LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@cruel_summer

ストレージのセキュリティについて【ユーザアクセス編】

Posted at

今回の投稿は少し風味を変えて、セキュリティに着眼した記述にトライしてみる。
ストレージに対するセキュリティの脅威というのは決して小さくない。ネットワークに接続された時点でその脅威にさらされる。

そのようなストレージネットワークを保護するためには具体的な制御が必要となる。
制御を行なう箇所はアクセスパスだ。ストレージリソースにアクセスするためのアクセスパスというものが存在しており、そのアクセスパスを特定し、制御をした場合にはそれを破られないようにしなければならない。

主なアクセスパス

通常、ネットワーク環境に置かれたストレージリソースへのアクセスは下記3つに分類される。

・ユーザとしてのアクセス:アプリケーションが保存されているデータにユーザとしてアクセスする
・管理者としてのアクセス:ストレージだけでなく相互に接続された機器も含めた管理者としてデータにアクセスする
・バックアップ(レプリケーション/アーカイブ)へのアクセス:ネットワークだけでなくバックアップ用機器に対してのアクセス

それぞれのアクセスパスでは、どのような注意点や制御を行なえばいいのか、それぞれについて見ていきたい。

ユーザとしてのアプリケーションへのアクセス

こちらに該当する具体例は、ファイルシステムやデータベースシステムが該当するだろう。
各システムにユーザごとにアクセスを制御する処理を行なう。例えばネットワーク内にホストAとホストBの2ユーザがいて、リソース①とリソース②の2つのアプリケーションがあると例えてみる。

ホストA:リソース①にはアクセスできないが、リソース②にはアクセスが認められている。
ホストB:リソース①にはアクセスが認められているが、リソース②にはアクセスできない。

まずリソースへのアクセスについてアクセスレベルというものがある。機密、制限、公開の3つだ。
機密はユーザからのアクセスはできないレベルのデータである。アクセスできるのは管理者としてのアクセスが必要になるのが一般的だ。次に制限はユーザの中でアクセスの許可・不許可を振り分けるレベルのデータである。ユーザを複数に分けてそれぞれに付与する権限を強弱で制御するやり方だ。上記のホストAとホストBに例えて件はこの制限にまつわるものだ。最後の公開はネットワーク内にいる全ユーザがアクセスできるレベルのデータである。

公開レベルのデータはアクセス許可の判定を行わないタイプのものなので、もし不審なホストがそのネットワーク内に侵入してしまった場合はそのデータにアクセスできてしまうリスクがある。

この制限レベルの例では、ホストAがリソース①にアクセスするためには正規にホストBと同じ権限を付与されるか、資格情報を詐称するか、である。
資格情報を詐称されて不正なデータへのアクセスを防ぐためにはその制御が必要になる。

ユーザアクセスの制御

ユーザの資格情報の詐称を防ぐための方法としてはまずユーザとホストの認証と承認が挙げられる。
この認証と承認はネットワークの外側で実装されるものである。不審なホストがネットワーク内への侵入を制御するセキュリティとして活用されている側面もある。

このようにまずはホストレベルでのアクセスを制御する動きからスタートする。
ネットワークへの接続する前のホストレベルの認証と承認については、LDAP認証やRADIUS認証などが例に挙げられる。また接続前だけでなく接続している最中でも認証を継続的に行なってくれるものとしてCHAP認証なども存在する。

ホスト認証の制御が完了して正規なネットワーク接続が見られたら、次に行なうべきはデータへのアクセス制御である。
ここで代表的な機能として挙げられるのがアクセス制御リスト(Access Control List)である。ネットワーク内のリソースに対するアクセスの制御リストとして、特定のユーザやグループに対して、どのリソースにどのようなアクセス権を付与するかの定義が行なわれる。
このACLはファイルシステムやデータベースなど様々なリソースタイプで使用できるので、データへのアクセス制御にはまずACLの使用を最優先に考えてもいい。

データへのアクセス制御の他に、スイッチ機器によるゾーニングで特定のストレージ機器へのアクセスを制限させるものもあれば、LUNマスキングのようにストレージ機器へのアクセスがされた後に機器内データの特定の論理領域へのアクセスを制御させる機能もある。

あとはデータの暗号化もアクセス制御の一種として数えられるだろう。このようにネットワーク接続前のホストレベルからデータリソースの一歩手前までに至るいくつものアクセスパスへの制御を行なうことでユーザによるデータアクセスは正常に機能するのである。

少し長くなったので、管理者としてのアクセス、バックアップへのアクセスについては次回の投稿で記述したい。

ひとりごと

大型連休が終わり、平日5日間が続く日常が戻ってきた。

6月は祝日がないのはまぁ別に構わないのだが、外出時の服装に最も悩む月。折りたたみ傘も必要になるし、気温も湿気も高くなる日本の夏はやはりいくつになっても慣れない。

今年も冷房の効いた自宅でのんびり過ごす夏になりそう。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?