メインコンテンツまでスキップ

セキュアな環境の実装

環境のセキュリティー要件を評価し、すべてのセキュリティー・リスクを理解して、それらのリスクを最小限に抑えることが重要です。Lenovo XClarity Administrator には、環境の保護に役立つ機能がいくつか含まれています。環境のセキュリティー計画の実施に役立つ情報を以下に示します。

このタスクについて

重要
システム環境のセキュリティー機能、管理手順、および適切な制御の評価、選択、実装は、お客様の責任で行っていただきます。ここで説明するセキュリティー機能を実装しても、環境が完全に保護されるわけではありません。
環境のセキュリティー要件を評価する際、以下の情報を考慮してください。
  • 環境の物理的セキュリティーは重要です。システム管理ハードウェアが置かれている部屋およびラックの利用を制限してください。
  • ウィルスや無許可アクセスなどの既知および新しいセキュリティー脅威からネットワーク・ハードウェアおよびデータを保護するために、ソフトウェア・ベースのファイアウォールを使用してください。
  • ネットワーク・スイッチとパススルー・モジュールのデフォルトのセキュリティー設定は変更しないでください。これらのコンポーネントの工場出荷時のデフォルト設定により、非セキュア・プロトコルが使用不可になり、署名付きファームウェア更新の要件が有効になります。
  • CMM、ベースボード管理コントローラー、FSP、およびスイッチの管理アプリケーションは、これらのコンポーネントの署名付きファームウェア更新パッケージのみを許可して、確実に信頼できるファームウェアのみがインストールされるようにします。
  • ファームウェア・コンポーネントの更新を許可されているユーザーのみがファームウェア更新権限を持つようにしてください。
  • 少なくとも、重要なファームウェア更新が必ずインストールされるようにしてください。変更を行った後は必ず構成をバックアップしてください。
  • DNS サーバーのセキュリティー関連の更新がすべて速やかにインストールされ、最新状態に維持されるようにしてください。
  • ユーザーに、非トラステッド証明書を受け入れないように指示してください。詳しくは、セキュリティー証明書の使用を参照してください。
  • Flex System ハードウェアで改ざん防止オプションを使用できます。ハードウェアが鍵の掛かっていないラックに取り付けられている場合、または開放されている場所に設置されている場合、侵入を防止して、識別するために、改ざん防止オプションを取り付けてください。改ざん防止オプションについての詳細は、Flex System 製品に付属の資料を参照してください。
  • 実施可能であれば、システム管理ハードウェアを別のサブネット内に配置してください。一般的に、管理者のみがシステム管理ハードウェアにアクセスできるようにして、基本ユーザーにはアクセスを許可しないでください。
  • パスワードを選択する際、簡単に推測できる語句 (たとえば、「password」または貴社名) は使用しないでください。パスワードを安全な場所で保管し、パスワードへのアクセスが制限されるようにしてください。貴社のパスワード・ポリシーを実装してください。
    重要
    必ず、デフォルトのユーザー名とパスワードを変更してください。すべてのユーザーにストロング・パスワード規則の順守を要求する必要があります。
  • サーバー上のデータおよびセットアップ・プログラムにアクセスできるユーザーを制御する方法として、ユーザーのパワーオン・パスワードを設定してください。始動パスワードについての詳細は、サーバーに付属の資料を参照してください。
  • 環境内のさまざまなユーザーに対して使用できる多様な許可レベルを使用してください。すべてのユーザーに同じスーパーバイザー・ユーザー ID での処理を許可しないでください。
  • セキュアな通信をサポートするために、環境で以下の NIST 800-131A の基準が満たされていることを確認してください。
    • TLS v1.2 プロトコルを介した Secure Sockets Layer (SSL) を使用する。
    • デジタル署名には SHA-256 以上の強度のハッシュ関数を使用し、その他の用途には SHA-1 以上の強度のハッシュ関数を使用する。
    • RSA-2048、またはより強力な暗号を使用しているか、NIST が承認した 224 ビット以上の楕円曲線暗号を使用している。
    • NIST が承認した対称鍵暗号で、鍵の長さが少なくとも 128 ビット以上のものを使用している。
    • NIST が承認した乱数発生ルーチンを使用している。
    • (可能な場合) Diffie-Hellman 鍵交換メカニズムまたは Elliptic Curve Diffie-Hellman 鍵交換メカニズム (あるいはこの両方) をサポートしている。

    暗号化設定について詳しくは、管理サーバーでの暗号化設定の構成を参照してください。NIST 設定について詳しくは、NIST SP 800-131A コンプライアンスの実装を参照してください。

  • ユーザー・アカウントのセキュリティー設定の変更
    ユーザー・アカウントのセキュリティー設定は、パスワードの複雑さ、アカウントのロックアウト、Web 非アクティブ・セッションのタイムアウトを制御します。設定の値は変更できます。
  • 管理サーバーでの暗号化設定の構成
    管理サーバーの SSL/TLS バージョンと暗号設定を構成できます。
  • 管理対象サーバーのセキュリティー設定の構成
    管理対象サーバーの SSL/TLS バージョンおよび暗号設定を構成できます。
  • セキュリティー証明書の使用
    Lenovo XClarity Administrator は SSL 証明書を使用して、XClarity Administrator とその管理対象デバイス (System x サーバーのシャーシやサービス・プロセッサーなど) との間で信頼できる安全な通信を確立するだけでなく、ユーザーや他のサービスXClarity Administrator の通信も同様に確立します。デフォルトでは、XClarity Administrator、CMM、およびベースボード管理コントローラーは、内部証明機関で発行された自己署名 XClarity Administrator 生成証明書を使用します。
  • Encapsulation の有効化
    Lenovo XClarity Administrator 内の Lenovo シャーシおよびサーバーを管理する場合、Lenovo XClarity Administrator のデバイスのファイアウォール規則を変更して、Lenovo XClarity Administrator からの受信要求のみを受け入れるように構成できます。これは、「encapsulation」と呼ばれます。また、既に Lenovo XClarity Administrator によって管理されているシャーシおよびサーバーでの encapsulation を有効または無効にできます。
  • NIST SP 800-131A コンプライアンスの実装
    NIST SP 800-131A に準拠する必要がある場合は、Lenovo XClarity Administrator を使用した完全に準拠する環境への取り組みを開始します。