ONTAP は、ブートイメージの整合性をどのように保護しますか。

最後の更新
PDFとして保存

Views:: 62

Visibility:: Public

Votes:: 0

Category:: ontap-9

Specialty:: CORE

Last Updated:

環境

Unified Extensible Firmware Interface（UEFI）を搭載したFAS およびAFF システム
ONTAP 9.4 以降。

回答

ONTAP は、オペレーティングシステムの本物のイメージ（改ざんされていないもの）が常に存在し、起動時にロードされることを確認するセキュアブートメカニズムを提供します。
悪意のある攻撃者は、マルウェア、ルートキット、ボットキットなどをロードして、基盤となるオペレーティングシステムを侵害してアクセスできるようにしようとする可能性があります。このようなアクセスにより、攻撃者は、オペレーティングシステムの知識を知らなくても、原因が損傷したり、データに侵入したり、または基礎となるシステム上でのその他の不正な操作に関与したりする可能性があります。
ONTAP FAS およびAFF システムには、UEFI（Unified Extensible Firmware Interface）対応BIOSと、PKI（公開キーインフラストラクチャ）を使用して署名および検証されたブートローダが含まれています。
ブート時に、BIOSは公開キー署名検証を使用してソフトウェアブートローダを検証します。また、ブート前に、同じシグニチャ検証を使用してONTAP イメージを検証します。何らかの理由で署名の検証に失敗すると、システムがリブートします。
ブートローダーがBIOSをアップデートすると、BIOSアップデートを適用する前に、BIOSが本物のシグネチャを使用しているかどうかが検証されます。

追加情報

『ONTAP 9 Hardening Guide』の「ONTAP image validation」セクションを参照してください。