アクセス |
|
アカウント |
|
監査ログ |
|
証明書 |
信頼できる認証機関(CA)によって署名された証明書を使用します。
HPE OneViewは証明書を使用して認証し、信頼関係を確立します。証明書を使用する最も一般的な例が、WebブラウザーからWebサーバーへの接続を確立するときです。マシンレベルの認証は、SSLを使用して、HTTPSプロトコルの一部として実行されます。証明書は、通信チャネルの設定時にデバイスを認証する場合にも使用できます。
アプライアンスでは、自己署名証明書とCA署名済みの証明書をサポートしています。
アプライアンスは最初、Webサーバー、およびState Change Message Bus(SCMB)の自己署名証明書で構成されています。
HPE OneViewへのアクセスを保護するために使用される同じCA署名済みアプライアンス証明書は、SCMBサーバー証明書にも使用されます。クライアント証明書はデフォルトでSCMB用に使用できませんが、内部のHPE OneView CAまたは別の信頼済みCAから生成できます。
Hewlett Packard Enterpriseでは、セキュリティニーズを調べ(つまり、リスク評価を実行し)、信頼できるCAが署名した証明書の使用を検討することをお勧めします。
企業の既存のCAを使用し、その信頼済みの証明書をインポートしてください。信頼済みのルートCA証明書は、HPE OneViewと、HPE OneViewが管理するハードウェアデバイスの両方に展開される必要があります。HPE OneViewは、CAベースの証明書の検証を実行します。接続しているすべてのデバイスには、そのルートCAによって信頼されている証明書が必要です。
企業独自の認証機関がない場合は、商用CAを使用することを検討してください。信頼済みの証明書を提供するサードパーティ企業は多数あります。外部CAを使用して、特定のデバイスおよびシステム用に生成された証明書を取得し、これらの信頼済みの証明書を、使用するコンポーネントにインポートする必要があります。
インフラストラクチャ管理者で証明書署名リクエスト(CSR)を生成し、受信したらその証明書をアプライアンスWebサーバーにアップロードできます。これにより、アプライアンスへのHTTPS接続の完全性と信頼性を確保できます。証明書はSCMB用にもアップロードできます。
認証機関の使用を参照してください。
自己署名証明書を商用のCA署名証明書に置き換える場合は、以下の点を考慮してください。
|
ネットワーク |
Hewlett Packard Enterpriseでは、プライベート管理LANを作成し、仮想LANまたはファイアウォール技術(またはその両方)を使用して本番環境LANとは別にしておくこと(air-gappedとして知られる)を推奨します。
管理LAN
管理LANを使用して、Onboard Administrator、iLO、およびiPDUを含むすべての管理プロセッサーデバイスをHPE OneViewアプライアンスに接続します。
認定された担当者にだけは、管理LANへのアクセスを許可します。たとえば、インフラストラクチャ管理者、ネットワーク管理者およびサーバー管理者。
本番環境LAN
管理対象デバイスのすべてのNICを実務LANに接続します。
Hewlett Packard Enterpriseでは、アプライアンス、iLO、Onboard Administratorなどの管理システムをインターネットに直接接続しないことをお勧めします。
インバウンドのインターネットアクセスが必要な場合は、ファイアウォールによる保護を提供する、企業の仮想プライベートネットワーク(VPN)を使用してください。アウトバウンドのインターネットアクセス(たとえば、リモートサポート用)には、セキュアなWebプロキシを使用してください。Webプロキシ設定について詳しくは、オンラインヘルプの「リモートサポート登録の準備」もしくは「プロキシ設定の構成」を参照してください。
|
パスワード |
Hewlett Packard Enterpriseでは、Microsoft Active DirectoryやOpenLDAPなどのエンタープライズディレクトリとHPE OneViewを統合し、メンテナンスコンソール以外のHPE OneViewのローカルアカウントを無効にすることをお勧めします。その後、エンタープライズディレクトリはパスワードの有効期間、パスワードの複雑度、および最小パスワードの長さなど、共通のパスワード管理ポリシーを適用できます。
アプライアンスのメンテナンスコンソールはローカル管理者アカウントを使用します。Hewlett Packard Enterpriseでは、アプライアンスのメンテナンスコンソールアクセス用のパスワードを設定することをお勧めします。
|
パーミッション |
パーミッションは、アプライアンスとアプライアンスによって管理されるリソースへのユーザーアクセスを制御するために使用されます。インフラストラクチャ管理者は、パーミッションを割り当てることによって、ユーザーおよびディレクトリグループに権限を付与します。パーミッションは、役割とオプションのスコープで構成されます。役割は、リソースカテゴリにアクセスを付与します。パーミッションについて詳しくは、HPE OneViewのオンラインヘルプを参照してください。
役割:HPE OneViewは、リソースカテゴリに対してユーザーが実行できるアクションを記述する一連の役割を定義します。ユーザーまたはディレクトリグループに割り当てられている役割は、アプライアンスによって管理されるリソースのカテゴリで操作を実行する権利を付与します。インフラストラクチャ管理者の役割は、最高度のアクセス用に予約しておく必要があります。オンラインヘルプの「ユーザーの役割について」を参照してください。
ユーザーの役割についてを参照してください。
スコープ:スコープを定義し、1人以上のユーザーの管理ドメインを表すリソースのサブセットを割り当てます。パーミッションのスコープを指定すると、その役割によって付与される権限が、特定のリソースインスタンスにさらに制限されます。したがって、異なる役割を持つユーザーのパーミッションでは、一般的な範囲を使用するのが妥当です。
|
Two-Factor認証 |
|
アップデート |
|
仮想環境 |
認可ユーザーにアプライアンスコンソールへのアクセスを制限することで、認可された担当者のみが、アプライアンスへの特権アクセスを付与することができるHPEサービスリクエストを開始できます。
環境で侵入検知システム(IDS)ソリューションを使用している場合、そのソリューションが仮想スイッチでネットワークトラフィックを認識できるようにする。
ハイパーバイザーソフトウェアのベストプラクティスに従ってください。
|