連邦情報処理標準（FIPS）発行 140-2、暗号化モジュールのセキュリティ要件では、暗号化モジュールの米国政府要件が詳述されています。FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。

FIPS の設定については、「FIPS の設定」を参照してください。

ロールベース アクセス コントロール（RBAC）は、ユーザーにロールを割り当てることによってスイッチへのアクセスを制限します。Cisco MDS 9000 ファミリ内のすべての管理アクセスは、ロールに基づきます。ユーザーは、ユーザーが属するロールによって明示的に許可されている管理操作の実行に制限されます。たとえば、あるユーザーが特定の VSAN で管理者ロールを持っているとします。

ユーザー ロールおよび共通ロールの設定については、「 共通ロール」を参照してください。

IP アクセス コントロール リスト（ACL）は、帯域外管理イーサネット インターフェイスおよび帯域内 IP 管理インターフェイスでの基本的なネットワーク セキュリティを実現します。Cisco MDS 9000 ファミリ スイッチでは、IP ACL を使用して不明や送信元や信頼できない送信元からのトラフィックを制限し、ユーザー ID またはデバイス タイプに基づいてネットワークの使用を制限します。

IP ACL の設定については、「IPv4 および IPv6 アクセス コントロール リストの設定」を参照してください。

公開キー インフラストラクチャ（PKI）は、MDS 9000 スイッチがネットワーク内のセキュアな通信を実現するためにデジタル証明書を取得し、使用することを可能にします。PKI のサポートにより、IP セキュリティ プロトコル（IPSec）、インターネット キー交換（IKE）、およびセキュア シェル（SSH）などのデジタル証明書をサポートするアプリケーションの管理機能および拡張性が実現します。

PKI の設定については、「認証局およびデジタル証明書の設定」を参照してください。

セキュア シェル（SSH）は、Cisco NX-OS CLI に対する安全なリモート接続を可能にするプロトコルです。SSH は、デバイスの認証時に強力な暗号化を行うことで、リモート接続について Telnet 以上のセキュリティを実現します。SSH キーは、次の SSH オプションに使用できます。

• Rivest, Shamir, Adelman（RSA）を使用する SSH2

• DSA を使用する SSH2

RSA キーによるセキュア SSH 接続は、Cisco MDS 9000 シリーズのすべてのスイッチでデフォルトで使用できます。DSA キーによるセキュア SSH 接続が必要な場合は、デフォルトの SSH 接続をディセーブルにし、DSA キーを生成して、SSH 接続をイネーブルにする必要があります（SSH サーバー キー ペアの生成を参照）。

サーバー キーを生成するには、ssh key コマンドを使用します。

Caution

SSH でスイッチにログインし、aaa authentication login default none コマンドを発行した場合、ログインするために 1 つ以上のキーストロークを入力する必要があります。少なくとも 1 つのキーストロークを入力せずに Enter を押すと、ログインは拒否されます。

SSH サービスの設定の詳細については、次を参照してください。 SSH サービスおよび Telnet の構成

IP Security（IPSec）プロトコルは、加入ピア間にデータ機密保持、データの整合性、およびデータ認証を提供する、Internet Engineering Task Force（IETF）によるオープン規格のフレームワークです。IPSec は、ホスト ペア間、セキュリティ ゲートウェイ ペア間、またはセキュリティ ゲートウェイとホスト間の 1 つまたは複数のデータ フローの保護など、IP レイヤにセキュリティ サービスを提供します。

IPsec の設定については、「IPSec ネットワーク セキュリティの設定」を参照してください。

Fibre Channel Security Protocol（FC-SP）機能は、スイッチ間およびホストとスイッチ間で認証を実行して、企業全体のファブリックに関するセキュリティ問題を解決します。Diffie-Hellman（DH）Challenge Handshake Authentication Protocol（DHCHAP）は、Cisco MDS 9000 ファミリ スイッチとその他のデバイス間で認証を行う FC-SP プロトコルです。DHCHAP は、CHAP プロトコルと Diffie-Hellman 交換を組み合わせて構成されています。

FC-SP の使用により、スイッチ、ストレージ デバイス、およびホストは信頼性の高い管理可能な認証メカニズムを使ってそれぞれのアイデンティティを証明できます。FC-SP の使用により、ファイバ チャネル トラフィックをフレーム単位で保護することで、信頼できないリンクであってもスヌーピングやハイジャックを防止できます。ポリシーと管理アクションの一貫した組み合わせがファブリックを介して伝播されて、ファブリック全体での均一なレベルのセキュリティが実現します。現在の実装はFC- SP-2 バージョンに合わせています。

FS-SP および DHCHAP の詳細については、「FC-SP および DHCHAP の設定」を参照してください。

ポート セキュリティ機能は、特定のスイッチ ポートへ特定の World-Wide Name（WWN）をバインドすることによって、スイッチ ポートへの不正なアクセスを防止します。

スイッチ ポートでポート セキュリティをイネーブルにしている場合は、そのポートに接続するデバイスがポート セキュリティ データベースになければならず、所定のポートにバインドされているものとしてデータベースに記されている必要があります。これらの両方の基準を満たしていないと、ポートは動作上アクティブな状態にならず、ポートに接続しているデバイスは SAN へのアクセスを拒否されます。

ポート セキュリティの設定については、ポート セキュリティの概要を参照してください。

FC-CT クエリー管理機能により、管理者はストレージ管理者またはネットワーク管理者だけが、スイッチに対してクエリーを送信し、情報にアクセスできるようにネットワークを設定できます。このような情報には、ファブリック内のログイン デバイス、ファブリック内のスイッチなどのデバイス、デバイスの接続方法、各スイッチのポートの数、各ポートの接続先、設定済みゾーンの情報、ゾーンまたはゾーン セットの追加と削除の権限、ファブリックに接続するすべてのホストのホスト バス アダプタ（HBA）の詳細などがあります。

ファブリック バインディングの設定については、Fibre Channel Common Transport の概要を参照してください。

ファブリック バインディング機能では、ファブリック バインディング設定で指定したスイッチ間だけでスイッチ間リンク（ISL）をイネーブルにできます。この機能を使用すると、不正なスイッチがファブリックに参加したり、現在のファブリック処理が中断されたりすることがなくなります。この機能では、Exchange Fabric Membership Data（EEMD）プロトコルを使用することによって、許可されたスイッチのリストがファブリック内の全スイッチで同一になります。ファブリック バインディングは、FICON の展開では必須ですが、オープン システムではオプションです。

ファブリック バインディングの設定については、ファブリック バインディングの概要を参照してください。

Cisco TrustSec ファイバ チャネル リンク暗号化は、Fibre Channel-Security Protocol（FC-SP）の拡張機能であり、既存の FC-SP アーキテクチャを使用してトランザクションの整合性と機密保持を実現します。暗号化をピア認証に追加することにより、セキュリティを確保し、望ましくないトラフィック傍受を防止します。ピア認証は、Diffie-Hellman（DH）Challenge Handshake Authentication Protocol（DHCHAP）プロトコルを使用した FC-SP 標準に従って実装されます。

TrustSec ファイバ チャネル リンク暗号化については、Fibre Channel Common Transport の概要を参照してください。