はじめに
昨今のサイバーセキュリティを取り巻く環境において、仮想化・インフラ/バックアップ環境といったITシステムについてもランサムウェア被害が話題となっています。最近では、従来型のファイアウォールに加えて、マイクロセグメンテーション、EDR、イミュータブルストレージといったより多面的な防衛機能も増えています。みなさまもIT予算に応じてセキュリティ対策を講じているかと思いますが、ITインフラ製品には、予算をかけなくともセキュリティを向上できる機能も備わっています。
そこで今回は、Nutanixに標準的に実装されているセキュリティ向上機能の例として、「クラスタロックダウン」と「鍵認証によるSSHアクセス」について改めて紹介します。
「クラスタロックダウン」とは
Nutanixでは仮想化・HCI環境を提供する要素として、自社開発のハイパーバイザーである「AHV」と、共有ストレージやクラスターサービスを制御する仮想マシンである「CVM」という2つの代表的なコンポーネントが存在します。これらはLinuxベースのサーバであり、運用の中ではSSHで接続してコマンド操作を実施することも一般的に行われます。そしてデフォルトでは、パスワード認証によるSSHアクセスが許可されており、パスワードさえ知っていれば誰でもアクセスが可能となります。
そこでNutanixに限らず仮想化製品では、一般的に「クラスタロックダウン」と呼ばれるセキュリティ向上機能が提供されており、パスワード認証によるSSHアクセスを無効化したり、鍵認証のみのSSHアクセスを許可したりすることができます。パスワード認証に対して鍵認証では、秘密鍵+パスフレーズを持っている管理者しかアクセスできなくなるため、セキュリティレベルが向上します。Nutanixでは、AHVやCVMがクラスターの構成やストレージのデータを制御する重要な役割を果たしていますので、このように管理アクセスをより厳格化することで、セキュリティ防衛策の一助となります。
最近では、パスワード認証でのSSHアクセスを許可していると、以下のようにNutanixクラスターからinfoレベルのアラートが発行されたりしますので、セキュリティに関する注意喚起もますます強化されてきています。
Nutanixにおけるクラスタロックダウンと鍵認証の設定方法
設定の流れとしては、Nutanixクラスターの管理ツールである「Prism」から、パスワードによるSSHアクセスを禁止し、SSH公開鍵を登録して鍵認証によるアクセスを有効化します。今回は、SSHクライアントツールとして「Tera Term」を使用した手順を紹介します。
▽まずは、Prismの「クラスタ ロックダウン」画面にアクセスし、「パスワードによるリモートログインを有効」のチェックを外します。これで、パスワード認証が無効化されます。
▽実際にパスワード認証でSSHログインを試みると、以下のように認証に失敗し、パスワード認証が選択できなくなります。
▽続いて、鍵認証の設定を実施します。
今回はTera Termを使用して、SSH認証で使用する公開鍵と秘密鍵を作成します。Tera Termを起動し、「SSH鍵生成」から今回はRSAを選択して「生成」をクリックします。ちなみに、Nutanixでは「RSA」または「ECDSA」の鍵タイプがサポートされています。
▽鍵が生成されたら、任意のパスフレーズを設定して「公開鍵」と「秘密鍵」を保存しておきます。今回は以下のように保存しました。公開鍵は「~.pub」ファイルのほうです。
▽鍵の生成と保存が完了したら、「公開鍵」をPrismからクラスターに登録します。Prismにて「新規公開鍵」をクリックします。
▽公開鍵を登録して保存します。
▽公開鍵を登録すると、TeraTermからクラスターVIP宛に鍵認証(秘密鍵)とパスフレーズを使用してSSHアクセスできるようになります。
ちなみに、CVM・AHV共通して「nutanix」ユーザーおよび「admin」ユーザーのみアクセスが許可されます。
まとめ
今回は、ランサムウェアなどのセキュリティ対策の一環として、仮想化・HCI環境側で簡単に設定できる「クラスタロックダウン」機能を紹介しましたが、Nutanixには他にもさまざまなセキュリティ機能が備わっています。Nutanixをすでに導入済みの方も、検討中の方も、Nutanixで活用できるセキュリティ向上機能を改めて見直してみるのはいかがでしょうか。有効な機能はぜひ活用して、みなさまのITインフラのセキュリティレベルを少しでも高めていただければ幸いです。
<参考>
Controlling Cluster Access
https://portal.nutanix.com/page/documents/details?targetId=Nutanix-Security-Guide-v6_5:wc-security-cluster-lockdown-wc-t.html
How to create a password-less SSH login to your Nutanix cluster
https://portal.nutanix.com/kbs/01895
Nutanixに関する他の記事はこちら
著者紹介
SB C&S株式会社
ICT事業本部 技術本部 技術統括部 第1技術部 3課
友松 桂吾 - Keigo Tomomatsu -
DC運用や留学などの経験を経て2019年にSB C&S入社。好きなことは料理とお酒。嫌いなことは睡眠不足。