StorageGRIDノードに関するセキュリティ強化ガイドライン

StorageGRIDノードは、VMware仮想マシンに導入するか、Linuxホスト上のDockerコンテナ内に導入するか、専用のハードウェア アプライアンスとして導入できます。各タイプのプラットフォームやノードには、セキュリティ強化に関する独自のベストプラクティスがあります。

ファイアウォールの設定

システムのセキュリティ強化プロセスの一環として、外部ファイアウォールの設定を確認し、トラフィックを厳密に必要とするIPアドレスおよびポートでのみトラフィックが受け入れられるように設定を変更する必要があります。

VMwareプラットフォームおよびStorageGRIDアプライアンスで実行されるノードは、自動管理される内部ファイアウォールを使用します。この内部ファイアウォールによって、一部の一般的な脅威に対する保護レイヤが追加されますが、外部ファイアウォールが不要となるわけではありません。

Linuxホストで実行されるノードは、ホストの外部にある適切に設定されたファイアウォールに完全に依存します。

StorageGRIDで使用されるすべての内部ポートと外部ポートの一覧については、使用するプラットフォームに対応したインストール ガイドを参照してください。

仮想化、コンテナ、および共有ハードウェア

すべてのStorageGRIDノードで、StorageGRIDを信頼されていないソフトウェアと同じ物理ハードウェアで実行しないでください。StorageGRIDとマルウェアが同じ物理ハードウェアに存在する場合、ハイパーバイザーで保護しているからといって、StorageGRIDで保護されたデータがマルウェアにアクセスされないとは限りません。たとえば、Meltdown攻撃やSpectre攻撃によって、最新のプロセッサの重大な脆弱性が悪用され、同じコンピュータ上のメモリにあるデータをプログラムで盗むことが可能になります。

使用されていないサービスを無効にする

すべてのStorageGRIDノードで、使用されていないサービスへのアクセスを無効にするかブロックする必要があります。たとえば、CIFSまたはNFSの監査共有へのクライアント アクセスを設定する予定がない場合は、当該サービスへのアクセスをブロックするか無効にします。

インストール中にノードを保護する

ノードがインストールされている間は、信頼されていないユーザがネットワーク経由でStorageGRIDノードにアクセスできないようにしてください。ノードは、グリッドに参加するまで完全にセキュアとなりません。

管理ノードに関するガイドライン

管理ノード:システムの設定、監視、ロギングなどの管理サービスを提供します。Grid ManagerまたはTenant Managerにサインインすると、管理ノードに接続されます。

StorageGRIDシステム内の管理ノードを保護するには、次のガイドラインに従います。

詳細については、StorageGRIDの管理手順を参照してください。

ストレージ ノードに関するガイドライン

ストレージ ノードは、オブジェクト データとメタデータを管理および格納します。StorageGRIDシステム内のストレージ ノードを保護するには、次のガイドラインに従います。

ゲートウェイ ノードに関するガイドライン

ゲートウェイ ノードは、クライアント アプリケーションがStorageGRIDへの接続に使用するオプションのロード バランシング インターフェイスを提供します。StorageGRIDシステム内のゲートウェイ ノードを保護するには、次のガイドラインに従います。

ハードウェア アプライアンス ノードに関するガイドライン

StorageGRIDハードウェア アプライアンスは、StorageGRIDシステム専用に設計されています。一部のアプライアンスはストレージ ノードとして使用できます。その他のアプライアンスは、管理ノードまたはゲートウェイ ノードとして使用できます。アプライアンス ノードをソフトウェアベースのノードと組み合わせることができます。あるいは、専用のアプライアンスだけで構成されたグリッドを導入することもできます。

StorageGRIDシステム内のハードウェア アプライアンス ノードを保護するには、次のガイドラインに従います。

使用しているStorageGRIDハードウェア アプライアンスの設置とメンテナンスの手順を参照してください。