Dell EMC PowerStore セキュリティ構成ガイド 1.x July 2020 Rev.
メモ、注意、警告 メモ: 製品を使いやすくするための重要な情報を説明しています。 注意: ハードウェアの損傷やデータの損失の可能性を示し、その危険を回避するための方法を説明しています。 警告: 物的損害、けが、または死亡の原因となる可能性があることを示しています。 © 2020 Dell Inc. またはその関連会社。。Dell、EMC、およびその他の商標は、Dell Inc.
目次 関連資料.........................................................................................................................................5 章 1: 認証とアクセス........................................................................................................................ 6 ユーザー アカウント、役割、権限の認証と管理を行う..............................................................................................6 工場出荷時デフォルトの管理.................................................................................................
静止データ暗号化...............................................................................................................................................................36 暗号化のアクティブ化..................................................................................................................................................... 36 暗号化ステータス...............................................................................................................................................................36 キー管理.....
前書き 改善努力の一環として、ソフトウェアおよびハードウェアのリビジョンを定期的にリリースしています。本書で説明されている機 能の中には、現在お使いのソフトウェアまたはハードウェアの一部のバージョンによってサポートされていないものがあります。製 品のリリース ノートには、製品の機能に関する最新情報が掲載されています。製品が正常に機能しない、またはこのマニュアルの 説明どおりに動作しない場合には、テクニカル サポート プロフェッショナルにお問い合わせください。 問い合わせ先 サポート情報、製品情報、ライセンス情報は、次の場所で入手できます。 ● 製品情報 製品および機能のドキュメントまたはリリース ノートについては、www.dell.com/powerstoredocs で[PowerStore Documentation]ページを参照してください。 ● トラブルシューティング 製品、ソフトウェア アップデート、ライセンス、サービスの詳細については、www.dell.
1 認証とアクセス この章では、次の情報について説明します。 トピック: • • • • • • • • • • • • • • ユーザー アカウント、役割、権限の認証と管理を行う 証明書 クラスター内の PowerStore アプライアンス間のセキュアな通信 レプリケーションとデータ インポートのためのセキュアな通信 vSphere Storage API for Storage Awareness のサポート CHAP 認証 CHAP を構成する 外部 SSH アクセス 外部 SSH アクセスの構成 NFS セキュア ファイル システム オブジェクトに対するセキュリティ マルチプロトコル環境のファイル システム アクセス CAVA(Common AntiVirus Agent)について コード署名 ユーザー アカウント、役割、権限の認証と管理を行う クラスターへのアクセスの認証は、ユーザー アカウントの認証情報に基づいて実行されます。ユーザー アカウントは、Users ページ で作成され、その後、管理されます。このページには、PowerStore Manager の Settings > Users
セッション規則 クラスター上のセッションには、次の特性があります。 ● 有効期限は 1 時間。 メモ: セッションが 1 時間非アクティブになると、ユーザーは自動的にクラスターからログオフします。 ● セッション タイムアウトは構成できない。 ユーザー名とパスワードの使用 システム アカウントのユーザー名は、次の要件を満たしている必要があります。 制限 ユーザー名の要件 構造 先頭と末尾の文字は英数字である必要があります。 ケース すべてのユーザー名は大文字と小文字が区別されます。 英数字の最小数 1 英数字の最大数 64 サポートされる特殊文字: .
役割と権限 ロールベースのアクセス制御により、ユーザーにさまざまな権限を付与することができます。これにより、スキルセットや責任に適 合するように管理者の役割を分離することができます。 システムでは、次の役割と権限がサポートされています。 メモ: のある欄は、その役割で権限がサポートされていることを示し、空欄は、その役割で権限がサポートされていないこ とを示しています。 タスク オペレーター VM 管理者 セキュリティ管 理者 ストレージ管理者 管理者 システムのローカル パスワードの 変更 システム設定、ステータス、パフ ォーマンス情報の表示 システム設定の変更 リソースと保護ポリシーの作成、 変更、削除、および SSH の有効 化/無効化 vCenter への接続 ローカル アカウントのリストの表 示 ローカル アカウントの追加、削除、 変更 システムの VASA プロバイダーに 接続されている vCenter サーバー を介したシステム ストレージ情報 の表示と、VMware 認証局 (VMCA)/CA 証明書の登録/再登 録 ファイルに関連する役割と権限 システムでは、次のような、ファイルに
タスク オペレーター VM 管理者 セキュリティ管 理者 ストレージ管理者 管理者 ● SMB 共有リスト ● NFS エクスポート リスト 次の項目を表示します。 ● ファイル DNS サーバーのリス トまたは指定した DNS サーバ ー ● ファイル FTP サーバーのリス トまたは指定した FTP サーバ ー ● ファイル インターフェイスの リストまたは指定したファイ ル インターフェイス ● ファイル インターフェイス ル ートのリストまたは指定した インターフェイス ルート ● ファイル Kerberos サーバーの リストまたは指定した Kerberos サーバー ● ファイル LDAP サーバーのリ ストまたは指定した LDAP サ ーバー ● ファイル NDMP サーバーのリ ストまたは指定した NDMP サ ーバー ● ファイル NIS サーバーのリス トまたは指定した NIS サーバ ー ● ファイル システムのリストま たは指定したファイル システ ム ● ファイル ツリー クォータのリ ストまたは指定したファイル ツリー クォータ ● ファイル ユーザー クォータの リスト
タスク オペレーター ファイル システムの追加、または 既存の NAS サーバーにある指定し たファイル システムの変更や削 除 指定したファイル システムに対 するクローンやスナップショット の追加、指定したファイル システ ムの更新やリストア、または指定 したファイル システムのクォータ の更新 ファイル ツリー クォータの追加、 または指定したファイル ツリー クォータの変更、削除、更新 ファイル ユーザー クォータの追 加、または指定したファイル ユー ザー クォータの変更、削除、更新 ファイル ウイルス チェッカーの 追加、指定したファイル ウイルス チェッカーの変更、削除、または 指定したファイル ウイルス チェ ッカー構成のアップロード 指定したファイル ウイルス チェ ッカー構成のダウンロード SMB や NFS サーバーの追加、また は指定した SMB や NFS サーバー の変更、削除、参加、分離 SMB 共有の追加、または指定した SMB 共有の変更、削除 NFS エクスポートの追加、または 指定した NFS エクスポートの変 更、削除 ファイル インターフェイスの追 加、または指定
タスク オペレーター VM 管理者 セキュリティ管 理者 ストレージ管理者 管理者 ファイル LDAP 証明書のダウンロ ード 役割の権限に基づくユーザー アカウント管理 管理者またはセキュリティ管理者の役割を持つユーザーは、ユーザー アカウント管理に関して次の操作を実行できます。 ● 新規ユーザー アカウントを作成する。 ● 組み込みの管理者アカウント以外のすべてのユーザー アカウントを削除する。 メモ: 組み込みの管理者アカウントは削除できません。 ● 別のユーザーを任意の役割に変更する。 ● 別のユーザーのパスワードをリセットする。 ● 別のユーザー アカウントをロックするか、アンロックする。 メモ: 管理者またはセキュリティ管理者の役割を持つログイン中のユーザーは、自分のアカウントをロックできません。 ログインしているユーザーは自分のユーザー アカウントを削除できません。また、セキュリティ管理者または管理者の役割を持つ ユーザーを除き、ログインしているユーザーは自分のパスワードのみを変更できます。ユーザーがパスワードを変更するには、自分 の古いパスワードを入力する必要があります。ログインし
2. 次のコマンドでラベルを設定します。 label d: RSTPWD メモ: アプライアンスでは、RSTPWD ラベルのない USB ドライブはマウントされません。USB ドライブにラベルを付けた 後、リセットするアカウント パスワード用の空のファイルを挿入します。管理者パスワード、サービス アカウント パスワ ード、またはその両方をリセットすることができます。 3. ドライブ上に空のファイルを作成するには、必要に応じて次のコマンドのいずれかまたは両方を使用します。 copy NUL d:\admin copy NUL d:\service 4. アプライアンスのいずれかのノードの USB ポートに USB ドライブを挿入し、10 秒間待ってから取り外します。 これで、リセットした各アカウントのパスワードがデフォルト値になります。 5.
例:DataCenter-WX-D6013 > PowerStore D6013 2. Files で ISOs を選択します。 3. Upload を選択し、reset.iso ファイル(www.dell.com/support にある事前作成済みのイメージ ファイル、または Linux システ ムで自身で作成したイメージ ファイルのいずれか)をアップロードします。 reset.iso ファイルが ISOs フォルダーに表示されます。 4. vSphere の Host and Clusters で、クラスター内のプライマリー PowerStore X model アプライアンスのプライマリー ノードを選 択します。 例:DataCenter-WX-D6013 > Cluster WX-D6013 > PSTX-44W1BW2-A 5. Summary で CD/DVD drive 1 をクリックして、Connect to datastore ISO file を選択します。 Choose an ISO image to mount ウィンドウが表示されます。 6.
2. Settings をクリックし、Support で Certificates をクリックします。 アプライアンスに保存されている証明書に関する情報が表示されます。 3.
VASA、vSphere、VVols の詳細については、VMware のドキュメントおよび PowerStore Manager オンライン ヘルプを参照してくだ さい。 VASA に関連する認証 vCenter から PowerStore Manager VASA プロバイダーへの接続を開始するには、vSphere クライアントを使用して、次の情報を入力 します。 ● VASA プロバイダーの URL。VASA 3.0 のフォーマット、https://<管理 IP アドレス>:8443/version.
● 双方向 CHAP 認証は、単方向 CHAP に加えて適用されます。双方向 CHAP では、iSCSI ターゲットとイニシエーターが相互に認 証を行うことができます。グループによって示される各 iSCSI ターゲットは、iSCSI イニシエーターによって認証されます。イニ シエーターがターゲットに接続しようとする際に、ターゲットは、ユーザー名とパスワードをイニシエーターに提供します。イニ シエーターは、提供されたユーザー名とパスワードを、自身が持つ情報と比較します。情報が一致した場合は、イニシエーターが ターゲットに接続できます。 メモ: 環境内で CHAP を使用する場合は、CHAP 認証をセットアップして有効にしてから、データを受信するボリュームを準備 することをお勧めします。CHAP 認証を設定して有効化する前にデータを受信するようにドライブを準備すると、ボリュームへ のアクセスが失われる可能性があります。 PowerStore は iSCSI CHAP 検出モードをサポートしていません。次の表は iSCSI CHAP 検出モードに関連する PowerStore の制限事 項を示しています。 表 1
ライアンスの IP アドレスは、プライマリー指定の変更に従って、アプライアンスの 2 つのノード間でフローティングします。外部 SSH が無効化されている場合、SSH アクセスは許可されません。 アプライアンスが最初に起動し、構成されていない際は、SSH はデフォルトで有効になります。これにより、アプライアンスは、 クラスターに追加される前に問題が発生した場合でもサービスを実行できるようになります。新しいクラスターが作成された場合、 またはクラスターへの参加操作では、すべてのアプライアンスで SSH の初期設定が無効である必要があります。 外部 SSH アクセスの構成 次のいずれかの方法を使用して、クラスター内のアプライアンスへの外部 SSH アクセスを構成します。 ● SSH Management:PowerStore Manager からアクセスできる SSH 設定ページ(Settings をクリックし、Security で SSH Management を選択)。 ● REST API サーバー:アプリケーション インターフェイスで、SSH の設定を構成するための REST API リクエストを受け取
● アクセス制御:コンテナー テクノロジーによって提供されるアプリケーション分離に加えて、アプライアンス上のアクセス制御 リスト(ACL)メカニズムでは、サービス アカウントによるシステム リソースへのアクセスを明示的に許可または拒否する、 非常に特殊なルールのリストを使用します。標準の Linux ファイル システム権限によって定義されない、アプライアンスの他の 領域に対するサービス アカウント権限は、これらの規則によって指定されます。 アプライアンス サービス スクリプト アプライアンスのソフトウェア バージョンには、問題の診断、システム構成、システム リカバリーに関する一連のスクリプトがイ ンストールされています。これらのスクリプトを使用すると、PowerStore Manager を使用した場合よりも、さらに詳しい情報を収 集し、より深いレベルのシステム制御を行うことができます。PowerStore Service Scripts Guide では、これらのスクリプトとその 一般的な使用例について説明します。 アプライアンス ノード Ethernet サービス ポートと IPMItool ご使用の
● UDS:認証情報の構築用。 ● ホスト名:Kerberos は、IP アドレスではなく、名前を使用します。 NFS では、ホスト名の値に応じて、1 つまたは 2 つのサービス プリンシパル名(SPN)を使用します。ホスト名が完全修飾ドメイ ン名形式である host.domain の場合: ● 短い SPN:nfs/host@REALM ● 長い SPN:nfs/host.
関連づけられているグループ、その他のすべてのユーザーに許可されているアクセス モードまたは権限を表します。UNIX のモード ビットは、ユーザーのカテゴリー(ユーザー、グループ、その他)ごとに連結された 3 文字 rwx(読み取り、書き込み、実行)の 3 個のセットとして表されます。ACL は、サービスへのアクセスの許可や拒否を制御するためのユーザーとユーザー グループのリスト です。 Windows セキュリティ モデル Windows セキュリティ モデルは、SD(セキュリティ ディスクリプター)およびその ACL の使用を含み、主にオブジェクト権限単 位に基づきます。SMB ポリシーを選択した場合、NFS プロトコルのモード ビットに対する変更は無視されます。 ファイル システム オブジェクトへのアクセスは、権限がセキュリティ ディスクリプターを使用して許可または拒否に設定されて いるかどうかにより異なります。SD は、オブジェクトの所有者とグループ SID、その ACL を記述します。ACL は、各オブジェクト のセキュリティ ディスクリプターの一部です。各 ACL には、ACE(アクセス制御エント
Windows リゾルバー Windows リゾルバーを使用して、ユーザー マッピングを行うために次を行います。 ● 特定の SID(セキュリティ識別子)の場合、対応する Windows アカウント名を返す ● 特定の Windows アカウント名の場合、対応する SID を返す Windows リゾルバーは次のとおりです。 ● ドメインの DC(ドメイン コントローラー) ● SMB サーバーの LGDB(ローカル グループ データベース) secmap secmap の機能は、すべての SID から UID/プライマリー GID、UID から SID へのマッピングを格納し、NAS サーバーのすべてのファ イル システムで一貫性を保ちます。 ntxmap 名前が異なる場合、ntxmap を使用して、Windows アカウントを UNIX アカウントに関連づけます。たとえば、Windows 上で Gerald というアカウントを持つユーザーが、UNIX 上のアカウントでは Gerry という場合、ntxmap を使用して両者間の関連づけを作成しま す。 SID から UID、プライマリ GID マッピ
secmap secmap 内ですか? SID Yes ローカル ファイルまたはUDS ですか? UIDおよび プライマリGID No ローカル グループ データベース 内ですか? Yes 自動マッピング ですか? SMBのみのアクセスに使用さ れるWindows名 Yes 不明なSIDの アクセスが拒否されされました Windows名 ntxmap 内ですか? Yes UNIX名 No デフォルトのUNIX アカウントですか? No Windows名 = UNIX名 図 1.
UID から SID へのマッピング 次の手順は、UID から SID へのマッピングの解決に使用するプロセスです。 1. secmap で、UID が検索されます。UID が見つかった場合、SID マッピングが解決されます。 2. secmap で UID が見つからない場合は、UID に関連する UNIX の名前を見つける必要があります。 a. UDS(NIS サーバー、LDAP サーバー、またはローカル ファイル)は、UID を使用して検索されます。UID が見つかった場合、 関連する UNIX の名前がユーザー名です。 b. UDS で UID は見つからないが、デフォルトの Windows アカウントがある場合、UID はデフォルト Windows アカウントの SID にマッピングされます。 3. デフォルトの Windows アカウント情報を使用しない場合、UNIX の名前が Windows の名前に変換されます。ntxmap は、この目 的のために使用されます。 a. UNIX の名前が ntxmap で見つかった場合、エントリーは Windows の名前として使用されます。 b.
UID secmap secmap 内ですか? Yes ドメイン コントローラ 内ですか? SID No Yes UNIX名 ntxmap 内ですか? No Yes Windows名 Windows名 = UNIX名 ローカル グループ データベース内 ですか? No 解決不可能なUIDの アクセスが拒否されました 図 2.
NFS、SMB、FTP のアクセス ポリシー マルチプロトコル環境では、ストレージ システムがファイル システムのアクセス ポリシーを使用して、そのファイル システムの ユーザー アクセス制御を管理します。UNIX と Windows の 2 種類のセキュリティがあります。 UNIX セキュリティ認証の場合、認証情報は、非 Secure NFS アクセスの例外を使用して UDS(UNIX ディレクトリ サービス)から 作成されます。この認証情報はホスト クライアントから提供されます。ユーザー権限はモード ビットと NFSv4 ACL から判断され ます。ユーザーおよびグループの識別子(それぞれ、UID、GID)が ID に使用されます。UNIX セキュリティに関連づいた権限はあり ません。 Windows セキュリティ認証の場合、認証情報は Windows の DC(ドメイン コントローラー)および SMB サーバーの LGDB(ローカ ル グループ データベース)から作成されます。ユーザー権限は SMB ACL から判断されます。SID(セキュリティ識別子)は ID に使 用されます。SMB サーバーの L
メモ: 拡張された認証情報のプロパティが設定されていないときの NFS リクエストに対しては、NFS リクエストから UNIX 認 証情報が使用されます。SMB リクエストに対して Kerberos 認証を使用するときは、ドメイン ユーザーの Windows 認証情報が セッション構成リクエストの Kerberos チケットに組み入れられます。 永続認証情報キャッシュは次のために使用されます。 ● Windows アクセス ポリシーを持つファイル システムにアクセスするために作成された Windows 認証情報。 ● 拡張認証情報オプションが有効な場合に NFS をとおしてアクセスするために作成された UNIX 認証情報。 NAS サーバーごとにキャッシュ インスタンスが 1 個あります。 マッピング解除されたユーザーへのアクセスの許可 マルチプロトコルは、次の要件を満たす必要があります。 ● Windows ユーザーが UNIX ユーザーにマップされていること。 ● Windows アクセス ポリシーを持つファイル システムにユーザーがアクセスしているときに Windows 認証情報を作成するため、 UN
SMB リクエストの Windows 認証情報 Windows アクセス ポリシーまたはネイティブ アクセス ポリシーで SMB のみまたはマルチ プロトコル ファイル システムの SMB リクエストを処理するには、Windows 認証を使用する必要があります。ユーザーが接続するときは、セッション構成リクエスト時 に一度だけ、SMB の Windows 認証情報を作成する必要があります。 NTLM(NT LAN Manager)の使用時とは異なり、Kerberos 認証の使用時には、ユーザーの認証情報がセッション構成リクエストの Kerberos チケットに含まれます。Windows DC または LGDB から他の情報がクエリーされます。Kerberos の場合、追加グループ SID のリストが Kerberos チケットから取得され、追加ローカル グループ SID のリストと特権のリストは LGDB から取得されます。 NTLM の場合、追加グループ SID のリストが Windows DC から取得され、追加ローカル グループ SID のリストと特権のリストは LGDB から取得されます。 さらに、対応
2 通信のセキュリティの設定 本セクションでは、以下の項目について説明します。 トピック: • ポートの使用 ポートの使用 次のセクションは、アプライアンスに存在する可能性のある各種ネットワーク ポートおよび対応するサービスの概要をまとめたも のです。アプライアンスは、vCenter Server との通信など、一部の状況でネットワーク クライアントとして機能します。このよう な状況では、アプライアンスが通信を開始し、ネットワーク インフラストラクチャがこれらの接続をサポートしている必要があり ます。 メモ: ポートの詳細については、ナレッジベース記事 542240(PowerStore:お客様ネットワーク ファイアウォールのルール TCP/UDP ポート)を参照してください。https://www.dell.
表 2.
表 2. アプライアンス ネットワーク ポート (続き) ポート サービス 8443、50443、 55443、または 60443 9443 プロトコル アクセス方向 説明 Windows インポート TCP ホスト エージェン ト、Linux インポート ホスト エージェン ト、または VMware インポート ホスト エージェント 送信 レガシー ストレージ システムからデータ ストレージをインポートする場合は、これ らのポートのいずれかを開く必要がありま す。 SupportAssist 送信 Connect Home に関連する SupportAssist REST API に必要です。 TCP ファイルに関連するアプライアンスのネットワーク ポート 次の表は、ファイルに関連するアプライアンスに存在する可能性のある各種ネットワーク ポートおよび対応するサービスの概要を まとめたものです。 メモ: 送信ポートは一時的なものです。 表 3.
表 3.
表 3.
表 3. ファイルに関連するアプライアンスのネットワーク ポート (続き) ポート サービス プロトコル アクセス方向 説明 す。ユーザー名は構成可能です。さま ざまな環境に合わせてパスワードを構 成する方法については、NDMP のドキ ュメントを参照してください。 [10500, 10531] NDMP 動的ポート用 TCP の NDMP 予約範囲 受信 3 方向バックアップ/リストア セッション では、NAS サーバーはポート 10500~10531 を使用します。 12228 ウイルス対策チェ ッカー サービス 送信 ウイルス対策チェッカー サービスに必要で す。 TCP PowerStore X モデル アプライアンスに関連するネットワーク ポート 次の表は、PowerStore X model アプライアンスに存在する可能性のある各種ネットワーク ポートおよび対応するサービスの概要を まとめたものです。 表 4.
表 4.
3 監査 この章では、次の情報について説明します。 トピック: • 監査 監査 監査により、システム上のユーザー アクティビティの履歴が表示されます。管理者、セキュリティ管理者、またはストレージ管理 者の役割を持つユーザーは、REST API を使用して、システム上の構成の変更イベントを検索し、表示することができます。監査さ れるこれらのイベントは、セキュリティに関連するものではなく、すべての設定操作(ポスト/パッチ/削除)が監査ログに記録さ れます。 PowerStore Manager UI やコマンド ライン インターフェイス(CLI)などの他のインターフェイスを使用して、監査イベントの検索 や表示を行うことができます。 監査 35
4 データ セキュリティ設定 本セクションでは、以下の項目について説明します。 トピック: • • • • • • • • 静止データ暗号化 暗号化のアクティブ化 暗号化ステータス キー管理 キーストア バックアップ ファイル 暗号化が有効であるアプライアンスでのドライブの転用 暗号化が有効なシステムのベース エンクロージャとノードの交換 アプライアンスを工場出荷時設定にリセットする 静止データ暗号化 PowerStore の静止データ暗号化(D@RE)では、プライマリー ストレージ(NVMe SSD、NVMe SCM、SAS SSD)に対して FIPS 140-2 の検証済み自動暗号化ドライブ(SED)を使用します。NVRAM キャッシュ デバイスは暗号化されますが、現時点では FIPS 140-2 は検証されません。 各ドライブ内で暗号化が実行されてから、データがメディアに書き込まれます。これにより、ドライブ上のデータは、盗難や損失、 およびドライブを物理的に分解してドライブを直接読み取ろうとする行為から保護されます。暗号化には、ドライブ上の情報を迅 速かつ安全に消去する手段も用意されており、情報が
クラスター レベルの暗号化ステータスは、アプライアンスの暗号化が有効であるかどうかを単純に反映します。これは、ドライブ のステータスには関連していません。 アプライアンスの暗号化ステータスは、次のいずれかで表示されます。 ● Encrypted:アプライアンスで暗号化機能が有効になっています。 ● Unencrypted:アプライアンスでは暗号化機能がサポートされません。 ● Encrypting:暗号化のアクティブ化プロセス中に表示されます。暗号化プロセスが正常に完了すると、クラスター レベルの暗号 化ステータスが暗号化済みとして表示されます。 ドライブ レベルの暗号化ステータスは、アプライアンス内の各ドライブについて、次のいずれかで表示されます。 ● Encrypted:ドライブは暗号化されています。これは、暗号化可能なアプライアンスのドライブの一般的な状態です。 ● Encrypting:アプライアンスがドライブでの暗号化を有効にしています。このステータスは、アプライアンスでの暗号化を初め てアクティブ化している間、または構成済みアプライアンスに新しいドライブを追加している間に表示されます。 ● Dis
暗号化が有効であるアプライアンスでのドライブの転用 このタスクについて 自動暗号化ドライブ(SED)は、アプライアンスが初期化された場合、またはすでに初期化されているアプライアンスに挿入され た場合はロックされます。ドライブは、最初にアンロックしなければ、別のシステムで使用できません。ロックされたドライブ は、別のアプライアンスに挿入されると使用できなくなり、新しいアプライアンスでは、その暗号化ステータスが Foreign と表 示されます。ドライブは、新しいアプライアンス用に転用できますが、ドライブ上の既存のデータはすべて失われます。 アプライアンスで Foreign という暗号化ステータスを持つドライブを転用するには、次の手順を実行します。 手順 1. ドライブの背面にあるラベルに記載されている PSID(物理セキュリティ ID)を記録します。PSID は、転用プロセスの一部とし て入力する必要があります。 2. PowerStore Manager で、Hardware をクリックし、アプライアンスを選択してから、Hardware カードを選択します。 3.
5 安全な保守設定 この章では、次の情報について説明します。 トピック: • • • • • • • • 運用に関する説明: SupportAssist SupportAssist オプション SupportAssist Gateway Connect オプション SupportAssist Direct Connect オプション SupportAssist Gateway Connect の要件 SupportAssist Direct Connect の要件 SupportAssist を設定する SupportAssist の構成 運用に関する説明: SupportAssist™ SupportAssist 機能は、IP ベースの接続を提供します。これにより、Dell EMC サポートがアプライアンスからエラー ファイルとアラ ート メッセージを受け取り、リモートでトラブルシューティングを実行できるため、問題を迅速かつ効果的に解決できるようにな ります。 メモ: 問題を迅速に診断してトラブルシューティングを実行し、解決までの時間を短縮するために、SupportAssist 機能を有効に すること
オーバー能力はありません。アプライアンスが接続されている HA ゲートウェイ サーバーがダウンした場合、アプライアンス は、オートコールや CloudIQ ファイルなど、すべてのアウトバウンド ファイルの Dell EMC サポートへの転送を停止します。ア プライアンスへのリモート アクセス用の SupportAssist 受信接続は、クラスター内で障害を避けることができた HA ゲートウェ イ サーバーを使用して引き続き機能します。また、SupportAssist の Gateway Connect with remote assist と Gateway Connect without remote assist オプションは、システム上の指定されたプライマリー アプライアンスでのみ設定する必要が あります。 アプライアンス自体には、いずれのポリシーも実装されません。アプライアンスに対するリモート アクセスをより細かく管理する 必要がある場合は、ポリシー マネージャーを使用して権限を設定できます。ポリシー マネージャー ソフトウェア コンポーネントは、 お客様提供のサーバーにインストールすることができます
● Direct Connect without remote access(リモート アクセスを含まない直接接続) :Gateway Connect without remote access と同じ 双方向ファイル転送を行う個々のアプライアンス上で実行される分散型 SupportAssist 用です。 ● Direct Connect with remote access(リモート アクセスを含む直接接続):Gateway Connect without remote access と同じ双方向 ファイル転送を行う個々のアプライアンス上で実行される分散型 SupportAssist 用で、Dell EMC サポート担当者向けのリモート アクセスが含まれます。 無効化することも可能ですが、推奨しません。このオプションを選択した場合、Dell EMC サポートは、アプライアンスでの問題に 関する通知を受け取りません。アプライアンスに関する問題のトラブルシューティングと解決をサポート担当者が実行できるよう に、お客様が手作業でアプライアンス情報を収集することが必要になる場合があります。 SupportAssi
SupportAssist Gateway Connect の要件 次の要件が、Gateway Connect without remote access と Gateway Connect with remote access の両方の SupportAssist 実装に 適用されます。 ● アプライアンスと SupportAssistGateway サーバーの間のネットワーク トラフィック(HTTPS)が、ポート 9443(または、お客 様が別のポートを指定している場合は、そのポート)で許可されている必要があります。 ● SupportAssist は、バージョン 4.0.5 またはバージョン 3.
3. SupportAssist では、Connect to CloudIQ チェックボックスがデフォルトでオンになっています。ファイルを CloudIQ に送信 しない場合は、チェックボックスをオフにします。それ以外の場合は、オンのままにします。 4. 使用する SupportAssist オプションの Type をリストで選択します。 5.
A TLS 暗号スイート この付録には、次の情報が含まれます。 トピック: • サポートされている TLS 暗号スイート サポートされている TLS 暗号スイート 暗号スイートでは、TLS 通信をセキュリティで保護するための一連のテクノロジーを定義します。 ● 鍵交換アルゴリズム(データの暗号化に使用される秘密鍵がクライアントからサーバーに伝達される仕組み)。例:RSA キーまた は Diffie-Hellman(DH) ● 認証方法(ホストでリモート ホストの ID を認証する仕組み)。例:RSA 証明書、DSS 証明書、認証なし ● 暗号化サイファ(データを暗号化する仕組み)。例:AES(256 または 128 ビット) ● ハッシュ アルゴリズム(データの変更を特定する手段を提供し、データの整合性を確保する仕組み)。例:SHA-2 または SHA-1 サポートされている暗号スイートは、これらすべての仕組みを兼ね備えています。 次のリストは、アプライアンスおよび関連ポートの TLS 暗号スイートの OpenSSL 名を示しています。 表 5.