メインコンテンツまでスキップ

ONTAP は PFS ( Perfect Forward Secrecy )をサポートしていますか。

Views:
12
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
network
Last Updated:

に適用されます

ONTAP

回答

PFS ( Perfect Forward Secrecy )は、 TLS 1.2 などの暗号化プロトコルと組み合わせて使用することで、攻撃者がクライアントとサーバ間のすべてのネットワークセッションを復号化するのを防止するためのキー交換方式です。

:セキュリティ標準の組織およびエンティティでは、 PFS 対応の暗号スイートのみを使用する TLS 1.2 以降を使用することを強く推奨します。ドイツの IT セキュリティ機関である Infact は、政府機関向けに TLS 1.2 以上の PFS を義務付けています。

PFS を使用するには、クライアントとサーバ間のキー交換部分で、ネットワーク通信中に各セッションに一意のキーを使用する必要があります。これは、 1 つのネットワークセッションをすでに復号化している攻撃者が、クライアントとサーバ間のすべてのネットワークセッションを復号化できないようにするためです。

ONTAP では、 PFS の主要な交換原則に準拠した暗号スイートのみを使用するように設定できます。これらの暗号スイートを使用するように ONTAP を設定する場合、 1 つのセッションキーが侵害されても、クライアントとサーバ間のすべてのネットワークセッションが直接には影響されないようにすることができます。

たとえば、「中間者攻撃」を利用する攻撃者が以前のネットワークセッションをいくつか記録し、サーバの秘密キーを正常に侵害できるとします。このシナリオでは、 PFS 暗号スイートが使用されている場合、以前に記録されたすべてのネットワークセッションは、異なるキーを使用するため、引き続き保護されます。攻撃者は、以前のセッションのデータにアクセスする前に、個々のセッションを復号化する必要があります。

デフォルトでは、 PFS 対応の暗号だけを使用する必要はありません。ただし、 ONTAP クラスタは、 PFS を使用するキー交換だけを許可するように設定できます。この設定手順については、次の手順で説明します。

advanced 権限レベルから、コマンド「 security config modify 」を使用して、 PFS をサポートする DHE 暗号と ECDHE 暗号だけを有効にします。

: SSL インターフェイスの設定を変更する前に、クライアントが ONTAP に接続する際に、記載されている暗号( DHE 、 ECDHE )をサポートしている必要があります。そうしないと、接続は許可されません。

例:

Cluster01::*> security config modify -interface SSL -supported-ciphers PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

注意:サポートされている暗号として、削除しないでください。クラスタピアリングを機能させるには、 ONTAP 9.5 の PSK: 以降が必要です。詳細については、バグ 1222233 を参照してください。

追加情報

AdditionalInformation_Text :