EMC VNX Series - Dell Technologies US...はじめに製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、ハードウェアおよ

EMC® VNX® Seriesバージョン VNX1, VNX2

VNX のセキュリティ構成ガイドP/N 300-015-128 REV. 06

Copyright © 2012-2017 Dell Inc. その関連会社。 All rights reserved. （不許複製・禁無断転載）

2017年 3月発行

掲載される情報は、発信現在で正確な情報であり、予告なく変更される場合があります。

本文書に記載される情報は、「現状有姿」の条件で提供されています。本文書に記載される情報に関する、どのような内容についても表明保証条項を設けず、特に、商品性や特定の目的に対する適応性に対する黙示的保証はいたしません。この資料に記載される、いかなる Dell ソフトウェアの使用、複製、頒布も、当該ソフトウェアライセンスが必要です。

Dell、EMC、および Dell または EMC が提供する製品及びサービスにかかる商標は Dell Inc.またはその関連会社の商標又は登録商標です。その他の商標は、各社の商標又は登録商標です。Published in the USA.

EMC ジャパン株式会社〒 151-0053 東京都渋谷区代々木 2-1-1 新宿マインズタワーwww.DellEMC.com/ja-jp/index.htmお問い合わせはwww.DellEMC.com/ja-jp/index.htm

2 VNX1, VNX2 VNX のセキュリティ構成ガイド

7

はじめに 9概要............................................................................................................ 10ユーザーインタフェースの選択...........................................................................10用語............................................................................................................ 10関連機能に関する情報.................................................................................. 12Unisphere Management Suite関連のホワイトペーパー...................................13

アクセス制御 15アクセス制御設定.......................................................................................... 16管理アクセスのセキュリティ................................................................................16認証.............................................................................................................17

Unisphere の認証............................................................................ 17VNX for Block の CLI の認証........................................................... 18VNX for File の CLI の認証...............................................................18ユーザーの適用範囲..........................................................................19LDAP または Active Directory を使用した認証...................................19デフォルトのアカウント..........................................................................21認証せずに実行するユーザーのアクション.............................................. 22コンポーネント認証（Block）............................................................ 22

許可............................................................................................................22Unisphere の主な役割.....................................................................22データ保護の役割.............................................................................24

コンポーネントのアクセス制御...........................................................................25コンポーネント認証............................................................................25VNX for File の CLI の役割に基づくアクセス........................................ 26UNIX ユーザーに対するWindows スタイルの認証情報......................... 26セッショントークンの保護.................................................................... 26CIFS Kerberos認証 CIFS Kerberos にんしょう.................................. 26NFS セキュリティ設定........................................................................ 26NFS および CIFS のアクセスポリシー...................................................27

データセキュリティ設定....................................................................................27データの整合性................................................................................ 27格納データの暗号化......................................................................... 27

パスワードポリシー......................................................................................... 27物理的セキュリティ統制.................................................................................. 28ログインバナーと今日のメッセージ..................................................................... 28

ロギング 29ログの設定................................................................................................... 30VNX for Block システムの監査ログ................................................................. 30VNX および RSA enVision............................................................................. 31

序文

第 1章

第 2章

第 3章

目次

VNX1, VNX2 VNX のセキュリティ構成ガイド 3

VNX for File システムの監査.......................................................................... 31格納データの暗号化の監査ログ.......................................................................32

通信セキュリティ 33通信のセキュリティの設定................................................................................34ポートの使用.................................................................................................34VNX for Block上の Unisphere コンポーネントによって使用されるポート.............. 34ネットワーク上での VNX for file の機能............................................................35

強固な防御.....................................................................................36VNX for File のネットワークサービス....................................................36VNX for File のセッションタイムアウト.................................................. 37プライベートネットワーク......................................................................37VNX for File プライマリネットワークサービス......................................... 37VNX for File送信ネットワーク接続.................................................... 55

ネットワークの暗号化......................................................................................59VNX Unified/File システムでの SSL の構成....................................... 60HTTPS の使用................................................................................60LDAP SSL の使用...........................................................................60

SSL証明書................................................................................................. 61SSL を使用したディレクトリサーバーへの接続....................................... 62

VNX for File での公開鍵基盤の計画に関する考慮事項...................................62ペルソナ...........................................................................................63CA（認証局）の証明書..................................................................64CA としての Control Station の使用.................................................. 64Control Station のお客様提供の証明書........................................... 65

VNX for File システム上の IP Packet Reflect.................................................65フィルタリング管理ネットワークの効果.................................................................66vSphere Storage API for Storage Awareness（VASA）のサポート...............66特別な構成..................................................................................................67

プロキシサーバー.............................................................................. 67Unisphere Client/Server および NAT...............................................67

その他のセキュリティに関する考慮事項............................................................. 68

データセキュリティの設定 69格納データの暗号化の概要............................................................................70格納データの暗号化機能の起動..................................................................... 71

Unisphere によるストレージプロセッサの再起動....................................72VNX OE for Block CLI によるストレージプロセッサの再起動................. 72

暗号化ステータス...........................................................................................73キーストアファイルのバックアップ........................................................................ 73データインプレースアップグレード..................................................................... 74ホットスペアの操作........................................................................................ 76暗号化が有効になっている VNX へのディスクドライブの追加................................76暗号化が有効になっている VNX からのディスクドライブの取り外し........................ 77暗号化が有効になっている VNX でのシャーシと SP の交換................................. 77

セキュリティ保守 79Control Station の ESRS............................................................................. 80ストレージプロセッサの ESRS デバイスクライアント..............................................80ESRS IP Client............................................................................................ 81

第 4章

第 5章

第 6章

目次


安全な保守設定（Block）...........................................................................82セキュアリモートサポートの考慮事項............................................................... 82セキュリティパッチ管理....................................................................................83マルウェア検出...............................................................................................83

高度な管理機能 85リモート管理................................................................................................. 86IPv6（インターネットプロトコルバージョン 6）による管理ポートのアドレス指定.......86VLAN タグ機能のサポート.............................................................................. 86SNMP管理 SNMP かんり............................................................................ 86FIPS 140-2 の管理サポート............................................................................87

安全な展開と使用の設定 89安全な環境での Unisphere の実装................................................................90

TSL暗号スイート 93サポートされている TLS暗号スイート................................................................94

LDAP ベースのディレクトリサーバーの構成 99Active Directory ユーザーとコンピュータ..........................................................100Ldap Admin................................................................................................101

VNX for Fileの CLIの役割に基づくアクセス 105CLI の役割に基づくアクセスのセットアップ......................................................... 106

VNX for Fileの CLI セキュリティ構成オプション 115パスワードポリシーの構成.............................................................................. 116

パスワードポリシーの対話形式での定義............................................. 116特定のパスワードポリシー定義の規定................................................ 116パスワードの有効期限の設定............................................................ 117

セッションタイムアウトの構成........................................................................... 117セッションタイムアウト値の変更...........................................................118セッションタイムアウトの無効化...........................................................118

セッショントークンの保護................................................................................ 118SSL プロトコルを使用したネットワークの暗号化と認証の構成..............................119

VNX for File での HTTPS の使用.................................................... 119VNX for File での LDAP SSL の使用............................................... 119デフォルトの SSL プロトコルの変更......................................................119デフォルトの SSL暗号スイートの変更................................................ 120事後条件....................................................................................... 121

PKI の構成..................................................................................................121ペルソナによって提供される証明書の作成........................................... 121CA としての Control Station の使用................................................. 121CA証明書の取得.......................................................................... 122鍵セットと証明書要求の生成............................................................122CA への証明書要求の送信............................................................. 125CA署名済み証明書のインポート...................................................... 126利用可能な CA証明書の一覧表示................................................. 128

第 7章

付録 A

付録 B

付録 C

付録 D

付録 E

目次


CA証明書の入手.......................................................................... 128CA証明書のインポート.....................................................................131新しい Control Station CA証明書の生成........................................ 131証明書の表示................................................................................ 132Control Station CA証明書の配布................................................. 134お客様提供の Control Station用証明書の要求とインストール............ 134

PKI の管理................................................................................................. 137鍵セットと証明書のプロパティの表示...................................................137期限切れの鍵セットのチェック............................................................ 138鍵セットのクリア............................................................................... 139CA証明書のプロパティの表示.......................................................... 139期限切れの CA証明書のチェック...................................................... 140CA証明書の削除.......................................................................... 140

ログインバナーのカスタマイズ........................................................................... 141MOTD の作成............................................................................................. 141匿名 root ログインの制限..............................................................................142ログインの失敗回数が指定した回数を超えた場合にアカウントをロックする.............143

VNX for Blockの SSL証明書のインポート 145VNX for Block の SSL証明書認定要件...................................................... 146

Web ブラウザを使用したストレージプロセッサー SSL証明書の追加または変更................................................................................................. 146openssl を使用したストレージプロセッサー SSL証明書の追加または変更...147Openssl を使用した SHA2証明書の作成.........................................148

151

付録 F

索引

目次


はじめに

製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、ハードウェアおよびソフトウェアのリビジョンが定期的にリリースされます。そのため、このドキュメントで説明されている機能の中には、現在お使いのソフトウェアまたはハードウェアのバージョンによっては、サポートされていないものもあります。製品機能の最新情報については、お使いの製品のリリースノートを参照してください。製品が正常に機能しない、またはドキュメントの説明どおりに動作しないなどの場合には、カスタマーサポートの担当者にお問い合わせください。

このマニュアルで使用される特記事項の表記規則EMC では、特別な注意を要する事項に次の表記法を使用します。

回避されなかった場合、死亡、または重傷につながる危険な状況を示します。

回避されなかった場合、死亡、または重傷につながる可能性のある危険な状況を示します。

回避されなかった場合、軽微な、または中程度の怪我につながる可能性のある危険な状況を示します。

負傷に関連しない作業を示します。

重要ではあるが、危険ではない情報を表します。

問い合わせ先EMC のサポート情報、製品情報、ライセンス情報は、次の場所で入手できます。製品情報：ドキュメント、リリースノート、ソフトウェアの更新、または製品、ライセンス、サービスに関する情報については、オンラインサポート（登録が必要です）http://Support.EMC.comをご覧ください。トラブルシューティング：オンラインサポートにアクセスします。ログインした後、該当する製品ごとのサポートページを検索してください。テクニカルサポート：テクニカルサポートとサービスリクエストについては、オンラインサポートのカスタマーサービスにアクセスしてください。ログインした後、該当する製品ごとのサポートページに進み、［ライブチャット］または［サービスリクエストの作成］のいずれかを選択します。オンラインサポートを通してサービスリクエストを作成するには、有効なサポート契約が必要です。有効なサポート契約を結ぶ方法の詳細や、アカウントに関する質問については、セールス担当者にお問い合わせください。


http://Support.EMC.comhttp://Support.EMC.comhttp://Support.EMC.com

お客様の個別のシステム問題に担当者がすでに割り当てられている場合を除き、特定のサポート担当者へのお問い合わせはご遠慮ください。

ご意見マニュアルの精度、構成および品質を向上するため、お客様のご意見をお待ちしております。本書についてのご意見を以下のメールアドレスにお送りください。

[email protected]

はじめに


第 1章

はじめに

この章では、VNX に実装されたさまざまなセキュリティ機能について簡単に説明します。次のトピックが含まれます。

l 概要.................................................................................................................... 10l ユーザーインタフェースの選択.................................................................................. 10l 用語.................................................................................................................... 10l 関連機能に関する情報..........................................................................................12l Unisphere Management Suite関連のホワイトペーパー.......................................... 13

はじめに 9

概要EMC® VNX®では、ユーザーとネットワークアクセスの制御、システムアクセスと使用状況の監視、暗号化されたデータの転送サポートを行う、多様なセキュリティ機能を実装します。 VNX for Fileに関連するセキュリティ機能は、Control Station と Data Mover に実装されます。 VNX forBlock に関連するセキュリティ機能は、ストレージプロセッサに実装されます。このドキュメントでは、安全なシステム運用とストレージ処理の構成に利用できる機能と構成オプションについて説明します。また、これらのセキュリティ機能を使用する理由、状況、方法についても説明します。 VNX のセキュリティを理解するうえで、これらの機能の基本知識を身につけることが重要になります。このドキュメントは、VNX のマニュアルセットの一部であり、VNX の全体的な構成と運用を担当する管理者を対象としています。関連機能に関する情報には、このドキュメントで解説されている機能に関する資料の一覧が記載されています。このドキュメントは、次のソフトウェアを実行しているシステムに関連しています。l VNX Operating Environment（OE）for Fileバージョン 7.1 および 8.xl VNX OE for Blockバージョン 5.32 および 5.33例外については、該当箇所に記載されています。

ユーザーインタフェースの選択VNX では、サポート環境やインタフェース設定に応じてネットワークストレージを柔軟に管理することができます。このドキュメントでは、EMC Unisphere®ソフトウェアを使用してセキュリティ機能を設定および管理する方法について説明します。 VNX の構成と管理の詳細については、Unisphereオンラインヘルプを参照してください。これらのタスクは、EMC Unisphere管理インタフェースを使用しても実行できます。ファイルベースのサービスとブロックベースのサービスでは、CLI（コマンドラインインタフェース）が異なります。 VNX for Block システムの構成と管理で使用する CLI コマンドについては、「EMC VNX for Block コマンドラインインタフェースリファレンス」を参照してください。 VNXfor File システムの構成と管理で使用する CLI コマンドについては、「EMC VNX for File コマンドラインインタフェースリファレンス」を参照してください。また、CLI スクリプトを使用して VNX for File のセキュリティを構成する方法の詳細については、セキュリティ構成に関連する操作での VNX for FileCLI の使用を参照してください。VNX の管理アプリケーションに関する最新の追加情報については、VNX リリースノートを参照してください。

用語VNX用語のリストについては、「VNX用語集」を参照してください。［ACE（アクセス制御エントリー）:］ Microsoft Windows環境での ACL（アクセスコントロールリスト）の構成要素。この構成要素により、ユーザーまたはグループのオブジェクトに対するアクセス権限が定義されます。［ACL（アクセス制御リスト）:］あるオブジェクトへのアクセスが許可されたユーザーとグループに関する情報を提供する ACE（アクセスコントロールエントリー）のリスト。［アクセスポリシー:］一部のファイルシステムに対してマルチプロトコルアクセスを提供するように構成された環境で、ユーザーが VNX for File システム上のファイルにアクセスした場合は、どのアクセス制御方式（NFS権限またはWindows ACL、もしくはその両方）が適用されるかを定義したポリシー。アクセスポリシーは、server_mount コマンドを使用して設定します。また、このポリシーでは、ユーザーがファイルまたはディレクトリに対してどのようなアクションを実行できるかも決定します。

はじめに


［認証：］ファイルやディレクトリなどのリソースまたはオブジェクトにアクセスを試行しているユーザーのID を検証するプロセス。［CA（認証局）:］公開鍵証明書にデジタル署名を行う、信頼できるサードパーティ。［認証局の証明書:］ ID（認証局）と公開鍵の間のデジタル署名付き関連性。公開鍵証明書のデジタル署名を検証するためにホストで使用されます。［コマンドラインインタフェース（CLI）:］データベースと Data Mover の管理と構成や VNX forFile キャビネットコンポーネントの統計の監視など、各種タスクを実行する場合に、ControlStation からコマンドを入力するためのインタフェース。［CIFS（Common Internet File System）:］ Microsoft SMB（Server Message Block）に基づいたファイル共有プロトコル。インターネットおよびイントラネットを介してファイルシステムを共有できます。［Control Station：］ VNX for File システムのハードウェアおよびソフトウェアコンポーネント。システムを管理し、VNX for File コンポーネントの管理ユーザーインタフェースを提供します。［Data Mover：］ VNX for File のキャビネットコンポーネント。ストレージデバイスからファイルを取得し、そのファイルをネットワーク上のクライアントが使用できるようにする独自のオペレーティングシステムを実行します。［ディレクトリサーバー：］コンピュータネットワークのユーザーとネットワークリソースに関する情報を格納および整理するサーバー。ネットワーク管理者は、このサーバーでリソースに対するユーザーのアクセスを管理できます。最も有名なオープンのディレクトリサービスは X.500 です。企業独自のディレクトリサービスとしては、Microsoft の Active Directory があります。［HTTP（Hypertext Transfer Protocol）:］ World Wide Web上のサーバーへの接続に使用される通信プロトコル。［HTTPS（Hypertext Transfer Protocol Secure）:］ SSL を使用した HTTP。クライアントおよびサーバーシステム間のすべてのネットワークトラフィックは暗号化されます。サーバーとクライアントの ID を検証するオプションもあります。通常、サーバー IDは検証されますが、クライアント IDは検証されます。［Kerberos：］認証、データ整合性、データプライバシーの暗号化メカニズム。認証情報をエンコードするために使用されます。 Kerberosは NTLM（Netlogon サービス）と共存し、ソケットキー暗号形式を使用して、クライアント/サーバーアプリケーションに対する認証を行います。［LDAP ベースのディレクトリ：］ LDAP によるアクセスを提供するディレクトリサーバー。 LDAP ベースのディレクトリサーバーの例としては、OpenLDAP、Oracle Directory Server EnterpriseEdition を挙げることができます。［LDAP（Lightweight Directory Access Protocol）:］ TCP/IP を使用して直接実行される業界標準の情報アクセスプロトコル。 Active Directory および LDAP ベースのディレクトリサーバーのプライマリアクセスプロトコルです。 LDAPバージョン 3は、IETF（Internet EngineeringTask Force）の RFC 2251 において Proposed Standard の一連の文書で定義されています。［LUN（論理ユニット番号）:］ SCSI コマンドを処理する SCSI または iSCSI オブジェクトの識別番号です。 LUN とは、SCSI オブジェクトの SCSI アドレスの最後の部分です。 LUNは論理ユニットの ID ですが、この用語はしばしば論理ユニット自体のことを指す場合にも使用されます。［NFS（Network File System）:］リモートファイルシステムへの透過的なアクセスを提供する分散ファイルシステム。 NFS を使用すると、すべてのネットワークシステムでディレクトリの単一コピーを共有できます。［OpenLDAP の場合：］ LDAP ベースのディレクトリサービスのオープンソース実装。［役割：］秘密鍵とこの鍵に対応する公開鍵証明書を使用して、Data Mover の ID をサーバーまたはクライアントとして提供する手段。各ペルソナには最大で 2個の鍵セット（現在のものと次の

はじめに

用語 11

もの）を保持でき、現在の証明書の有効期限が切れる前に、新しい鍵と証明書を生成できるようになっています。［公開鍵証明書:］認証局によって発行される電子 ID。デジタル証明書には、受信者が証明書の有効性を検証できるように、ユーザーまたはサービスなどの他のエンティティの ID（ホスト名）、シリアル番号、有効期限、証明書所有者の公開鍵のコピー（メッセージとデジタル署名の暗号化に使用）、証明書発行機関からのデジタル署名が含まれています。詳細については、X.509規格を参照してください。［PKI（公開鍵基盤）:］秘密鍵とこの鍵に対応する公開鍵証明書を公開鍵暗号形式で使用できるように管理する手段。［SNMP（Simple Network Management Protocol）:］ネットワーク構成要素のネットワーク管理ステーションとエージェント間で管理情報の通信に使用される方法。［SSL（Secure Socket Layer）:］暗号化と認証を提供するセキュリティプロトコル。データを暗号化し、メッセージとサーバーの認証を行います。サーバーから要求された場合、クライアント認証もサポートします。［Storage Processor (SP)：］独自のオペレーティングシステムを稼働する VNX for Block システムのハードウェアおよびソフトウェアコンポーネント。システムを管理し、VNX for Block コンポーネントの管理ユーザーインタフェースを提供します。［TLS（Transport Layer Security）:］ SSL の後継プロトコル。一般的な通信認証と TCP/IP ネットワークを使用した暗号化に対応しています。 TLSバージョン 1は、SSLバージョン 3 とほぼ同等です。［X.509:］デジタル証明書の定義に一般的に使用されている標準規格。［XML API:］VNX for File をリモートで管理および監視するためのインタフェース。このインタフェースでは、XML形式のメッセージおよびニュートラルなプログラミング言語が使用されています。

関連機能に関する情報このドキュメントで解説されている機能に関連する具体的な情報については、次の資料を参照してください。l 「EMC VNX for File コマンドラインインタフェースリファレンス」l 「EMC VNX Command Line Interface Reference for Block」l 「File のマニュアルページ」l 「Parameters Guide for VNX 」l 「VNX用語集」l 「VNX for File管理アプリケーションのインストール」l 「VNX CIFS の構成と管理」l 「VNX NFS の構成」l 「VNX でのマルチプロトコル環境の管理」l 「VNX ネームサービスの構成」l 「VNX FileMover の使用方法」l 「VNX for File のイベント通知の構成」l 「VNX ネットワークの構成と管理」l 「Celerra および VNX for File での監査ツールの構成および使用テクニカルノート」l 「EMC Secure Remote Support for VNX 」

はじめに


l 「ESRS HTTPS リスナーサービスの SSL証明書の管理テクニカルノート」l 「Using nas_stig Utility on VNX」

EMC VNX カスタマー向け資料一式は、EMC オンラインサポート用Web サイト（http://Support.EMC.com）から入手できます。 Web サイトにログインした後、［Support byProduct］ページをクリックして必要な特定の機能に関する情報を見つけます。LDAP に関する一般的な情報については、次の資料を参照してください。l RFC 2307、「An Approach for Using LDAP as a Network Information Service」Active Directory の LDAP および SSL構成に関する具体的な情報については、次の資料を参照してください。l Microsoft サポート技術情報「How to enable LDAP over SSL with a third-party

certification authority」（ID 321051）OpenLDAP および SSL構成に関する具体的な情報については、OpenLDAP のWeb サイト（www.openldap.org）を参照してください。別の非 Active Directory LDAP ベースのディレクトリサーバーを使用している場合は、該当するベンダーのマニュアルで LDAP および SSL構成に関する情報を参照してください。

Unisphere Management Suite関連のホワイトペーパーホワイトペーパーには、ドメインの管理を含む、Unisphere Management Suite の主要な側面の説明が記載されています。これらのホワイトペーパーは、Unisphere管理者およびユーザー向けの標準的なドキュメントを補完するものです。関連ホワイトペーパーに、これらのホワイトペーパーの一覧と概要を示します。ホワイトペーパーは、EMC オンラインサポート用Web サイト（http://Support.EMC.com）のパスワードで保護された EMC の顧客とパートナー専用のエクストラネットに掲載されています。

表 1 関連ホワイトペーパー

ホワイトペーパー説明

EMC Unisphere： Unified StorageManagement Solution

このホワイトペーパーには、EMC® Unisphere®（VNX システムの単一の管理インタフェース）およびレガシーの CLARiX®システムと Celerra®システムの概要が記載されています。 Unisphere のすべての機能、および Unisphere v1.0、v1.1、v1.1.25 でサポートされる機能の一覧が記載されています

Domain Management with VNX storagesystems

このホワイトペーパーには、Unisphere 1.1.25 ソフトウェアを使用した単一ストレージドメインおよび複数ドメインの EMC ストレージシステムの構成と管理についての説明が記載されています。

はじめに

Unisphere Management Suite関連のホワイトペーパー 13

http://Support.EMC.comhttp://Support.EMC.comhttp://Support.EMC.comhttp://Support.EMC.com

はじめに


第 2章

アクセス制御

この章では、VNX for File/Unified および VNX for Block システムに実装されたさまざまなアクセス制御機能について説明します。次のトピックが含まれます。

l アクセス制御設定.................................................................................................. 16l 管理アクセスのセキュリティ....................................................................................... 16l 認証.................................................................................................................... 17l 許可................................................................................................................... 22l コンポーネントのアクセス制御...................................................................................25l データセキュリティ設定........................................................................................... 27l パスワードポリシー................................................................................................. 27l 物理的セキュリティ統制..........................................................................................28l ログインバナーと今日のメッセージ.............................................................................28

アクセス制御 15

アクセス制御設定Unisphere プログラムは異なる戦略を使用してユーザーを認証します。これにより許可されていないユーザーが VNX システムにアクセスすることを防ぎます。これらの戦略については、後続のセクションで説明します。Unisphere と CLIはどちらも暗号化された認証通信を使用して同じレベルのセキュリティを提供します。

管理アクセスのセキュリティVNX ストレージシステムでは、システムへのアクセスに次の管理アプリケーションを利用できます。l Unisphere - VNX システムを構成、監視、および管理するために使用する 2 つの主要なアプ

リケーションの 1 つ。 Unisphereは、ブラウザで Control Station またはストレージプロセッサ（SP）の IP アドレスを指定することで起動できるWeb ベースの GUI です。

l CLI（コマンドラインインタフェース） - VNX システムを管理するために使用するもう 1 つの主要なプログラム。 CLIはブロックサービスとファイルサービス用に分かれています。 Block CLIは、VNX にネットワーク接続された任意のホストにインストールして実行できます。 File CLIは、SSH を使用して Control Station へのリモートセッションを開くことでアクセスできます。

l USM（Unisphere Service Manager） - このソフトウェアを使用して、VMX システムハードウェアとソフトウェアを更新、インストール、保守し、さらにサービスプロバイダに連絡先とシステム情報を提供することができます。

l Unisphere ホストエージェントまたは Server Utility - これらのオプションのソフトウェアプログラムは SAN接続ホスト上で実行されます。主な機能は、ホストの属性と LUN/ボリュームのマッピングのストレージシステムへの伝達を支援することです。

l Unisphere Initialization Utility - このオプションのソフトウェアを使用して、VNX for Block システムとネットワークの設定をワークステーションから初期化することができます。

l VIA（VNX Installation Assistant） - このソフトウェアを使用して、VNX Unified（Block とFile）および VNX for File システムとネットワークの設定をワークステーションから初期化することができます。

l SNMP管理ソフトウェア - このオプションのソフトウェアを使用して、VNX システムの状態を監視することができます。

l admsnap と admhost - これらのオプションの管理ユーティリティは、SnapView™および SANCopy™レプリケーションオブジェクトの管理を支援します。

l リモートサポートサービス - VNX システムではリモート EMC サポートを利用できます。多くのお客様は、このカスタマーサービスソフトウェアを使用して、EMC がシステムの構成と監視をサポートできるようにしています。

l Unisphere サーバーソフトウェア - このソフトウェアは、このガイドに記載されているストレージ管理機能を実行します。このガイドでは、このソフトウェアはストレージ管理サーバーとも呼ばれます。 VNX SP および Control Station にプリインストールされています。このソフトウェアはオプションでWindows XP またはWindows Server にインストールすることができます。

VNX管理のコンポーネントに示すように、さまざまなコンポーネントがインバンドとバンド外の両方でVNX システムと通信します。インバンド通信は、VNX システムへのデータ接続を介して送信されますが、バンド外通信は VNX システムへの管理接続を介して送信されます。

アクセス制御


図 1 VNX管理のコンポーネント

VNX への管理接続を許可されたユーザーとアプリケーションに制限することが不可欠です。管理アクセスを保護するために、VNXは、次の機能を実装します。l 認証 - リクエストしているユーザーを識別します。l 許可 - リクエスタがリクエストを実行するための権限を持っているかどうかを確認します。l プライバシー - データをスヌーピング（のぞき見）から保護します。l 信頼 - 通信相手の ID を確認します。l 監査 - 誰がいつ何をしたかの記録を保持します。

認証VNX システム上の管理アプリケーションは、認証を使用して許可されていないユーザーがシステムにアクセスすることを防止します。

Unisphere の認証Unisphereは、ユーザー名とパスワードを使用してユーザーを認証します。 Unisphere では、管理者が使いやすいダイアログボックスを使用してユーザーアカウントを作成することができます。コンピュータのブラウザを使用して Unisphere に接続すると、Java アプレットがブラウザに配信されます。アプレットは、SSL/TLS を使用し、VNX上でポート 443経由のストレージ管理サーバー（ストレージ管理機能を実行するソフトウェア）との安全な接続を確立します。

ブラウザーに https://とは表示されませんが、接続は保護されています。

EMC では、https://（ポート 443）を使用して Unisphere に接続することを推奨します。ただし、VNX for Block の場合は、http://（ポート 80）を使用して接続することができます。

アクセス制御

認証 17

https://is

Control Station では、ポート 80 に送信されるすべての HTTP管理トラフィックは、HTTPS ポート（443）に自動的にリダイレクトされます。

セッションを開始するときには、Unisphere によって、ユーザー名、パスワード、および適用範囲（ローカル、グローバル、LDAP）の入力を求められます。これらの認証情報は、暗号化されてストレージ管理サーバーに送信されます。次に、ストレージ管理サーバーが、ユーザーアカウント情報内で一致するユーザーを検索します。一致するユーザーが見つかった場合は、認証されたユーザーとして識別されます。

認証に失敗した場合、同じ IP アドレスから最大 6回まで認証を再試行することができます。 6回目の試行も失敗した場合、同じ IP アドレスからの認証の試行は 4分間ブロックされます。つまり、システムは 4分間にわたりその後の試行に応答しません。最初の認証が成功するか、前の失敗の4分後に新しい認証の試行が成功した場合、失敗カウントはクリアされます。

VNX ゲートウェイを除いて、ストレージ管理サーバーは他のストレージ管理サーバーと通信するときにも認証と暗号化を使用します。ストレージ管理サーバー間の通信は、情報がドメイン全体にレプリケートされるときに実行されます。たとえば、ユーザーアカウント情報が変更された場合、この情報はドメイン内のストレージ管理サーバーの各インスタンスにレプリケートされます。

VNX for Block の CLI の認証VNX for Block の CLI では、コマンドごとにユーザー資格情報を渡す必要があります。ユーザー資格情報を渡すには、次のいずれかの方法を使用します。l コマンドごとに認証情報を指定することができます。l addusersecurity コマンドを使用して、ホスト上にユーザー資格情報が含まれるファイルを

作成することができます。認証情報を指定せずに VNX for Block の CLI コマンドを入力した場合、CLI がこのファイルから認証情報を取得して、コマンドと共に認証情報を送信します。CLI コマンドと共に認証情報を明示的に指定しない場合、このセキュリティファイルに有効なUnisphere認証情報が含まれている必要があります。このファイルはユーザーのホームディレクトリに保存され、その内容は暗号化されます。このファイルおよびその暗号化キーは、アクセス制御リスト（ACL）とコンピュータに固有なパスフレーズによって保護されます。

VNX for File の CLI の認証VNX for File の CLI では、SSH を使用してリモートターミナルによって Control Station に接続し、ローカルアカウントまたはグローバルアカウント、または SSH を使用する LDAP認証によるアカウントを使用して Control Station にログインする必要があります。 Control Station には 2個のデフォルトのローカルアカウントがあります（デフォルトのアカウントを参照してください）。また、このために新しいローカルアカウントを作成することもできます。

Control Station CLI を使用して、システムにログインします。ドメインにマップされたユーザーが Control Station CLI にログインする場合、入力するドメイン名は、VNX OE for File によって認識されているドメイン名または完全修飾ドメイン名と一致している必要があります。LDAP ドメインにマップされたユーザーに対して、サポートされているドメインにマップされたユーザーのログイン形式は次のとおりです。l \（例：mycompany\anne）

アクセス制御


l @（例：anne@mycompany）ドメイン名は、完全修飾ドメイン名として指定できます。次に例を挙げます。l \（例：mycompany.com\anne）l @（例：[email protected]）

ユーザーは 1個のドメインにのみログインできます。そのため、mycompany と mycompany.comは同じドメインとして扱われます。

ストレージドメインにマップされたユーザーに対して、サポートされているドメインにマップされたユーザーのログイン形式は次のとおりです。l storageDomain\（例：storageDomain\anne）l @storageDomain（例：anne@storageDomain）

storageDomainは大文字と小文字の区別があるキーワードで変数ではありません。正確にそのまま入力する必要があります。

ユーザーの適用範囲ストレージ管理サーバーでユーザーアカウントに次の 3 つの適用範囲のいずれかを設定できます。l ローカル - このユーザーは単一の VNX にのみアクセスできます。l グローバル - このユーザーは Unisphere ドメイン全体にアクセスできます。l LDAP - このユーザーは、LDAP ディレクトリ内にアカウントをも持ち、LDAP サーバーを使用し

てユーザーを認証する任意のストレージシステムにアクセスできます。単一の VNX へのアクセスが必要な場合はローカル範囲が最も効果的です。ユーザーにグローバル範囲を割り当てると、1 つのアカウントを使用して Unisphere ドメイン内のすべての VNX ストレージシステムにアクセスできるので管理が容易になります。ユーザーに LDAP範囲を割り当てると、アカウントがストレージシステムに固有ではなくなるため、最も柔軟性が高くなります。適用範囲が異なれば重複するユーザー名を使用できます。たとえば、グローバル範囲の「Sarah」というユーザーは、LDAP範囲のユーザー「Sarah」とは異なります。

LDAP または Active Directory を使用した認証ストレージ管理サーバーは、LDAP または LDAPS を使用し、Active Directory（ActiveDirectoryはMicrosoft のディレクトリサーバーです）などのディレクトリサーバーに対してユーザーを認証することができます。 VNX ストレージシステムを管理するために別個の認証情報セットが必要ないので、LDAP サーバーに対する認証により、管理が簡素化されます。また、ストレージ環境とサーバー環境に対してエンタープライズパスワードポリシーを同様に適用できるため、安全性が高まります。

LDAP ドメインの管理（File/Unifiedおよび Block）VNX ドメインでは、File/Unified と Block の両方のセットアップで同じ LDAP サーバーが使用されます。 LDAP ドメインを管理するには、Unisphere にログインし、［すべてのシステム＞ドメイン＞ユーザー］（タスクリスト）＞［LDAP ドメインの管理］を使用して、サーバー接続を定義し、関連する証明書を受け入れるか検証し、ユーザーグループの役割をマッピングします。別の方法として、システムを選択し、［設定＞セキュリティ設定］（タスクリスト）＞［LDAP ドメインの管理］を使用できます。このセットアップを 1回実行すると、LDAP アカウントで Unisphere または CLI へのロ

アクセス制御

ユーザーの適用範囲 19

グインを認証できます。 LDAP サーバーへの接続のセットアップ方法については、Unisphere オンラインヘルプを参照してください。

LDAP ドメイン（ゲートウェイ）の管理VNX ゲートウェイシステムの LDAP構成を管理するには、Unisphere にログインしてシステムを選択し、［設定＞セキュリティ設定］（タスクリスト）＞［LDAP ドメインの管理］を使用して、LDAPベースのディレクトリサーバーにアクセスできるように Control Station を構成します。 LDAP サーバーへの接続のセットアップ方法については、Unisphere オンラインヘルプを参照してください。LDAP サーバーの接続情報を指定して Unisphere を構成し、Unisphere の役割を LDAP グループにマッピングする設定を行うこのセットアップを 1回実行すると、LDAP アカウントで Unisphere または CLI へのログインを認証できます。 VNX ゲートウェイシステムの場合、LDAP構成情報は、VNX ゲートウェイシステムに固有で、他のシステムにレプリケートされません。

LDAP サービスの構成オプションUnisphere または CLI で LDAP ユーザーを認証できるようにするためには、LDAP サービスとの通信を構成する必要があります。 Unisphere では、LDAP サーバーの IP アドレスと LDAP接続パラメータを追加できます。 LDAP接続パラメータを LDAP サービス管理者から入手する必要があります。 Unisphere で LDAP サービスを構成する場合は、次のベストプラクティスに留意してください。l LDAP サービスとの高可用性通信を実現するには、2台の LDAP サーバーとのサービス接続を

作成します。 1台のサーバーが使用できない場合、ストレージ管理サーバーはセカンダリ LDAPサーバーに認証リクエストを送信します。

l 最高レベルのセキュリティを実現するには、LDAPS プロトコルを使用するサービス接続を構成します（LDAP サーバーがこれをサポートする場合）。これにより、ストレージ管理サーバーとLDAP サーバー間のすべての通信が SSL/TLS で暗号化され、ユーザー資格情報が平文で送信されることはありません。

LDAP構成は、各 Unisphere ドメイン内で 1回だけ行います。この構成は、ドメイン内の他のすべてのノードにレプリケーションされます。

役割のマッピングLDAP サービスとの通信が確立されたら、特定の LDAP グループを Unisphere の役割にマッピングして、Unisphere へのアクセスを提供する必要があります。 LDAP サービスでは、認証を実行するだけです。認証された後、そのユーザーの権限は、割り当てられた Unisphere の役割によって判断されます。最も柔軟性のある構成は、Unisphere の役割に対応した LDAP グループを作成することです。これにより、LDAP グループのメンバーを管理することによって Unisphere へのアクセスを制御できます。

SP（ストレージプロセッサ）に関連する LDAP ユーザーレベルの役割のマッピングおよび Unisphereの役割は、VNX for Block CLI を使用して構成できます。詳細については、「EMC VNX forBlock コマンドラインインタフェース（CLI）リファレンス」を参照してください。

たとえば、「Storage Admins」という名前の LDAP グループがあり、Bob と Sarah がそのメンバーになっているとします。また、「Storage Monitors」という名前の別の LDAP グループがあり、Mike とCathy がメンバーになっているとします。「Storage Admins」グループを Unisphere管理者の役割にマッピングすると、Bob と Sarah にストレージシステムの完全な管理権限を付与できます。「Storage Monitors」グループを Unisphere オペレータの役割にマッピングすると、Mike と Cathyはストレージシステムに読み取り専用でアクセスできるようになります。 6 カ月後にMike がより信頼度の高い管理者になった場合、彼を「Storage Admins」LDAP グループに追加するだけで、ストレージシステムに対する完全なアクセス権（管理者の役割）を付与できます。

アクセス制御


認証情報のキャッシュとアカウントの同期（Block）ストレージ管理サーバーは、LDAP ユーザーが 1度認証されると、その認証情報をローカルにキャッシュします。このキャッシュによって、認証要求によるレーテンシーが解消され、LDAP サービスへのトラフィックを最小限に抑えられるとともに、ユーザーの操作性が向上します。ストレージ管理サーバーでは、ログイン時だけではなく、ストレージシステムの構成を変更するすべてのコマンドについて認証が行われることに注意してください。キャッシュにより、LDAP サーバーへの認証リクエストが繰り返されなくなります。デフォルトでは、Unisphereは 24時間ごとにローカルキャッシュを消去し、LDAP サーバー上のアカウントとの同期化を実行します。ユーザーアカウントの変更が多く、クレデンシャル情報をフラッシュする必要がある環境では、パフォーマンスに大きな影響を与えることなく、この同期化の間隔を 30分ごとに変更することが可能です。または、手動による同期化を行い、ローカルキャッシュを即座に消去することもできます。これは、離職した従業員のストレージシステムへのアクセスを直ちに停止する場合に便利です。

デフォルトのアカウント管理アクセスとサービスアクセスのためのデフォルトのアカウントが存在します。デフォルトの管理アカウント - デフォルトの管理アカウントの詳細および関連するパスワードの変更方法については認証構成を参照してください。デフォルトのサービスアカウント - EMC サービス担当者がアクセスするための管理ポートとサービスポートのデフォルトの組み合わせが存在します。 EMC では、管理ポートのユーザー名/パスワードの組み合わせを変更することを強く推奨します（詳細については、安全な保守設定（Block）を参照してください）。サービス担当者にはユーザー名とパスワードが必要なので、この情報を開示できるように準備してください。

認証構成VNX Unified/File と VNX for Block システムではセキュリティの初期化の方法が異なります。VNX Unified/File システムには、工場出荷時に次の管理アカウントがインストールされます。l root - VNX for File のローカルアカウントで、Control Station で root レベルの権限を提供

します。l nasadmin - VNX for File のローカルアカウントで、Control Station で管理者レベルの権限

を提供します。l sysadmin - グローバルシステムアカウントで、VNX for File と VNX for Block の両方に対す

る管理者レベルの権限を提供します。システムアカウントは、ブロックサービスとファイルサービスの間の内部通信に必要な特別なグローバルアカウントです。 VNX Unified/File システムには、少なくとも 1 つのシステムアカウントが必要です。別のグローバル管理者アカウントまたはグローバルセキュリティ管理者アカウントが使用可能になっていない限り、このシステムアカウントを削除することはできません。VNX Installation Assistant（VIA）は、VNX Unified/File システムを初期化するためのユーティリティです。 EMC では、VIA を使用して初めて VNX Unified/File システムを初期化するときに 3つのアカウントのデフォルトのパスワードを変更することを推奨します。VNX for Block システムにはデフォルトの管理アカウントはありません。 Unisphere InitializationWizardは、VNX for Block システムの初期化に使用するユーティリティです。次の方法で VNXfor Block システムのセキュリティを初期化することができます。l ユーザーが、Unisphere Initialization Wizard を使用してシステムを初期化するときにグロー

バルアカウントの作成を選択できます。

アクセス制御

デフォルトのアカウント 21

l ユーザーが、Unisphere に初めてログインするときにグローバルアカウントを作成できます。VNX for Block システムでは、システムアカウントは、特に必要ないのでデフォルトでは作成されません。しかし、別の VNX Unified/File システムを VNX for Block システムのローカルドメインに追加するには、システムアカウントが必要なので、必要に応じてシステムアカウントを作成するように求めるプロンプトが表示されます。すべての VNX システム（VNX Unified/File および VNX for Block）では、少なくとも 1 つのグローバルアカウントが必要です。このアカウントは、「管理者」または「セキュリティ管理者」の役割を持っている必要があります。 LDAP認証が必要な場合は、LDAP サーバーを構成し、他のグローバルアカウントまたはローカルアカウントも作成することができます。認証の構成に関するセキュリティ機能は、Unisphere または Secure CLI から実行できます。

認証せずに実行するユーザーのアクションVNX システムは、認証せずに実行するすべてのアクションを許可しません。

コンポーネント認証（Block）iSCSI イニシエータで使用する iSCSI の主要な認証メカニズムは、CHAP（ChallengeHandshake Authentication Protocol）です。 CHAPは、ターゲットでのログイン時および接続中のさまざまな機会に、iSCSI イニシエータを認証するために使用する認証プロトコルです。 CHAP セキュリティは、ユーザー名とパスワードで構成されます。イニシエータとターゲットの CHAP セキュリティを構成して有効にすることができます。 Unisphere にログインし、［すべてのシステム＞システムの一覧］を使用し、CHAP を構成するストレージシステムのエントリーを右クリックして、［iSCSI ＞CHAP管理］を使用します。 CHAP を有効にするには、システムを選択し、［設定＞ネットワーク＞ブロックの設定］を使用します。 CHAP を構成して有効にする方法の詳細については、Unisphere のオンラインヘルプを参照してください。CHAP プロトコルでは、イニシエータの認証を行う必要があります。ターゲットの認証（双方向CHAP）はオプションです。

許可ストレージ管理サーバーは、ユーザーの役割を基にしてユーザーのアクティビティを許可します。役割は、アクセス権の集まりであり、アカウント管理者がアクセス権を割り当てるための簡単なツールとして使用できます。 Unisphere と VNX for File CLIは、ユーザーの役割を基にしてユーザーのアクティビティを許可します。 VXN for Block CLIは、ユーザーの認証情報による認証を基にしています。Unisphere には、8種類の主要な役割（オペレータ、ネットワーク管理者、NAS管理者、SAN管理者、ストレージ管理者、管理者、セキュリティ管理者、VM管理者）および 3 つのデータ保護の役割（ローカルデータ保護、データ保護、データリカバリ）があります。

Unisphere の主要な役割とデータ保護の役割には、グローバルまたはローカルの適用範囲を指定できます。

Unisphere の主な役割次のような主な役割があります。l オペレータ - ストレージおよびドメインの操作に関する読み取り専用の権限。セキュリティ操作に

関する権限はありません。

アクセス制御


l ネットワーク管理者 - オペレータのすべての権限と、DNS、IP設定、SNMP を構成する権限があります。

l NAS管理者 - File操作に関するすべての権限があります。 Block操作とセキュリティ操作に関するオペレータ権限があります。

l SAN管理者 - Block操作に関するすべての権限があります。 File操作とセキュリティ操作に関するオペレータ権限があります。

l ストレージ管理者 - File操作と Block操作に関するすべての権限があります。セキュリティ操作に関するオペレータ権限があります。

l セキュリティ管理者 - ドメインを含むセキュリティ操作に関するすべての権限があります。 File操作と Block操作に関するオペレータ権限があります。

l 管理者 - File操作、Block操作、セキュリティ操作に関するすべての権限があります。この役割は最も権限が高い役割です。

l VM管理者 - VMware の VASA（vSphere Storage APIs for Storage Awareness）を使用して、vCenter経由で、VNX システムの基本的なストレージコンポーネントを表示および監視することができます。

セキュリティ管理者とストレージ管理者の権限を合わせたものが管理者の権限に相当します。

セキュリティおよびシステムの整合性に関するベストプラクティスとして、スーパーユーザー（Unisphere の管理者）が、日常的な運用を行うときにすべての管理権限を持たないようにする必要があります。許可される操作を別々のアカウントにセグメント化するときにはセキュリティ管理者の役割を使用するようにします。管理者の役割をセキュリティ管理者の役割とストレージ管理者の役割に分割することによって、ストレージ管理者アカウントはストレージ関連の操作の実行のみを許可され、セキュリティ管理者アカウントは、ドメインおよびセキュリティ関連の機能の実行のみを許可されます。セキュリティ管理者の役割を使用することで、完全な権限を持つアカウントを 1 つに減らし、日常的な運用のための職務を分離することができます。Unisphere では、ユーザーアカウントを作成する必要があり、ユーザーアカウントは、ユーザー名、役割、およびスコープの固有の組み合わせによって識別されます。この機能により、ユーザーアカウントをセットアップするときの柔軟性が向上します。ほとんどの IT担当者は、グローバルオペレータアカウントを割り当てられると予想されるので、ドメイン内のすべてのストレージシステムを監視することができます。また、構成することを許可されている特定のストレージシステムに対するローカルストレージ管理者アカウントを IT担当者に割り当てることもできます。それぞれの責務に適した権限を持つグローバルユーザーアカウントを作成できます。ローカルドメインでグローバルユーザーアカウントを作成するには、Unisphere にログインし、［すべてのシステム＞ドメイン＞ユーザー］（タスクリスト）＞［グローバルユーザーの管理］を使用します。あるいは、システムを選択した後、［設定＞セキュリティ＞ユーザー管理］（タスクリスト）を選択し、［グローバルユーザー］を使用します。選択したシステムがローカルドメイン内のシステムの場合は、［設定］からしかグローバルユーザーの機能にアクセスできません。それぞれの責務に適した権限を持つ File および Block システムのローカルユーザーアカウントを作成できます。 Block用のローカルユーザーは、ローカルシステム上の Block機能のみ管理できます。同様に、File用のローカルユーザーは、ローカルシステム上の File サーバー機能のみ管理できます。新しい Block用のローカルユーザーアカウントを作成するには、Unisphere にログインし、VNX for Block システムを選択して、［設定＞ユーザー管理］（タスクリスト）を選択し、［ロック用のローカルユーザー］を使用します。新しい File用のローカルユーザーアカウントを作成するには、Unisphere にログインし、VNX for File システムを選択して、［設定＞ユーザー管理］（タスクリスト）を選択し、［ファイル用のローカルユーザー］を使用します。ユーザーアカウント作成の詳細については、Unisphere のオンラインヘルプを参照してください。

アクセス制御

Unisphere の主な役割 23

データ保護の役割データ保護（レプリケーション）タスクは、多くの場合サードパーティの担当者によって実行されます。以前のリリースではデータ保護タスクを実行するために、ユーザーがストレージ管理者レベルの権限を持っている必要がありました。しかし、サードパーティの担当者にこのレベルのアクセス権を許可するとセキュリティ上の問題が発生する可能性があります。この問題を解決するために、VNX システムには次の 3 つのデータ保護の役割が用意されています。

これらの役割のどれを使用する場合でも、ユーザーがスナップショット、クローン、SAN Copy セッション、ミラーなどの新しいデータ保護オブジェクトを作成することはできません。ユーザーは、既存のデータ保護オブジェクトの制御のみを行うことができます。ユーザーは自分が制御できないオブジェクトのドメインを表示できます。これにより環境をよく理解することができます。

l ローカルデータ保護 - SnapView（スナップショットとクローン）および Snapsure（チェックポイント）タスクのみを実行する権限を持ち、スナップショットのロールバックやクローンのリバース同期などのリカバリ操作は実行できません。また、新しいストレージオブジェクトを作成する権限もありません。

l データ保護 - すべてのローカルデータ保護権限タスク、MirrorView タスク、SAN Copy タスクが含まれますが、セカンダリのプロモートやミラーのフラクチャなどのデータリカバリ操作は実行できません。また、新しいストレージオブジェクトを作成する権限もありません。

l データリカバリ - ローカルデータ保護とデータ保護の役割のすべての権限、およびデータリカバリタスクを実行する権限が含まれますが、新しいストレージオブジェクトを作成する権限はありません。

データ保護の役割の機能に、データ保護タスクとそれらのタスクを実行する権限を持つ役割の一覧を示します。役割に基づくアクセスを使用して、特定のユーザーが実行できる VNX for File の CLIコマンド（タスク）を決める方法については、VNX for File の CLI の役割に基づくアクセスを参照してください。

表 2 データ保護の役割の機能

タスクローカルなデータ保護

データ保護データリカバリ

［SnapView］

（整合性のある）スナップセッションの開始 Yes Yes Yes

（整合性のある）スナップセッションの停止 Yes Yes Yes

スナップショット LUN に対するセッションのアクティブ化

Yes Yes Yes

スナップショット LUN のセッションの非アクティブ化

Yes Yes Yes

クローンの同期 Yes Yes Yes

クローンを切り離す Yes Yes Yes

Snap セッションのロールバックいいえいいえ Yes

クローンのリバース同期いいえいいえ Yes

［MirrorView］

アクセス制御


表 2 データ保護の役割の機能（続き）

タスクローカルなデータ保護

データ保護データリカバリ

ミラー/コンシステンシグループの同期化いいえ Yes Yes

ミラー/コンシステンシグループのフラクチャいいえいいえ Yes

非同期ミラーの更新パラメータの制御いいえ Yes Yes

非同期ミラーの更新間隔の変更いいえ Yes Yes

ミラー/コンシステンシグループのスロットルいいえ Yes Yes

同期または非同期セカンダリミラー/コンシステンシグループのプロモート

いいえいいえ Yes

［SAN Copy］

セッションの開始いいえ Yes Yes

セッションの停止いいえ Yes Yes

セッションの一時停止いいえ Yes Yes

セッションの再開いいえ Yes Yes

セッションにマークを付けるいいえ Yes Yes

セッションのマーク解除いいえ Yes Yes

セッションの検証いいえ Yes Yes

セッションのスロットルいいえ Yes Yes

コンポーネントのアクセス制御コンポーネントのアクセス制御設定により、外部または内部のシステムやコンポーネントによる製品へのアクセスが定義されます。

コンポーネント認証ストレージグループは、LUN のアクセス制御メカニズムです。 LUN のグループを特定のホストによるアクセスから分離します。ストレージグループを構成するときには、1 つ以上のホストによってのみ使用される LUN のセットを指定します。これにより、ストレージシステムによって、そのホストから LUNへのアクセスが強制されます。指定された LUNは、ストレージグループ内のホストにのみ提示され、ホストはそのグループ内の LUN のみを参照できます（LUN マスキング）。ストレージグループを構成するには、システムを選択し、［ホスト＞ストレージグループ］を使用します。ストレージグループの構成の詳細については、Unisphere のオンラインヘルプを参照してください。IP フィルタリングを使用すると、管理者やセキュリティ管理者が、指定した IP アドレスへの管理アクセスが制限されるようにストレージシステムを構成できるので、セキュリティの階層が増加します。これらの設定は、ローカルストレージシステムに適用することも、ストレージシステムのドメイン全体に適用することもできます。 IP フィルタリングの詳細については、安全な保守設定（Block）を参照してください。

アクセス制御

コンポーネントのアクセス制御 25

VNX for File の CLI の役割に基づくアクセスコマンドラインインタフェースへのアクセスに使用する管理ユーザーアカウントは、特定の権限（役割とも呼ばれる）に関連づけられます。役割は、ユーザーが特定の VNX オブジェクトに対して実行できる権限（操作）を定義します。 CLI、EMC Unisphere™、XML API を使用して VNX にアクセスするユーザーに対して、事前に定義された役割を選択したり、ユーザーに特定の権限を与える独自の役割を定義したりする機能がサポートされています。役割に基づくアクセスを使用して、特定のユーザーが実行できる VNX for File の CLI コマンドを決める方法については、VNX for File の CLI の役割に基づくアクセスを参照してください。

UNIX ユーザーに対するWindows スタイルの認証情報VNX for File では、一般的なWindows スタイル（NT）の認証情報を作成できます。そのため、ユーザーはファイルアクセスプロトコルに関係なく同じ認証情報を持つことになり、アクセスコントロールの一貫性が確保されます。この機能を構成する方法については、「VNX でのマルチプロトコル環境の管理」を参照してください。

セッショントークンの保護ユーザーと Unisphere間の接続、および 2 つの VNX for File システム間の接続では、SHA1 を使用してチェックサムを生成することで、ログインしたユーザーを識別するためのセッショントークン（Cookie）を保護します。チェックサムを生成するために使用される SHA1秘密値は、インストール時にランダムに設定されます。ただし、セキュリティを強化するために、デフォルトの SHA1秘密値を変更できるようになっています。この値を変更すると、既存のセッショントークン（Cookie）は有効でなくなり、Unisphere の現在のユーザーはログインし直す必要があります。 Control Station プロパティを変更するには、ユーザーが root である必要があります。詳細については、セッショントークンの保護を参照してください。

CIFS Kerberos認証 CIFS Kerberos にんしょうVNX for File では、デフォルトで Kerberos認証と NTLM認証の両方が許可されています。Windows環境では Kerberos認証方法が推奨されるため、NTLM認証を無効化する場合がありますこの設定の構成方法については「server_cifs」 man page を参照し、認証については「VNXCIFS の構成と管理」を参照してください。

NFS セキュリティ設定一般的に、NTF ファイル共有プロトコルは脆弱性があると考えられていますが、次の構成設定を使用して NFS のセキュリティを向上させることができます。l 一部（またはすべて）のホストに対して読み取り専用アクセスを定義するl 特定のシステムまたはサブネットへの root アクセスを制限するl そのエントリーに対応するファイルシステムにマウントする権利をクライアントが所有していない場

合は、エクスポートおよびマウント情報を非表示にするまた、強力な認証が必要な場合は、Kerberos を使用する Secure NFS を構成できます。これらの設定については、「VNX NFS の構成」を参照してください。デフォルトでは、NFS エクスポートはすべて表示されます。 NFS エクスポートを非表示にするには、server_param コマンドを使用して、マウントファシリティパラメーターの［forceFullShowmount］値を変更する必要があります。

アクセス制御


NFS および CIFS のアクセスポリシーVNX for File のカスタマイズ可能な一連のアクセスモードにより、現在の環境に合わせて、NFS とCIFS アクセス間の最適な対話を選択できるようになります。この機能を構成する方法については、「VNX でのマルチプロトコル環境の管理」を参照してください。セキュリティ属性を保持する方法、および NFS と CIFS ユーザー間の対話のタイプを選択できます。対話のタイプには、次のものがあります。l NATIVE

l UNIX

l NT

l 保護l MIXED

l MIXED_COMPAT

NFSv4 を使用している場合、MIXED アクセスポリシーが必要になります。

データセキュリティ設定データセキュリティ設定を使用して、製品によって永続的に保存されたデータが不正な方法で開示されることを防止するための管理方法を定義できます。

データの整合性VNX システムは、いくつかの独自のデータ整合性機能を使用してシステム上の顧客データを保護します。

格納データの暗号化格納データの暗号化機能（D@RE）（この機能は、VNX Operating Environment（OE）forBlockバージョン 5.33以降を実行している VNX システムのみに関連しています）の詳細については、「データセキュリティの設定」を参照してください。格納データの暗号化の詳細については、EMC オンラインサポート用Web サイト（http://Support.EMC.com）の「企業内の保存されたデータの暗号化へのアプローチ」を参照してください。

パスワードポリシー強力なパスワードは、セキュリティ戦略の重要な要素となります。すべての VNX for File のローカルユーザーに十分強力なパスワードを確実に使用させるため、ユーザー定義のパスワードに一定の複雑性を適用するパスワード品質ポリシーを定義できます。この機能は、ドメインにマップされているユーザーには適用されません。これらのユーザーのパスワードは、ドメイン内のポリシーで管理されます。デフォルトのパスワードポリシーには、次の要件があります。l パスワードは 8文字以上にするl 許容される新しいパスワードを 3回以内に定義しないと、コマンドが失敗するl 前のパスワードで使用されていない文字を 3文字以上含めるl 新しいパスワードには 1文字以上の数字を含める

アクセス制御

NFS および CIFS のアクセスポリシー 27

http://Support.EMC.comhttp://Support.EMC.com

現在、パスワードでの特殊文字（!、@、#、$、%、&、^、*）や大文字/小文字の使用に関する要件はありません。

VNX for File でのデフォルトのパスワード有効期限は 120日です。

パスワード品質ポリシーを変更した場合、その変更はポリシーの改訂後に定義されたパスワードにのみ適用されます。

物理的セキュリティ統制ストレージシステムを配置するエリアは、VNX システムの物理的セキュリティを確保できるように選択または構成する必要があります。たとえば、十分なドアとロックを用意すること、システムに対して監視下に置かれた許可された物理アクセスだけを認めること、信頼性の高い電源を使用すること、標準的な配線のベストプラクティスに従うことなど、基本的な対策を行います。さらに、シリアルポート接続には特別な注意が必要です。 EMC および当社のサービスパートナーは、ストレージプロセッサへのシリアル接続を使用して緊急アクセスを行うことができます。安全な保守設定（Block）に記載されているように管理ポートへの許可されたアクセスを管理すること、およびストレージシステムを物理的に安全な場所に設置することはお客様の責任です。これには、緊急保守用のシリアルポートを含む、ストレージプロセッサへの物理的なアクセスの適切な保護が含まれます。シリアルコンソールと SSH で匿名 root ログインを制限すると、VNX for File/Unified システムのシステムセキュリティが強化されます。詳細については、匿名 root ログインの制限を参照してください。GRUB ブートローダーをパスワードで保護すると、システムのセキュリティが強化されます。 GRUB のパスワードを設定するには、root アクセスが必要です。root ユーザーとして CLI にログインすることで設定できます。 GRUB構成ファイルでパスワードを設定します。多くの場合、このファイルは、/etc/grub.conf、 /boot/grub/grub、/boot/grub/menu.lstなど、複数の場所のいずれかにあります。平文のパスワードを設定するには、GRUB構成ファイルを編集して、コメント解除された最初の行の前に、次の行を追加します。password［］

ログインバナーと今日のメッセージログインバナーとMOTD（今日のメッセージ）は、管理者が VNX for File ユーザーと連絡を取る手段となります。コマンドラインインタフェースと Unisphere で、同じログインバナーを確認できます。 MOTDはコマンドラインインタフェースからのみ確認できます。 Control Station プロパティを変更するには、ユーザーが root である必要があります。Unisphere からバナーを構成するには、［システム＞システム管理］（タスクリスト）＞［ControlStation のプロパティ］を選択します。この機能については、Unisphere のオンラインヘルプを参照してください。VNX for File CLI を使用してバナーとMOTD を構成する場合、詳細についてはセキュリティ構成に関連する操作での VNX for File CLI の使用を参照してください。

アクセス制御


第 3章

ロギング

この章では、VNX（Block と File のみを含む）に実装されたさまざまなログ機能について説明します。次のトピックが含まれます。

l ログの設定........................................................................................................... 30l VNX for Block システムの監査ログ.........................................................................30l VNX および RSA enVision.....................................................................................31l VNX for File システムの監査..................................................................................31l 格納データの暗号化の監査ログ.............................................................................. 32

ロギング 29

ログの設定ログとは、システムにおける処理を時間ごとに記録したものであり、操作、手順、またはセキュリティ関連のトランザクションにおけるイベント（最初から最終的な結果まで）に関連する、あるいは、これ

Documents

EMC VNX Series - Dell Technologies US...はじめに 製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、ハードウェアおよ

EMC VNX Series - Dell Technologies US...はじめに製品ラインのパフォーマンスと機能を改善および強化するための努力の一環として、ハードウェアおよ