2 セキュアなインストール

このセクションでは、セキュアなインストールと構成の計画および実装プロセスについて説明し、システムの推奨される導入トポロジーをいくつか紹介して、テープライブラリをセキュリティー保護する方法を説明します。

環境を理解する

セキュリティーニーズをよりよく理解するには、次の質問を尋ねる必要があります。

保護する必要があるリソースは何ですか。

本稼動環境の多くのリソースを保護できます。提供する必要があるセキュリティーのレベルを決定する際に、保護を必要とするリソースを考慮します。

だれからリソースを保護しますか。

テープドライブは、インターネット上のすべてのユーザーから保護する必要があります。ただし、企業のイントラネット上の従業員からテープドライブを保護すべきですか。

戦略的リソースの保護が失敗した場合、何が起こりますか。

場合によっては、セキュリティースキームの障害は簡単に検出され、不便なだけと見なされることがあります。あるいは、障害によって会社やテープドライブを使用する個々のクライアントに多大な損害を与える可能性がある場合もあります。各リソースのセキュリティーの影響を理解することで、それらを正しく保護するために役立ちます。

テープドライブをセキュリティー保護する

デフォルトで、テープドライブは次の表に示すポートを使用します。トラフィックでこれらのポートを使用することを許可し、未使用のすべてのポートをブロックするように、ファイアウォールを構成してください。テープドライブは、IPv6 と IPv4 をサポートします。

表2-1 使用されるネットワークポート

ポート	T10000D
22 TCP - SSH VOP	X
22 TCP - SFTP	X
161 UDP - SNMPV1 テープドライブエージェントリクエスト - インバウンドステートフル	X
162 UDP - SNMPV1 テープドライブの TRAP および INFORM 通知 - TRAP の場合アウトバウンドステートレス、INFORM の場合アウトバウンドステートフル	X
23 TCP - TELNET
21 TCP - FTP
9842 TCP - EPT
3331 OKM - チャレンジおよびルート CA サービス	X
3332 OKM – 登録。サイバー強度は AES256	X
3334 OKM – 暗号化鍵交換。サイバー強度は AES256	X
3335 OKM – クラスター検出。サイバー強度は AES256	X

ポート 21 および 23 は、T10000D の顧客には無効化されます。顧客がセキュアでない TELNET やセキュアでない FTP、またはその両方にアクセスする必要がある場合は、VOP 構成オプションを使用できます。

Virtual Operator Panel (VOP) アプリケーションのインストール

VOP は、テープドライブと同じ保護されているネットワークインフラストラクチャー内にあるシステムにのみインストールしてください。VOP がインストールされているシステムには、テープドライブへの制限されたアクセスを保証するために、顧客アクセス制御を適用してください。VOP で使用されるポートについては、表2-1 を参照してください。

Web 起動の VOP インストール手順については、次の VOP ユーザーガイドを参照してください。

http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#vop

インストール後の構成

このセクションでは、インストール後に実行する必要があるセキュリティー構成の変更について説明します。

ユーザー (admin) パスワードを割り当てます。

お客様の admin アカウントパスワードは、サイトでお客様が変更する必要があり、お客様が所有します。パスワードのセキュリティーは Oracle の標準を満たします。テープドライブの寿命を通じて、無限の数のパスワードを使用できます。admin パスワードを忘れた場合は、リセットできます。最初のパスワードは、テープドライブと一緒に発送されたデフォルトのパスワードです。

パスワード管理を適用する

パスワード長や複雑さなどの基本的なパスワード管理規則を管理者パスワードに適用する必要があります。

パスワード管理規則には、次の各規則の少なくとも 1 つが必要です。

8 文字から 16 文字の長さにする
小文字 (a から z)
大文字 (A から Z)
10 進数 (0 から 9)
特殊文字 (.?;:"{}[]()!@#$%&, ...)