメータは、すべてのインストール環境で表示されるわけではありません。たとえば、ピア クラスタがない場合やクラスタでAutoSupportを無効にしている場合、「クラスタ ピアリング」や「AutoSupport HTTPS転送」の項目は表示されません。
パラメータ | 説明 | 推奨事項 | クラスタ コンプライアンスに影響 |
---|---|---|---|
グローバル FIPS | グローバルFIPS(連邦情報処理標準)140-2準拠モードが有効になっているかどうかを示します。FIPSを有効にすると、TLSv1とSSLv3は無効になり、TLSv1.1とTLSv1.2のみが許可されます。 | 有効 | ○ |
Telnet | システムへのTelnetアクセスが有効になっているどうかを示します。ネットアップでは、セキュアなリモート アクセスのためにSecure Shell(SSH)を推奨しています。 | 無効 | ○ |
安全でない SSH 設定 | SSHが安全でない暗号(*cbcで始まる暗号など)を使用しているかどうかを示します。 | × | ○ |
ログイン バナー | システムにアクセスするユーザに対してログイン バナーが有効になっているかどうかを示します。 | 有効 | ○ |
クラスタ ピアリング | ピア クラスタ間の通信が暗号化されているかどうかを示します。このパラメータが準拠とみなされるためには、ソースとデスティネーションの両方のクラスタで暗号化が設定されている必要があります。 | 暗号化 | ○ |
ネットワーク タイム プロトコル | クラスタにNTPサーバが1つ以上設定されているかどうかを示します。ネットアップでは、冗長性と最適なサービスを実現するために最低3台のNTPサーバをクラスタに関連付けることを推奨しています。 | 設定 | ○ |
OCSP | ONTAPにOCSP(Online Certificate Status Protocol)が設定されていないアプリケーションがないか、そのため通信が暗号化されていない状況にないかどうかを示します。非準拠のアプリケーションが列挙されます。 | 有効 | × |
リモート監査ログ | ログ転送(syslog)が暗号化されるかどうかを示します。 | 暗号化 | ○ |
AutoSupport HTTPS 転送 | ネットアップ サポートにAutoSupportメッセージを送信するためのデフォルトの転送プロトコルとしてHTTPSが使用されているかどうかを示します。 | 有効 | ○ |
デフォルトの管理ユーザ | デフォルトの管理ユーザ(組み込み)が有効になっているかどうかを示します。ネットアップでは、不要な組み込みアカウントはすべてロック(無効化)することを推奨しています。 | 無効 | ○ |
SAML ユーザ | SAMLが設定されているかどうかを示します。SAMLを使用すると、シングル サインオンのログイン方法として多要素認証(MFA)を設定できます。 | 推奨事項なし | × |
Active Directory ユーザ | Active Directoryが設定されているかどうかを示します。Active DirectoryとLDAPは、クラスタにアクセスするユーザに対して推奨される認証メカニズムです。 | 推奨事項なし | × |
LDAP ユーザ | LDAPが設定されているかどうかを示します。Active DirectoryとLDAPは、ローカル ユーザよりもクラスタを管理するユーザに対して推奨される認証メカニズムです。 | 推奨事項なし | × |
証明書ユーザ | 証明書ユーザがクラスタにログインするように設定されているかどうかを示します。 | 推奨事項なし | × |
ローカル ユーザ | ローカル ユーザがクラスタにログインするように設定されているかどうかを示します。 | 推奨事項なし | × |