メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

ONTAP は PFS ( Perfect Forward Secrecy )をサポートしていますか。

Views:
279
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
network
Last Updated:

に適用されます

ONTAP

回答

PFS ( Perfect Forward Secrecy )は、 TLS 1.2 などの暗号化プロトコルと組み合わせて使用することで、攻撃者がクライアントとサーバ間のすべてのネットワークセッションを復号化するのを防止するためのキー交換方式です。

:セキュリティ標準の組織およびエンティティでは、 PFS 対応の暗号スイートのみを使用する TLS 1.2 以降を使用することを強く推奨します。ドイツの IT セキュリティ機関である Infact は、政府機関向けに TLS 1.2 以上の PFS を義務付けています。

PFS を使用するには、クライアントとサーバ間のキー交換部分で、ネットワーク通信中に各セッションに一意のキーを使用する必要があります。これは、 1 つのネットワークセッションをすでに復号化している攻撃者が、クライアントとサーバ間のすべてのネットワークセッションを復号化できないようにするためです。

ONTAP では、 PFS の主要な交換原則に準拠した暗号スイートのみを使用するように設定できます。これらの暗号スイートを使用するように ONTAP を設定する場合、 1 つのセッションキーが侵害されても、クライアントとサーバ間のすべてのネットワークセッションが直接には影響されないようにすることができます。

たとえば、「中間者攻撃」を利用する攻撃者が以前のネットワークセッションをいくつか記録し、サーバの秘密キーを正常に侵害できるとします。このシナリオでは、 PFS 暗号スイートが使用されている場合、以前に記録されたすべてのネットワークセッションは、異なるキーを使用するため、引き続き保護されます。攻撃者は、以前のセッションのデータにアクセスする前に、個々のセッションを復号化する必要があります。

デフォルトでは、 PFS 対応の暗号だけを使用する必要はありません。ただし、 ONTAP クラスタは、 PFS を使用するキー交換だけを許可するように設定できます。この設定手順については、次の手順で説明します。

advanced 権限レベルから、コマンド「 security config modify 」を使用して、 PFS をサポートする DHE 暗号と ECDHE 暗号だけを有効にします。

: SSL インターフェイスの設定を変更する前に、クライアントが ONTAP に接続する際に、記載されている暗号( DHE 、 ECDHE )をサポートしている必要があります。そうしないと、接続は許可されません。

例:

Cluster01::*> security config modify -interface SSL -supported-ciphers PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

注意:サポートされている暗号として、削除しないでください。クラスタピアリングを機能させるには、 ONTAP 9.5 の PSK: 以降が必要です。詳細については、バグ 1222233 を参照してください。

追加情報

AdditionalInformation_Text :

 

Scan to view the article on your device