コミュニティ
HPE Blog, Japan
1819904 メンバー
2010 オンライン
109607 解決策
新規ポスト
 
RSS フィードを購読する
|
bana87

【連載】導入前のアドバイス - HPEサーバーメリット④:セキュリティ

‎11-18-2020 09:47 AM

この記事は2020年12月に更新されました

 

皆様こんにちは、日本ヒューレット・パッカードでサーバーインフラ・仮想化技術関連のPresalesを担当しております、橘です。

「導入前のアドバイス」シリーズということで、随時記事を投稿させていただきます。

これまでの記事のまとめはこちら

今回はHPEサーバーメリット④セキュリティ編ということで、HPE ProLiantサーバーのハードウェアセキュリティについてご紹介いたします。

~サーバーセキュリティも標準搭載のiLOがカギを握る~

HPEサーバーセキュリティおさらい

HPEは他ベンダーに比べても特にセキュリティに力を入れています。近年ではサイバー攻撃やセキュリティ脅威が多様化する中で、サービス提供の要となり、データに最も近い部分であるサーバー単体のセキュリティが重要になってきます。

まずは、HPEのサーバーセキュリティの全体像から見てみましょう。

ざっと並べただけでもこれだけのセキュリティ機能が存在します。重要なのはこれらが追加で高額なセキュリティモジュールを必要とするものではなく、ほとんどがiLOの機能として実装されていることです1

サイバー攻撃対策

  • HPE Silicon Root of Trust
  • ファームウェア改ざん自動検知&自動復旧
  • ファームウェアダウングレードポリシー

情報流出対策

  • One-Button セキュア消去
  • Smart Array Secure Encryption2
  • HDD返却不要オプション付き保守オプション3

その他のセキュリティ機能

  • サーバー構成ロック
  • セキュリティダッシュボード

ここから先は、個別のセクションで詳細をご紹介していきます。

1全ての機能を利用するにはiLO Advanced License が必要になります。iLO Advancedはセキュリティ機能以外にも統合リモートコンソールの利用などに必須のライセンスです。iLO Advancedライセンスで利用可能な機能については下記をご覧ください。                                                                                               https://support.hpe.com/hpesc/public/docDisplay?docId=c04952001ja_jp

2別途Secure Encryptionライセンスが必要です。

3こちらはiLOの機能ではなく保守オプションとなります。

ファームウェアアタックにも耐えうるHPEのサイバー攻撃対策

まずはサイバー攻撃対策です。従来のサイバー攻撃対策と言えば「ファイアーウォール」が鉄板でした。ただ、ファイアーウォールを始めとするいわゆる境界型防御は、一度境界の内側に入ってしまった脅威に関してはほぼノーガードで、検知する機構もない場合がほとんどです。最新の攻撃手法はこの境界を乗り越えてくるものも少なくありません。

2. zero trust_1.png

さらに、皆様が気にされるファイアーウォールはネットワーク層ですが、近年のサイバー攻撃者はセキュリティ対策が比較的手薄なOSやハードウェアといったより下層レイヤーへ目を向けています。皆様のフォーカスポイントとサイバー攻撃者のフォーカスポイントのずれ、ここに大きなリスクが存在しています。

ハードウェア目線のサーバーセキュリティの肝はファームウェアです。ファームウェアへのサイバー攻撃はPDoS (Permanent Denial-of-Service attack) 攻撃とも呼ばれ、サービスが完全に停止したまま二度と復旧することができないといった深刻な被害となります。

1. 脅威.png

これに対してHPEは「ゼロトラスト」という考え方でサーバーセキュリティをとらえています。

「ゼロトラスト」とは、境界の内と外のように分けるのではなく、何も信頼せず常に検証し続けるということです。HPEサーバーは起動時のみならず、起動後も自らサーバーファームウェアを検証し続けることによって正常な状態を保ち続ける「オンラインでのファームウェア検証」機能4があります。さらに、ファームウェア検証の際に改ざんが発覚した場合には自動で復旧する、「セキュアリカバリー」機能4もそなえています。

4 iLO Advanced ライセンス適用時にご使用いただけます。

3. zero trust_2.png

この一連のゼロトラストセキュリティを実現しているのがHPE Silicon Root of Trustになります。標準搭載された自社開発のチップであるiLO内にファームウェアの正常性確認ロジックが組み込まれており、BIOS・ブートローダー等より上位のレイヤーまで認証が届くことでサーバーを安全に起動します。

4. Silicon root of trust.png

このSilicon Root of Trustの技術は、外部からも評価されています。アメリカの大手保険会社がサイバーリスクの低減に効果のあるセキュリティソリューションを認定する「Cyber Catalyst designated solutions 2019」において、セキュリティベンダーが名前を連ねる中でサーバーベンダーとしては唯一HPEの技術が認定されました。そのうちの一つがHPE Silicon Root of Trustです。

5. サイバー保険.png

出典 : https://www.marsh.com/content/dam/marsh/Documents/PDF/US-en/cyber-catalyst-designations-brochure.pdf 

話題になった情報流出対策もばっちりです

2019年末、神奈川県のHDD流出事件が世間をにぎわせました。データ消去委託業者の従業員による犯行でしたが、これを防ぐためには何をすればよかったのでしょうか?解決のアプローチとしては以下の3つがあげられるかと思います。

  1. 自社でデータ消去を行う
  2. あらかじめ暗号化することで物理的に流出したとしてもデータ復元を困難にする
  3. 信頼できる業者に責任をもって処分してもらう

1.に関しては、物理的に破壊するとなると専用の道具が必要であったり、専門的な人員やその人を雇うための人件費・破壊するための場所が必要になります。物理破壊以外にデータ消去を行うにしても、サーバーの運用としては煩雑な手順が伴うのが常でした。

そんなデータ消去に伴うサーバー運用の煩雑さを解決するのがHPEのOne-Button セキュア消去です。

サーバー稼働中の状態からでも、わかりやすいGUIから操作するだけで、サーバー内蔵ディスクはもちろんのことBIOS設定からログに至るまでを一括で消去することができます。多忙なシステム管理者の方でも使用済みサーバーの初期化が簡単に実現可能です。もちろんAPI経由でジョブを流し込むこともできます。

内部の消去方法に関しても、米国のアメリカ国立標準技術研究所(NIST)から出ている媒体サニタイズのガイドラインに準拠しています。

One-Buttonセキュア消去の実行や操作の流れを5分で確認することができる紹介動画もありますので、ぜひご覧ください!

6. One-Button.png

2.の暗号化のアプローチについては、ディスク自体を暗号化する「自己暗号化ディスク」の使用が一般的です。ただ、この自己暗号化ディスクは通常のディスクと比較すると割高ですし、容量のレパートリーが多いとは言えません。大規模なRAID6構成などを組んでいる場合にはすべてのディスクを自己暗号化ディスクにする必要があるなど、暗号化には一定のハードウェア制限があります。

これを解決するHPEのアプローチは、RAIDコントローラーから暗号化する「Smart Array Secure Encryption」です。

ディスクのRAID構成などを管理するRAIDコントローラーから暗号化することで、HPE Gen10サーバーに搭載可能なすべてのディスクの暗号化が可能になります。性能や容量の選択肢が広く、ご要望の構成にも柔軟に対応できるほか、すでに構築・導入済みのディスクに対しても後から暗号化設定を行うことができます。

7. Secure Encryption.png

3.に関しては、HPE側の保守サポートオプションでもメニューやオプションをご用意しています。

通常、ディスク故障・交換の際に交換済みドライブはHPEが持ち帰りしかるべき方法で廃棄処理を行っています。

#詳細は下記リンクをご参照ください                                                                                                              https://h50146.www5.hpe.com/info/whatsnew/fy2016/fy16-10.html

交換ドライブの取り扱いには万全を期しておりますが、使用済みディスクをお客様側で所有したい場合や、その場で磁気によるデータ消去や物理的な破壊処理といった廃棄処理を希望される方向けに保守サービスでのオプションを提供しています。

その名も「HD返却不要オプション」。こちらは交換されてHPEが持ち帰るディスクを皆様の手元に保管できるようになるオプションにです。これに付随して、データ消去オプション付きの保守があります。

こちらのオプションは、皆様のご指定される場所にHPEの作業員が出向き、その場で物理破壊 or 磁気消去作業を行い、作業後のディスクを皆様自身で保管いただくことができるというサービスです。作業後には作業証明書がつき、データ消去が完了したことをHPEが保証するため安心です。こちらもぜひご活用いただければと思います。

8. Option.png

その他のセキュリティ機能

その他のセキュリティ機能ということで最後に二つご紹介いたします。

一つ目がサーバー構成ロックです。

サーバーの構成が意図せず変更されることが無いよう、設定時に各アイテムのデジタルフィンガープリントを生成し、起動時に再度チェックします。CPU, メモリといった物理的なアイテムはもちろん、ファームウェアやセキュリティ構成に関してもチェックを行い、変更が認められた場合には起動をストップします。

HPEからお客様に出荷する場合はもちろん、支店へのサーバーセットアップやデータセンターへの移送など、お客様内でサーバーを移動する必要がある場合にもその真価を発揮します。

9. server lock.png

二つ目はセキュリティダッシュボードです。

こちらはiLOを中心としたセキュリティの状態を一覧でチェック可能なGUIのダッシュボードとなります。最新のファームウェアスキャン結果から、パスワードの複雑さといった部分まで、自分で確認しようとすると意外と手間のかかる部分のステータスを確認することができます。

9. security dashboard.png

参考資料

HPE Gen10セキュリティリファレンスガイド(2019年2月発行)       https://support.hpe.com/hpesc/public/docDisplay?docId=a00018320ja_jp

HPE SmartアレイSR Secure Encryptionインストール/ユーザーガイド(2019年10月発行)https://support.hpe.com/hpesc/public/docDisplay?docLocale=ja_JP&docId=emr_na-a00018950ja_jp 

次回はHPEサーバーメリット編の最後ということでHPE ProLiantサーバーの障害対応についてご紹介いたします。

「導入前のアドバイス」まとめリンク

ラベル:
0 感謝
作者について

bana87

日本ヒューレット・パッカードでサーバーインフラ・仮想化技術関連のPresalesを担当しています。

最新のコメント
過去 30 日間で最も評価の高い著者
Author
Kudos
Sustainable_JP Avatar
Sustainable_JP
3
Kogumasaka Avatar
Kogumasaka
2
すべて表示
上記の意見は、Hewlett Packard Enterpriseではなく、著者の個人的な意見です。 このサイトを使用することで、利用規約と参加規約に同意したことになります