メインコンテンツまでスキップ

ONTAP は PFS ( Perfect Forward Secrecy )をサポートしていますか。

Views:
412
Visibility:
Public
Votes:
1
Category:
ontap-9
Specialty:
network
Last Updated:

に適用されます

ONTAP

回答

PFS ( Perfect Forward Secrecy )は、 TLS 1.2 などの暗号化プロトコルと組み合わせて使用することで、攻撃者がクライアントとサーバ間のすべてのネットワークセッションを復号化するのを防止するためのキー交換方式です。

:セキュリティ標準の組織およびエンティティでは、 PFS 対応の暗号スイートのみを使用する TLS 1.2 以降を使用することを強く推奨します。ドイツの IT セキュリティ機関である Infact は、政府機関向けに TLS 1.2 以上の PFS を義務付けています。

PFS を使用するには、クライアントとサーバ間のキー交換部分で、ネットワーク通信中に各セッションに一意のキーを使用する必要があります。これは、 1 つのネットワークセッションをすでに復号化している攻撃者が、クライアントとサーバ間のすべてのネットワークセッションを復号化できないようにするためです。

ONTAP では、 PFS の主要な交換原則に準拠した暗号スイートのみを使用するように設定できます。これらの暗号スイートを使用するように ONTAP を設定する場合、 1 つのセッションキーが侵害されても、クライアントとサーバ間のすべてのネットワークセッションが直接には影響されないようにすることができます。

たとえば、「中間者攻撃」を利用する攻撃者が以前のネットワークセッションをいくつか記録し、サーバの秘密キーを正常に侵害できるとします。このシナリオでは、 PFS 暗号スイートが使用されている場合、以前に記録されたすべてのネットワークセッションは、異なるキーを使用するため、引き続き保護されます。攻撃者は、以前のセッションのデータにアクセスする前に、個々のセッションを復号化する必要があります。

デフォルトでは、 PFS 対応の暗号だけを使用する必要はありません。ただし、 ONTAP クラスタは、 PFS を使用するキー交換だけを許可するように設定できます。この設定手順については、次の手順で説明します。

advanced 権限レベルから、コマンド「 security config modify 」を使用して、 PFS をサポートする DHE 暗号と ECDHE 暗号だけを有効にします。

: SSL インターフェイスの設定を変更する前に、クライアントが ONTAP に接続する際に、記載されている暗号( DHE 、 ECDHE )をサポートしている必要があります。そうしないと、接続は許可されません。

例:

Cluster01::*> security config modify -interface SSL -supported-ciphers PSK:DHE:ECDHE:!LOW:!aNULL:!EXP:!eNULL:!3DES:!kDH:!kECDH

注意:サポートされている暗号として、削除しないでください。クラスタピアリングを機能させるには、 ONTAP 9.5 の PSK: 以降が必要です。詳細については、バグ 1222233 を参照してください。

追加情報

AdditionalInformation_Text :

 

NetApp provides no representations or warranties regarding the accuracy or reliability or serviceability of any information or recommendations provided in this publication or with respect to any results that may be obtained by the use of the information or observance of any recommendations provided herein. The information in this document is distributed AS IS and the use of this information or the implementation of any recommendations or techniques herein is a customer's responsibility and depends on the customer's ability to evaluate and integrate them into the customer's operational environment. This document and the information contained herein may be used solely in connection with the NetApp products discussed in this document.
Scan to view the article on your device