2 セキュアなインストール

このセクションでは、セキュアなインストールと構成の計画および実装プロセスについて説明し、システムの推奨される導入トポロジーをいくつか紹介して、テープライブラリをセキュリティー保護する方法を説明します。

環境を理解する

セキュリティーニーズをよりよく理解するには、次の質問を尋ねる必要があります。

保護する必要があるリソースは何ですか。

本稼動環境の多くのリソースを保護できます。実現する必要があるセキュリティーのレベルを決定する際に、保護を必要とするリソースを考慮します。

だれからリソースを保護しますか。

テープドライブは、インターネット上のすべてのユーザーから保護する必要があります。企業のイントラネット上の従業員からテープドライブを保護すべきですか。

戦略的リソースの保護が失敗した場合、何が起こりますか。

場合によっては、セキュリティースキームの障害は簡単に検出され、不便なだけと見なされることがあります。あるいは、障害によって会社やテープドライブを使用する個々のクライアントに多大な損害を与える可能性がある場合もあります。各リソースのセキュリティーの影響を理解することで、それらを正しく保護するために役立ちます。

テープドライブをセキュリティー保護する

デフォルトで、テープドライブは次の表に示すポートを使用します。トラフィックでこれらのポートを使用することを許可し、未使用のすべてのポートをブロックするように、ファイアウォールを構成してください。テープドライブは、IPv6 と IPv4 をサポートします。

表 2-1 使用されるネットワークポート

ポート
 T10000A T10000B T10000C

22 TCP - SSH VOP

      

22 TCP - SFTP

      

161 UDP - SNMPV1 テープドライブエージェントリクエスト - インバウンドステートフル

X

X

X

162 UDP - SNMPV1 テープドライブの TRAP および INFORM 通知 - TRAP の場合アウトバウンドステートレス、INFORM の場合アウトバウンドステートフル

X

X

X

23 TCP - TELNET

X

X

X

21 TCP - FTP

X

X

X

9842 TCP - EPT

X

X

X

3331 OKM - チャレンジおよびルート CA サービス

X

X

X

3332 OKM – 登録。サイバー強度は AES256

X

X

X

3334 OKM – 暗号化鍵交換。サイバー強度は AES256

X

X

X

3335 OKM – クラスター検出。サイバー強度は AES256

X

X

X

Virtual Operator Panel (VOP) アプリケーションのインストール

VOP は、テープドライブと同じ保護されているネットワークインフラストラクチャー内にあるシステムにのみインストールしてください。VOP がインストールされているシステムには、お客様のアクセス制御を適用して、テープドライブへのアクセスを確実に制限します。VOP で使用されるポートについては、表 2–1 を参照してください。

Web 起動の VOP インストール手順については、次の VOP ユーザーガイドを参照してください。

http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop

インストール後の構成

このセクションでは、インストール後に実行する必要があるセキュリティー構成の変更について説明します。

ユーザー (admin) パスワードを割り当てます。

お客様の admin アカウントパスワードは、サイトでお客様が変更する必要があり、お客様が所有します。パスワードのセキュリティーは Oracle の標準を満たします。テープドライブの寿命を通じて、無限の数のパスワードを使用できます。admin パスワードを忘れた場合は、リセットできます。最初のパスワードは、テープドライブと一緒に発送されたデフォルトのパスワードです。

パスワード管理を適用する

パスワード長や複雑さなどの基本的なパスワード管理規則を管理者パスワードに適用する必要があります。

パスワード管理規則には、次の各規則の少なくとも 1 つが必要です。

  • 8 文字から 16 文字の長さにする

  • 小文字 (a から z)

  • 大文字 (A から Z)

  • 10 進数 (0 から 9)

  • 句読点 (.?;:"{}[]()!@#$%&, ...)