この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco MDS 9000 NX-OS ソフトウェアは、ストレージ エリア ネットワーク(SAN)内にセキュリティを提供する高度なセキュリティ機能をサポートしています。これらの機能は、故意か故意でないかにかかわらず、内部や外部の脅威からネットワークを保護します。
連邦情報処理標準規格(FIPS)140-2、暗号モジュール セキュリティ要件は、暗号モジュールに対する米国政府の要求条件を定義しています。FIPS 140-2 では、暗号モジュールがハードウェア、ソフトウェア、ファームウェア、または何らかの組み合わせのセットで、暗号機能またはプロセスを実装し、暗号アルゴリズムおよび任意のキー生成機能を含み、明確に定義された暗号境界の内部に位置しなければならないと定義しています。FIPS は特定の暗号アルゴリズムがセキュアであることを条件とするほか、ある暗号モジュールが FIPS 準拠であると称する場合は、どのアルゴリズムを使用すべきかも指定しています。
FIPS の設定については、Chapter2, “FIPS の設定”を参照してください。
ロールベースの許可は、ユーザにロールを割り当てることによってスイッチへのアクセスを制限します。Cisco MDS 9000 ファミリ内のすべての管理アクセスは、ロールに基づきます。ユーザは、ユーザが属するロールによって明示的に許可されている管理操作の実行に制限されます。
ユーザ ロールおよび共通ロールの設定については、Chapter3, “共通ロールの設定”を参照してください。
認証、許可、アカウンティング(AAA)機能は、スイッチを管理するユーザの ID 確認、アクセス権付与、およびアクション追跡を実行します。リモート AAA サーバを利用するソリューションを提供するため、すべての Cisco MDS 9000 ファミリ スイッチで Remote Authentication Dial-In User Service(RADIUS)プロトコルおよび Terminal Access Controller Access Control System Plus(TACACS+)プロトコルが使用されています。このセキュリティ機能は、AAA サーバでの中央集中型のユーザ アカウント管理機能を実現します。
AAA は、セキュリティ機能の管理にセキュリティ プロトコルを使用します。ルータまたはアクセス サーバをネットワーク アクセス サーバとして使用している場合、ネットワーク アクセス サーバと RADIUS または TACACS+ セキュリティ サーバは AAA を介して通信します。
RADIUS および TACACS+ の設定方法については、Chapter 4, “外部 AAA サーバでのセキュリティ機能の設定”を参照してください。
IP アクセス コントロール リスト(ACL)は、帯域外管理イーサネット インターフェイスおよび帯域内 IP 管理インターフェイスでの基本的なネットワーク セキュリティを実現します。Cisco MDS 9000 ファミリ スイッチでは、IP ACL を使用して不明や送信元や信頼できない送信元からのトラフィックを制限し、ユーザ ID またはデバイス タイプに基づいてネットワークの使用を制限します。
IP ACL の設定手順については、Chapter 5, “IPv4 および IPv6 のアクセス コントロール リストの設定”を参照してください。
公開キー インフラストラクチャ(PKI)は、MDS 9000 スイッチがネットワーク内のセキュアな通信を実現するためにデジタル証明書を取得し、使用することを可能にします。PKI のサポートにより、デジタル証明書をサポートする IP セキュリティ プロトコル(IPSec)、インターネット キー交換(IKE)、およびセキュア シェル(SSH)などのアプリケーションの管理機能およびスケーラビリティが実現します。
PKI の設定については、Chapter6, “認証局およびデジタル証明書の設定”を参照してください。
IP Security(IPSec)プロトコルは、加入ピア間にデータ機密保持、データの整合性、およびデータ認証を提供する、Internet Engineering Task Force(IETF)によるオープン規格のフレームワークです。IPSec は、ホスト ペア間、セキュリティ ゲートウェイ ペア間、またはセキュリティ ゲートウェイとホスト間の 1 つまたは複数のデータ フローの保護など、IP レイヤにセキュリティ サービスを提供します。
IPSec の設定については、Chapter7, “IPSec ネットワーク セキュリティの設定”を参照してください。
Fibre Channel Security Protocol(FC-SP)機能は、スイッチ間およびホストとスイッチ間で認証を実行して、企業全体のファブリックに関するセキュリティ問題を解決します。Diffie-Hellman(DH)Challenge Handshake Authentication Protocol(DHCHAP)は、Cisco MDS 9000 ファミリ スイッチとその他のデバイス間で認証を行う FC-SP プロトコルです。DHCHAP は、CHAP プロトコルと Diffie-Hellman 交換を組み合わせて構成されています。
FC-SP の使用により、スイッチ、ストレージ デバイス、およびホストは信頼性の高い管理可能な認証メカニズムを使ってそれぞれのアイデンティティを証明できます。FC-SP の使用により、ファイバ チャネル トラフィックをフレーム単位で保護することで、信頼できないリンクであってもスヌーピングやハイジャックを防止できます。ポリシーと管理アクションの一貫した組み合わせがファブリックを介して伝播されて、ファブリック全体での均一なレベルのセキュリティが実現します。
FS-SP および DHCHAP の詳細については、Chapter8, “FC-SP および DHCHAP の設定”を参照してください。
ポート セキュリティ機能は、1 つ以上の所定のスイッチ ポートへのアクセス権を持つ特定の World-Wide Name(WWN)をバインドすることによって、スイッチ ポートへの不正なアクセスを防止します。
スイッチ ポートでポート セキュリティをイネーブルにしている場合は、そのポートに接続するすべてのデバイスがポート セキュリティ データベースになければならず、所定のポートにバインドされているものとしてデータベースに記されている必要があります。これらの両方の基準を満たしていないと、ポートは動作上アクティブな状態にならず、ポートに接続しているデバイスは SAN へのアクセスを拒否されます。
ポート セキュリティの設定については、Chapter9, “ポート セキュリティの設定”を参照してください。
FC-CT クエリー管理機能により、管理者はストレージ管理者またはネットワーク管理者だけが、スイッチに対してクエリーを送信し、情報にアクセスできるようにネットワークを設定できます。このような情報には、ファブリック内のログイン デバイス、ファブリック内のスイッチなどのデバイス、デバイスの接続方法、各スイッチのポートの数、各ポートの接続先、設定済みゾーンの情報、ゾーンまたはゾーン セットの追加と削除の権限、ファブリックに接続するすべてのホストのホスト バス アダプタ(HBA)の詳細などがあります。
ファブリック バインディングの設定については、Chapter10, “Fibre Channel Common Transport 管理セキュリティの設定”を参照してください。
ファブリック バインディング機能では、ファブリック バインディング設定で指定したスイッチ間だけでスイッチ間リンク(ISL)をイネーブルにできます。この機能を使用すると、不正なスイッチがファブリックに参加したり、現在のファブリック処理が中断されたりすることがなくなります。この機能では、Exchange Fabric Membership Data(EEMD)プロトコルを使用することによって、許可されたスイッチのリストがファブリック内の全スイッチで同一になります。
ファブリック バインディングの設定については、Chapter11, “ファブリック バインディングの設定”を参照してください。
Cisco TrustSec ファイバ チャネル リンク暗号化は、Fibre Channel-Security Protocol(FC-SP)の拡張機能であり、既存の FC-SP アーキテクチャを使用してトランザクションの整合性と機密保持を実現します。暗号化をピア認証に追加することにより、セキュリティを確保し、望ましくないトラフィック傍受を防止します。ピア認証は、Diffie-Hellman(DH)Challenge Handshake Authentication Protocol(DHCHAP)プロトコルを使用した FC-SP 標準に従って実装されます。
TrustSec ファイバ チャネル リンク暗号化については、Chapter12, “Cisco TrustSec ファイバ チャネル リンク暗号化の設定”を参照してください。
Cisco MDS 9000 シリーズ プラットフォームのデフォルト設定には、外部管理インターフェイスに開かれている IP ポートがあります。以下の表にオープン ポートと対応するサービスを示します。
|
|
|
|
|
---|---|---|---|---|
NFS :この範囲のポートがスイッチの NFS サービスで使用されます。これはスイッチ内でのみ使用されます。これらのポートとの間に外部アクセスを提供する必要はありません。この機能をディセーブルにできません。このサービスへのアクセスをブロックするには、ポートの範囲へのアクセスを拒否するように IP アクセス リストを設定します。詳細については、 『Cisco MDS 9000 Family NX-OS Security Configuration Guide』の「Configuring IPv4 and IPv6 Access Control Lists」 のセクションを参照してください。
リモート パケット キャプチャ :このポートはリモート キャプチャ プロトコル(RPCAP)を使用して、ホストの Ethereal プロトコル アナライザのクライアントとの通信に、スイッチのファイバ チャネル アナライザ サービスで使用されます。このサービスはトラブルシューティングに使用され、スイッチの通常の動作のオプションです。この機能をディセーブルにできません。このサービスへのアクセスをブロックするには、ポートの範囲へのアクセスを拒否するように IP アクセス リストを設定します。詳細については、 『Cisco MDS 9000 Family NX-OS Security Configuration Guide』の「Configuring IPv4 and IPv6 Access Control Lists」 のセクションを参照してください。
IPv4 を介した CFS :このポートは IPv4 サービスを介した CFS により使用され、ファブリック内のピア スイッチにスイッチ設定情報を配信します。CFS はスイッチがピアと通信するための重要なサービスですが、複数のトランスポート オプションが使用可能です。正しいトランスポートは、ファブリックの実装によって異なります。このポートは IPv4 サービスを介した CFS をディセーブルにすることによりクローズすることができます。詳細については、 『Cisco MDS 9000 Family CLI Configuration Guide』の「Enabling CFS Over IP」 のセクションを参照してください。
クラスタ :このポートはクラスタ内のピア スイッチと通信するクラスタ サービスにより使用されます。IOA および SME といった機能がこのサービスに依存しています。このような機能が使用されていない場合、クラスタ サービスはスイッチの動作に必要ではありません。このポートはクラスタ サービスをディセーブルにすることによりクローズすることができます。詳細については、 『Cisco MDS 9000 Family Storage Media Encryption Configuration Guide』の「Enabling and Disabling Clustering」 のセクションを参照してください。
ライセンス マネージャ :これらのポートは、License Manager サービスにより使用されます。これはスイッチ内でのみ使用されます。これらのポートとの間に外部アクセスを提供する必要はありません。この機能をディセーブルにできません。このサービスへのアクセスをブロックするには、ポートの範囲へのアクセスを拒否するように IP アクセス リストを設定します。詳細については、 『Cisco MDS 9000 Family NX-OS Security Configuration Guide』の「Configuring IPv4 and IPv6 Access Control Lists」 のセクションを参照してください。