Hitachi Command Suite システム構成ガイド
HUS100,Hitachi AMS2000,Hitachi SMS,およびHitachi AMS/WMSを,パブリックネットワークに接続する場合には注意が必要です。
システム管理者は,多くの場合,管理用のLANと業務用のLANを切り離します。そうすることで,管理用のLANを独立させ,業務用のネットワークから管理用のトラフィックを切り離し,セキュリティ上の危険性を減らしています。もし,業務に使用するLANにSVPのような管理端末が共存していたら,IPネットワーク上のどのエンティティからでもストレージシステムにアクセスできてしまいます。アクセスが意図的なものであるかどうかに関わらず,結果として生じるリスクから,ストレージサービス拒否という現実の障害が発生するおそれがあります。DoS攻撃によって,I/O操作中のポートからストレージの領域がアンバインドされるなど,悪意のある目的で管理用のセッションが乗っ取られる危険性があります。
管理用のLANの構成に関するガイドラインを以下に示します。
- 業務に使用するLANからのトラフィックが管理用のLANを流れたり,経由したりしてはいけません。
- 管理用のLAN上にある管理インターフェースまたはコントローラーを搭載したすべてのホストを最大限に強化して危険性を減らし,ステーションまたはデバイス全体が管理インターフェース以外のソフトウェアによって使用されないようにします(この場合の強化とは,不要なソフトウェアの削除,不要なサービスのシャットダウン,および最新のパッチへの更新を含みます)。
- 管理用のLANは,例えばDevice Managerサーバのように,管理用のLANと業務用のLANの間で仲立ちとして動作しているマシンでだけ,業務用のLANとつながるようにします。
- プライベートLANと管理用のLANの両方につながるマシンを,ファイアウォールの後ろに置くと,意図しないアクセスをさらに防げます。
All Rights Reserved. Copyright© 2014, 2020, Hitachi, Ltd.