WAN ブートでサポートされているセキュリティー構成 (概要)

WAN ブートでは、さまざまなレベルのセキュリティーがサポートされています。WAN ブートでサポートされているセキュリティー機能を組み合わせて使用することで、ネットワークのニーズに対応できます。より安全な構成にするほど、多くの管理が必要になりますが、システムデータをより広範に保護できます。よりクリティカルなシステム、または公開ネットワーク経由でインストールを行うシステムには、「セキュアな WAN ブートインストール構成」で説明する構成を選択できます。それ程クリティカルではないシステム、または半プライベートネットワーク上にあるシステムには、「セキュアでない WAN ブートインストール構成」で説明されている構成を検討してください。

このセクションでは、WAN ブートインストールのセキュリティーレベルを設定するための各種構成について簡単に説明します。このセクションではまた、これらの構成に必要なセキュリティーメカニズムについても説明します。

セキュアな WAN ブートインストール構成

この構成は、サーバーとクライアントの間で交換されるデータの完全性を保護し、内容の機密性を保つために役立ちます。この構成は、HTTPS 接続を使用するとともに、クライアント構成ファイルを暗号化するために 3DES または AES アルゴリズムを使用します。また、この構成では、サーバーはインストール時にクライアントに対して身分証明を行うよう要求されます。セキュアな WAN ブートインストールを行うには、次のセキュリティー機能が必要です。

• WAN ブートサーバーとインストールサーバーで、HTTPS が有効になっていること

• WAN ブートサーバーとクライアントに、HMAC SHA1 ハッシュキーが、インストールされていること

• WAN ブートサーバーとクライアントに、3DES または AES 暗号化鍵がインストールされていること

• WAN ブートサーバーに関する認証局のデジタル証明書

インストール時にクライアントの認証も行う場合は、次のセキュリティー機能を使用する必要があります。

• WAN ブートサーバーの非公開鍵

• クライアントのデジタル証明書

この構成を使ってインストールを行うために必要なタスクの一覧については、表 12-1 を参照してください。

セキュアでない WAN ブートインストール構成

この構成では、管理に必要な労力は最小限に抑えられますが、Web サーバーからクライアントへのデータ転送のセキュリティーはもっとも低くなります。ハッシュキー、暗号化鍵、およびデジタル証明書を作成する必要はありません。HTTPS を使用するように Web サーバーを構成する必要もありません。ただし、この構成によるインストールでは、インストールデータとファイルは HTTP 接続を介して転送されるので、ネットワーク上での妨害に対して無防備になります。

転送されたデータの完全性をクライアントでチェックできるようにするには、この構成とともに HMAC SHA1 ハッシュ鍵を使用します。ただし、フラッシュアーカイブはハッシュ鍵で保護されません。インストール時にサーバーとクライアントの間で転送されるアーカイブは、セキュリティー保護されません。

この構成を使ってインストールを行うために必要なタスクの一覧については、表 12-1 を参照してください。