2017年4月25日火曜日

ラリタンPXのセキュリティ


ラリタンはPDU自体やデータ、接続先のネットワークを保護するため、PDU内にさまざまなセキュリティ対策を施しています。

·         暗号化:ラックPDUは管理ネットワークや、場合によっては商用環境のネットワークにも接続されるため、PDUによって送受信されるデータはすべて暗号化することが重要です。ラリタンはデフォルトで、HTTPSおよびSSHによる安全な暗号化通信を実現しています。以下のような業界で最も強力な暗号化手法を採用しています。

o    HTTPS接続では、AES 128/ 256ビット暗号によるTLS 1.0/ 1.1/ 1.2を使用し、幅広いブラウザをサポートします。

o    SSH接続では、スクリプトのようにパスワード認証では不十分または実行不可能である場合に、公開鍵認証を使用します。

o    SNMP v3接続は、MD5/SHA認証プロトコルおよびDES/AESプライバシープロトコルで暗号化されます。

o    StartTLSの実装により、PDUからリモート認証サーバーへのユーザー認証情報の暗号化転送を保証します。

o    PDUは安全なサーバーであると同時に、リモート認証サーバーに対して安全なクライアントとなります。この場合、OpenLDAPおよびActive DirectoryにはTLSを、RADIUS通信にはCHAPを使用します。 

·         パスワードポリシー:あらゆるセキュリティ対策が実装され、利用可能になっても、パスワードがセキュリティに欠かせない要素であることは変わりません。ラリタンはさまざまな方法を通じて、パスワードが強固かつ最新であるよう保証します。

o    パスワードを強力にするには、大文字・小文字、数字、特殊記号を含めて8文字以上を使用する必要があり、過去3回まで使用したパスワードは禁止します。

o    「パスワード変更の強制」により、初回ログイン後にデフォルトのパスワードを確実に変更させることができます。デフォルトのパスワードのままでは不正侵入者による機器乗っ取りの脅威にさらされます。

o    「パスワードの有効期限」によりパスワードが定期的に更新されるようにし、不正侵入者が既知のセキュリティ侵害からPDUにアクセスすることを阻止します。

·         ファイアウォール:ラックPDUは、シンプルなデータ収集から重要なアラート通知、電源制御に至るまで、さまざまな目的でネットワーク経由で接続されます。システムやユーザーが企業ネットワークのさまざまなセグメントからラックPDUに接続する必要があるため、ラリタンは以下の方法で不正アクセスを完全に遮断することが重要であると考えます。

o    IPベースのアクセスコントロールリスト(IP ACL)ルールは、トラフィックを送受信するホストのIPアドレスに基づいて、PDUに流出入するトラフィックの受け入れまたは破棄を判断します。

o    ロールベースのアクセスコントロール(RBAC)ルールは、IPアクセスコントロールルールと同様に、個々のユーザーの役割に基づいてPDUへのアクセスを許可します。

·         多層防御:ラックPDUは、電力インフラ管理やリモートからの電源制御、あるいはサーバー管理に関して重要な役割を果たします。そのため、ネットワーク侵害からの保護が不可欠です。ラリタンは、ラックPDUが脅威よりも一歩先を進むように、以下のようなさまざまなセキュリティ対策を実装しています。

o    ログイン試行が繰り返し失敗したらアクセスをブロックしてDDoS攻撃を防ぎ、その発信元を記録します。

o    非アクティブなセッションをタイムアウトし、不正アクセスを防ぎます。

o    複数のクライアントからの、同一ログイン認証情報の使用を制限します。

o    制限付きサービス契約の警告を実施し、ユーザーがログイン前に同意するよう要求します。

·         証明書X.509デジタル証明書により、安全な接続(TLS)の当事者双方が本人であることを保証します。パブリックネットワーク経由でのラックPDUへの接続が増加しており、有効な証明書を使用することで中間者攻撃を防御できます。このプロセスをできるだけ効率化するために、ラリタンのラックPDUでは以下の2種類の主要な証明書をサポートしています。

o    CA証明書:認証局が発行・署名する証明書。PDUインタフェースでは、VerisignDigiCertなどの認証局に提供する、証明書署名要求も生成できます。

o    CA証明書が必要とされない場合の自己署名証明書:PDUには、自己署名証明書を生成するインタフェースも備わっています。
ラリタンは、ITおよびデータセンター管理分野での30年以上にわたる先駆的な経験を踏まえ、セキュリティに真剣に取り組んでいます。US-CERTのセキュリティ脆弱性報告を注視し、お客様の安全を確保します。



0 件のコメント:

コメントを投稿