2018年8月27日月曜日

PrismのパスワードポリシーとAD連携の方法

Prismのパスワードポリシーは昔は結構緩かったのですが、AOS5.8現在では、以下のようなパスワードポリシーがデフォルトで設定されております。(おそらくこれを緩くすることはできない気がします)

  • 8文字以上入力
  • 少なくとも1つの小文字を含む
  • 少なくとも1つの大文字を含む
  • 少なくとも1桁の数字を含む
  • 少なくとも1つの特殊文字を含む
  • 以前のパスワードと少なくとも4文字異なる
  • 最新の5つのパスワードと同じでないこと
  • 2つ以上の連続する文字が同じではないこと
  • 次の4つの文字条件のうち少なくとも4つを含むこと
    (大文字、小文字、数字、および特殊文字)
  • 簡単な言葉でも、辞書で登録されていない単語であること

かなり制約が多いです。

この制約を無視してアカウントを管理する方法の1つとしてAD連携の方法があります。
AD連携によるアカウント管理は簡単にできます。

まずは、AdminユーザーでPrismにログインし歯車メニューから「Authentication」を選択します。

ADを登録するので、「New Directory」 をクリックします。

ADの登録情報を入力します。ADの参照のため、あらかじめCVMが参照するDNSもADのDNSに向けておく必要があります。

これでADの登録ができました。

ちなみに、Authentication Typeを選択すると、ローカルユーザーかDirectory Serviceかの認証方法を制限することができます。

あとは、ユーザーやOUごとにPrism側の権限設定を行っていきます。
Prismの歯車メニューから「Role Mapping」を選択します。


新たにロールを追加しまので、「New Mapping」をクリックします。

ユーザーの登録を行います。

ユーザーやOUなどの入力は手入力となりますので間違えないように注意が必要です。

登録すれば、これで設定は終わりです。

実際にログインをしてみましょう。
ログイン時は、ユーザー名@ドメイン名というUPN形式で入力をします。

これで普通にPrismにログインができます。



AD連携をすると、パスワードポリシーをADに委ねることができますので、難しいパスーワード管理が不要になることと1つのパスワード管理でよくなるという点は非常に便利です。






2018年8月14日火曜日

Nutanixにおける暗号化(Data at Rest Encryption)の紹介(その2)

前回は暗号化の機能についてみていきました。
今回は、AOS5.8で利用できるKMSもAOS内に含めた形の暗号化機能の設定方法についてみていきたいと思います。

まずは、Prismを開き、歯車ボタンから「Data at Rest Encryption」を選択します。



暗号化の設定は現在されておりませんので、Edit Configrationをクリックします。
また画面真ん中の2つの丸が描かれている部分も注目しておいてください。





設定画面が表示されたら、今回はAOS5.8で搭載されたAOSだけで完結する暗号化機能を利用するため「Cluster's local KMS」を選択します。
※外部のKMSを利用する場合は、「An external KMS」を選択します。
選択後、「Save KMS Type」をクリックします。


その後表示される「Enable Encryption」をクリックすると暗号化するために「ENCRYPT」と入力巣をする旨が表示されますので、その通りに(ENCRYPT)入力後Encryptボタンをクリックします。


先ほどの画面に戻ると丸のとろこに鍵マークが表示されています。
これは暗号化設定が完了したことを意味しています。

暗号化設定が完了


なお、KMSの設定を行って最後にEnable Encryption設定を行わないと、以下のように鍵が銀色で表示されます。


暗号化の設定は、実はこれだけです。
今までのKMSの設定や各種パラメーターの不要でさくっと暗号化ができるのは大変便利です。

なお、この暗号化機能はUltimateラインセンスもしくはSelf Encrypting Drives Passwordのライセンスが適用されていない場合、最後のEnable Encryptionボタンが押せないようになっていますので、ライセンスの手配と適用もお忘れなくどうぞ。








2018年8月13日月曜日

Nutanixにおける暗号化(Data at Rest Encryption)の紹介(その1)

Nutanixには、仮想マシンからの書き込まれるデーター等をを暗号化する機能を持っています。この機能がAOS5.6以降、徐々に進化しいよいよ最終形に近い形となりました。
今回はこの暗号化機能について紹介したいと思います。

まずは、暗号化(Data at Rest Encryption)を行うパターンの種別を見ていきましょう。

パターン1(SEDとKMS)
これはNutanixで古くから対応している暗号化形式です。
SEDディスクとは、データーを書き込む際に暗号化に対応した専用のディスクとSSDで、暗号化を行う場合、このSED対応のディスクをあらかじめ購入する必要があります。
また、鍵管理サーバーとしてKMSをNutanixの外に展開しておく必要があります。
(SEDとは、Self Encrypted Diskの略です)

このパターン1は、最もコストがかかり、かつNutanixのソリューションだけで完結することができないというのが特徴です。

この課題から生まれたのがパターン2と3になります。


パターン2(SED不要の暗号化)
パータン1は、やはり専用のディスク(SSD)とKMSという、コストがかかると言うことが課題でした。
そのため、AOS5.6でSEDを採用せず、通常のDiskやSSDで暗号化されたデーターを書き込むようにソフトウェアで処理できる機能が搭載されました。
これにより、今まで暗号化していなかったNutanix環境を暗号化したいと思ったときに、SEDディスクに買い換える必要なく、そのまま暗号化できるようなり大変自由度があがる構成ができるようになったと思います。
ここでの課題は、KMSは、まだ外出し(かつサードパーティー製品)が必要であるということでした。


パターン3(SEDもKMSも不要)
パターン2の課題は、KMSを別途用意するということでした。
KMS自身はサードパーティー製がいくつかありますが、どれがどう対応しているかのコンパチビリティの確認や、そもそもNutanixだけで完結しないと言うことは、シンプルではないというNutanixのコンセプトに合わない問題がありました。
そこでKMS機能もAOSの機能として保有し、そもそも気軽に暗号化ができるようにしようという機能がAOS5.8で搭載されました。
暗号化が必要になったタイミングで、Prism画面をちょちょっと操作するだけでデーターの暗号化ができるようになるという、大変自由度の高い機能が搭載されました。


では、このAOS5.8で搭載された暗号化(Data at Rest Encryption)の機能についてもう少し細かく見ていきたいと思います。


  • データーは完全に暗号化され、ディスクを抜いてそれを読み込んでも読める状態にはなりません。
  • 暗号化されていてもパフォーマンスが悪くなることはありません
  • 暗号化機能は、いつでも無効にすることができます
  • 暗号化機能(Data at Rest Encryption)は、UltimateライセンスもしくはAddOnライセンスを手配する必要があります。
  • AHVの場合、クラスター構成後に暗号化設定を行う必要があります。
    (仮想マシンの作成やImageServiceにイメージを登録後の暗号化設定はできません)
  • ESXiやHyperVは、ストレージコンテナ単位で暗号化を行います。
    そのため、新たにからのストレージコンテナを作成し、暗号化設定を行うと、空のストレージコンテナが暗号化されたコンテナとなります。
  • 最低3ノード以上のCVMが稼働するNutanixクラスターが必要
  • ドライブ上にあるデータセキュリティを強化しますが、CVM間の通信など、ネットワークを経由した転送中のデータは保護しません。

ここで重要なことは、まずAHVの場合は、クラスター作成後にすぐに暗号化設定をしないといけないということです。いろんな仮想マシンを稼働させた後、暗号化させたくなったとしてもAHVの場合はそのクラスターで暗号化を有効化させることができません
vSphereやHyper-Vの場合は、途中からの暗号化は可能ですが、その時点で空のストレージコンテナにのみ暗号化してデーターが書き込まれます。
そのため、vSphereやHyperVの場合、暗号化の設定が終わった後に空のストレージコンテナに仮想マシンをストレージライブマイグレーション(Storage vMotion)を行うことで、データーが暗号化されます。AHVの場合、このStorage vMotionに相当する機能が存在しないため、このような仕様制限が出ていると思われます。

あと、2ノードや1ノードで構成されたNutanixにおいては暗号化機能を利用することはできません。

ライセンスもUltimateかAddOnライセンスでSelf Encrypting Drives Passwordのライセンスを購入する必要があります。

設定は簡単ですが、ちょっとした落とし穴もありますので、注意が必要です。

では、次回は具体的な設定について見ていきたいと思います。