セキュアなアプライアンスを維持するためのベストプラクティス

次のテーブルには、物理環境と仮想環境両方に対してHewlett Packard Enterpriseが推奨するセキュリティのベストプラクティスの一部が記されています。セキュリティに関するベストプラクティスは、お客様やその特定または固有の要件によって異なります。1つのベストプラクティスのセットがすべてのお客様に該当するわけではありません。

項目

ベストプラクティス

アクセス
アカウント
  • ローカルアカウントの数を制限または無効化します。Microsoft Active DirectoryやOpenLDAPなどのエンタープライズディレクトリソリューションとアプライアンスを統合します。パスワードの有効期限、複雑さ、履歴、およびローカルユーザーとグループを無効にするためのエンタープライズディレクトリ機能を使用します。
  • ローカルアカウントを使用する場合は、組み込み管理者アカウントを強化パスワードで保護します。

  • 組み込み管理者アカウントは使用しないでください。すべてのユーザーは、監査を容易にするために、各自の認証情報を使用してログインする必要があります。

監査ログ
  • アプライアンス監査ログを定期的にダウンロードします。

証明書
  • 信頼できる認証機関(CA)によって署名された証明書を使用します。

    HPE OneViewは証明書を使用して認証し、信頼関係を確立します。証明書を使用する最も一般的な例が、WebブラウザーからWebサーバーへの接続を確立するときです。マシンレベルの認証は、SSLを使用して、HTTPSプロトコルの一部として実行されます。証明書は、通信チャネルの設定時にデバイスを認証する場合にも使用できます。

    アプライアンスでは、自己署名証明書とCA署名済みの証明書をサポートしています。

    アプライアンスは最初、Webサーバー、およびState Change Message Bus(SCMB)の自己署名証明書で構成されています。

    詳細については、CA署名付きアプライアンス証明書を参照してください。

    HPE OneViewへのアクセスを保護するために使用される同じCA署名済みアプライアンス証明書は、SCMBサーバー証明書にも使用されます。クライアント証明書はデフォルトでSCMB用に使用できませんが、内部のHPE OneView CAまたは別の信頼済みCAから生成できます。

    Hewlett Packard Enterpriseでは、セキュリティニーズを調べ(つまり、リスク評価を実行し)、信頼できるCAが署名した証明書の使用を検討することをお勧めします。

    • 企業の既存のCAを使用し、その信頼済みの証明書をインポートしてください。信頼済みのルートCA証明書は、HPE OneViewと、HPE OneViewが管理するハードウェアデバイスの両方に展開される必要があります。HPE OneViewは、CAベースの証明書の検証を実行します。接続しているすべてのデバイスには、そのルートCAによって信頼されている証明書が必要です。

    • 企業独自の認証機関がない場合は、商用CAを使用することを検討してください。信頼済みの証明書を提供するサードパーティ企業は多数あります。外部CAを使用して、特定のデバイスおよびシステム用に生成された証明書を取得し、これらの信頼済みの証明書を、使用するコンポーネントにインポートする必要があります。

    インフラストラクチャ管理者で証明書署名リクエスト(CSR)を生成し、受信したらその証明書をアプライアンスWebサーバーにアップロードできます。これにより、アプライアンスへのHTTPS接続の完全性と信頼性を確保できます。証明書はSCMB用にもアップロードできます。

自己署名証明書を商用のCA署名証明書に置き換える場合は、以下の点を考慮してください。
  • 環境内のすべてのデバイスに商用のCA証明書を使用するのか、アプライアンスWebサーバー証明書のみを使用するのかを決定します。

  • 公開キーインフラストラクチャ(PKI)を使用して独自のCA署名証明書を生成するのか、すべての管理対象デバイス用に商用のCA署名付き証明書を購入するのかを決定します。

  • アプライアンスWebサーバー証明書の場合は、CAに次の情報を含めるように要求する必要があります。
    • キー使用法でデジタル署名(Digital Signature)。

    • 鍵暗号値(Key Encipherment)。

    • 拡張キー使用法でサーバー認証またはクライアント認証の値。

    • 基本制約でEnd Entityを値とするSubject Type

    • 証明書の有効期限または有効性。頻繁に期限切れになる商用証明書は管理が困難です。そのため、Hewlett Packard Enterpriseでは、1年から2年の最小有効期間をお勧めします。

    • エンタープライズディレクトリサーバー管理者は、管理対象デバイスのCA署名付き証明書を取得するために使用された証明書署名要求(CSR)のサブジェクト代替名および件名に、ホスト(完全修飾ドメイン名)、解決済みIPアドレス、またはドメイン名のワイルドカードエントリのいずれかが含まれていることを確認する必要があります。

      アプライアンスのIPアドレスまたはホスト名が変更されると必ず、アプライアンスに関連付けられたCA署名アプライアンス証明書はすべて消去され、新しい自己署名アプライアンス証明書が生成されます。この場合、新しいCSRを生成し、それにCAが署名してアプライアンスにインポートする必要があります。

    • ルートCAやその他の中間CAなど、商用のCAにチェーンがある場合、アプライアンスはそれらすべての証明書が信頼できるものと想定しているため、チェーン内のすべての証明書をHPE OneViewにロードする必要があります。

    • 証明書チェーンに存在できる証明書の最大数は9です。アプライアンスは、証明書チェーンの深さが最大限度を超えると、デバイスまたはサーバーに接続できません。証明書チェーンの最大深さは、アプライアンスでデフォルトで設定されており、ユーザーがカスタマイズすることはできません。

    • 証明書失効チェックを実行する場合は、CAから証明書失効リスト(CRL)を設定し、それらを定期的に更新する必要があります。
ネットワーク
  • Hewlett Packard Enterpriseでは、プライベート管理LANを作成し、仮想LANまたはファイアウォール技術(またはその両方)を使用して本番環境LANとは別にしておくこと(air-gappedとして知られる)を推奨します。

    • 管理LAN

      管理LANを使用して、Onboard Administrator、iLO、およびiPDUを含むすべての管理プロセッサーデバイスをHPE OneViewアプライアンスに接続します。

      認定された担当者にだけは、管理LANへのアクセスを許可します。例えば、インフラストラクチャ管理者ネットワーク管理者、およびサーバー管理者です。

    • 本番環境LAN

      管理対象デバイスのすべてのNICを本番環境LANに接続します。

  • Hewlett Packard Enterpriseでは、アプライアンス、iLO、Onboard Administratorなどの管理システムをインターネットに直接接続しないことをお勧めします。

    インバウンドのインターネットアクセスが必要な場合は、ファイアウォールによる保護を提供する、企業の仮想プライベートネットワーク(VPN)を使用してください。アウトバウンドのインターネットアクセス(例えば、Remote Support)には、セキュアなWebプロキシを使用してください。Webプロキシ設定について詳しくは、HPE OneViewヘルプ"Remote Support登録の準備"または"プロキシ設定の構成"を参照してください。

パスワード
  • Hewlett Packard Enterpriseでは、Microsoft Active DirectoryやOpenLDAPなどのエンタープライズディレクトリとHPE OneViewを統合し、Maintenance Console以外のHPE OneViewのローカルアカウントを無効にすることをお勧めします。その後、エンタープライズディレクトリはパスワードの有効期間、パスワードの複雑度、および最小パスワードの長さなど、共通のパスワード管理ポリシーを適用できます。

  • アプライアンスのMaintenance Consoleはローカル管理者アカウントを使用します。Hewlett Packard Enterpriseでは、アプライアンスのMaintenance Consoleアクセス用のパスワードを設定することをお勧めします。

パーミッション

パーミッションは、アプライアンスとアプライアンスによって管理されるリソースへのユーザーアクセスを制御するために使用されます。インフラストラクチャ管理者は、パーミッションを割り当てることによって、ユーザーおよびディレクトリグループに権限を付与します。パーミッションは、役割とオプションのスコープで構成されます。役割は、リソースカテゴリにアクセスを付与します。パーミッションについて詳しくは、HPE OneViewヘルプを参照してください。

  • 役割:HPE OneViewは、リソースカテゴリに対してユーザーが実行できるアクションを記述する一連の役割を定義します。ユーザーまたはディレクトリグループに割り当てられている役割は、アプライアンスによって管理されるリソースのカテゴリで操作を実行する権利を付与します。インフラストラクチャ管理者の役割は、最高レベルのアクセス用に予約しておく必要があります。HPE OneViewヘルプ"ユーザーの役割"を参照してください。

    ユーザーの役割を参照してください。

  • スコープ:スコープを定義し、1人以上のユーザーの管理ドメインを表すリソースのサブセットを割り当てます。パーミッションのスコープを指定すると、その役割によって付与される権限が、特定のリソースインスタンスにさらに制限されます。したがって、異なる役割を持つユーザーのパーミッションでは、一般的な範囲を使用するのが妥当です。

Two-Factor認証
  • HPE OneViewではTwo-Factor認証をサポートしています。セキュリティを強化するためにTwo-Factor認証を展開します。

アップデート
  • https://www.hpe.com/support/e-updates-jaでHPE OneView速報にサインアップします。

  • 定期的に環境内のすべてのコンポーネントのアップデートをインストールします。

仮想環境
  • 認可ユーザーにアプライアンスコンソールへのアクセスを制限することで、認可された担当者のみが、アプライアンスへの特権アクセスを付与することができるHPEサービスリクエストを開始できます。

  • 環境で侵入検知システム(IDS)ソリューションを使用している場合、そのソリューションが仮想スイッチでネットワークトラフィックを認識できるようにする。

  • ハイパーバイザーソフトウェアのベストプラクティスに従ってください。