WAN ブートでサポートされているセキュリティ構成 (概要)
WAN ブートでは、さまざまなレベルのセキュリティがサポートされています。WAN ブートでサポートされているセキュリティ機能を組み合わせて使用することで、ネットワークのニーズに対応できます。より安全な構成にするほど、多くの管理が必要になりますが、システムデータをより広範に保護できます。パブリックネットワーク経由でインストールを行う、高いセキュリティを必要とするシステムには、セキュリティ保護された WAN ブートインストール構成 で説明する構成を選択できます。半私設のネットワーク上にあり、それほどセキュリティを必要としないシステムには、セキュリティ保護されていない WAN ブートインストール構成 で説明する構成を検討してください。
ここでは、WAN ブートインストールのセキュリティレベルを設定するための各種構成について簡単に説明します。また、これらの構成に必要なセキュリティメカニズムについても説明します。
セキュリティ保護された WAN ブートインストール構成
この構成は、サーバーとクライアントの間で交換されるデータの完全性を保護し、内容の機密性を保つために役立ちます。この構成は、HTTPS 接続を使用するとともに、クライアント構成ファイルを暗号化するために 3DES または AES アルゴリズムを使用します。また、この構成では、サーバーはインストール時にクライアントに対して身分証明を行うよう要求されます。セキュリティ保護された WAN ブートインストールを行うには、次のセキュリティ機能が必要です。
-
WAN ブートサーバーとインストールサーバーで、HTTPS が有効になっていること
-
WAN ブートサーバーとクライアントに、HMAC SHA1 ハッシュキーが、インストールされていること
-
WAN ブートサーバーとクライアントに、3DES または AES 暗号化鍵がインストールされていること
-
WAN ブートサーバーに関する認証局のデジタル証明書
インストール時にクライアントの認証も行う場合は、次のセキュリティ機能を使用する必要があります。
-
WAN ブートサーバーの非公開鍵
-
クライアントのデジタル証明書
この構成を使ってインストールを行うために必要な作業については、表 43–1 を参照してください。
セキュリティ保護されていない WAN ブートインストール構成
この構成では、管理に必要な労力は最小限に抑えられますが、Web サーバーからクライアントへのデータ転送のセキュリティは最も低くなります。ハッシュキー、暗号化鍵、およびデジタル証明書を作成する必要はありません。HTTPS を使用するように Web サーバーを構成する必要もありません。ただし、この構成によるインストールでは、インストールデータとファイルは HTTP 接続を介して転送されるので、ネットワーク上での妨害に対して無防備になります。
転送されたデータの完全性をクライアントでチェックできるようにするには、この構成とともに HMAC SHA1 ハッシュキーを使用します。ただし、フラッシュアーカイブはハッシュキーで保護されません。インストール時にサーバーとクライアントの間で転送されるアーカイブは、セキュリティ保護されません。
この構成を使ってインストールを行うために必要な作業については、表 43–2を参照してください。
- © 2010, Oracle Corporation and/or its affiliates