Jump to content 日本-日本語

製品 >  ソフトウェア

Whitepaper

HP Systems Insight Managerのセキュリティについて

HP Insight Manager

目次
概要
通信プロトコル
通信のセキュリティ保護
証明書とキーの管理
ブラウザ
オペレーティングシステムへの依存
データベース
監査
コマンド ライン インターフェース
方法:設定チェックリスト
  方法:ロックダウンと操作の容易さ
ポートリスト
PDFファイル ダウンロード
このホワイトペーパーのPDFファイルをこちらからダウンロードしてご覧下さい。
(PDFファイル、88.1KB)
コンテンツに進む

方法:ロックダウンと操作の容易さ


Moderate


Insightマネジメント エージェントは、[証明書による信頼]に設定しなければなりません。このため、パブリック キーを含むHP Systems Insight Managerの証明書をすべての管理対象システムに配布する必要があります。各システムがHP Systems Insight Managerシステムを信頼するように設定されたら、各システムは、指定されたSystems Insight Managerシステムだけから安全なコマンドを受信するようになります。この証明書の配布には、いくつかの方法があります。

第1の方法として、個々のInsightマネジメント エージェントのWebベースのインタフェースを使用して、信頼するHP Systems Insight Managerシステムを指定できます。これにより、エージェントはHP Systems Insight Managerシステムからただちにデジタル証明書を取り出し、ユーザが確認できるようにします。その後、信頼関係が設定されます。この方法はわずかの脆弱性(証明書を取り出す際にHP Systems Insight Managerシステムがスプーフィングされる可能性があり、ユーザの意図とは異なる信頼関係が設定される可能性があります)を含みますが、ほとんどのネットワークでは十分安全な方法です。

第2の方法として、Insightマネジメント エージェントの初期インストールの際に、HP Systems Insight Managerの証明書をインポートできます。この方法は、ユーザの操作でインストールを行う際に手動で実行するか、または自動インストールで設定ファイルを用いて実行することができます。この方法は、上記のスプーフィング攻撃の機会がほとんどないため、第1の方法より安全です。

第3の方法として、Insightマネジメント エージェントがすでに配備されている場合に、OSのセキュリティ機能を使用して、セキュリティ設定ファイルとHP Systems Insight Managerの証明書を管理対象システムに直接配布できます。
  重要:このオプションでは、新しいSSL証明書を生成する場合、HP Systems Insight ManagerのSSL証明書を再配布する必要があります。
管理対象システムのSSHは、CMSからのSSHパブリック キーを必要とするという点で、通常[証明書による信頼]と同じモードで動作します。SSHパブリック キーは、SSL証明書と同じでないことに注意してください。管理対象システムにキーをコピーするには、CMSで「mxagentconfig」を使用します。
  重要:SSHキーペアを再生成する場合、HP Systems Insight ManagerのSSHパブリック キーを再配布する必要があります。

Strong


強力なセキュリティ オプションにより、各セキュリティ機能をすべて利用できます。このオプションは、HP Systems Insight Managerのセキュリティ フレームワークで使用できる最高レベルのセキュリティ機能を提供しますが、この機能を実現するには、ご使用のサーバを操作して追加手順を実行する必要があります。また、このオプションは、認証機関および証明書サーバを含む自身のPKIを使用することにより可能になります。

まず、各管理対象システムおよびHP Systems Insight Managerシステム用の証明書サーバから証明書を生成する必要があります。この手順を実行するには、まず、各種システムで、証明書署名要求(CSR)を生成します。これにより、PKCS#7ファイルが生成されます。次に、このファイルを、証明書サーバに取り出し署名します。その後、結果として生成されるファイル(通常、PKCS#10応答)を各管理対象システムとHP Systems Insight Managerシステムにインポートします。
  重要:セキュリティを最大限に高めるには、何らかの他のメカニズムによりすべての通信が保護されている場合を除いて、これらの手順をネットワーク経由で行わないようにしてください。

このため、Insightマネジメント エージェントの場合、管理対象システムにディスケットを直接挿入し、PKCS#7ファイルを保存して、証明書サーバにアクセスできる安全なシステムに持参します。次に、同様の手順で、PKCS#10応答ファイルをディスケットに保存して管理対象システムに戻し、Insightマネジメント エージェントにインポートします。

次に、証明書サーバのルート証明書(証明書のみ。プライベート キーは不要)を取り出し、HP Systems Insight Managerの信頼証明書リストにインポートします。すべての管理対象システムがこのルート証明書で署名されているため、これにより、HP Systems Insight Managerはすべての管理対象システムを信頼するようになります。

次に、HP Systems Insight Managerシステムから証明書を取り出し、各システムのInsightマネジメント エージェントにインポートする必要があります。これにより、管理対象システムは、HP Systems Insight Managerシステムを信頼するようになります。この証明書は、HP Systems Insight Managerの証明書の配布に使用できる任意の方法で配布できます。ただし、Man-In-The-Middleアタックの可能性があるため、HP Systems Insight Managerシステムからネットワーク経由で直接証明書を取り出すことは避けてください。

上記の作業が完了したら、HP Systems Insight Managerでオプションを有効にして、信頼証明書を要求できます。このオプションで提供される警告は、次のことを明らかにします。証明書サーバで署名された証明書を保有しない管理対象システムには、HP Systems Insight Managerシステムから安全なコマンドが送信されません。ただし、そのハードウェア ステータスは監視されます。
  重要:Moderateオプションと同様に、新しいHP Systems Insight ManagerのSSL証明書が生成された場合はいつでも、そのSSL証明書を管理対象システムに再配布する必要があります。

SSHの場合、CMSが各システムに最初にSSH接続する際に、CMS上のクライアントが管理対象システムのパブリック キーを自動的にインポートして保管します。この最初の接続を安全なネットワーク経由で行わないと、攻撃の対象になる可能性があります。自動インポート機能を無効にするには、「mx.properties」で次の行を追加(または変更)してから、HP Systems Insight Managerを再起動してください。

  MX_SSH_ADD_UNKNOWN_HOSTS=false

その後、各管理対象システムのSSHパブリック キーをCMSに手動でインポートする必要があります。

最初のページへ 前のページへ 次のページへ

Acrobat Readerダウンロード PDFファイルをご覧いただくには、Adobe® Reader®が必要です。
アドビシステムズ社のウェブサイトより、ダウンロード(無料)の上ご覧ください。
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項