Azure FXT Edge Filer でサポートされている暗号化標準
このドキュメントでは、Azure FXT Edge Filer に必要な暗号化標準について説明します。 これらの標準は、オペレーティング システム バージョン 5.1.1.2 以降で実装されています。
これらの標準は、Azure FXT Edge Filer だけでなく、Avere vFXT for Azure にも適用されます。
Azure FXT Edge Filer のキャッシュまたは個々のノードに接続する管理またはインフラストラクチャ システムはすべて、これらの標準を満たす必要があります。
(クライアント マシンは NFS を使用してキャッシュをマウントします。そのため、これらの暗号化要件は適用されません。その他の妥当な手段を使用してセキュリティを確保してください)
TLS 標準
- TLS1.2 を有効にする必要があります
- SSL V2 と V3 を無効にする必要があります
TLS1.0 と TLS1.1 は、プライベート オブジェクト ストアとの下位互換性のためにどうしても必要な場合には使用できますが、プライベート ストレージを最新のセキュリティ標準にアップグレードすることをお勧めします。 詳細については、Microsoft カスタマー サービスおよびサポートにお問い合わせください。
許可される暗号スイート
Azure FXT Edge Filer では、以下の TLS 暗号スイートをネゴシエートできます。
- ECDHE-ECDSA-AES128-GCM-SHA256
- ECDHE-ECDSA-AES256-GCM-SHA384
- ECDHE-RSA-AES128-GCM-SHA256
- ECDHE-RSA-AES256-GCM-SHA384
- ECDHE-ECDSA-AES128-SHA256
- ECDHE-ECDSA-AES256-SHA384
- ECDHE-RSA-AES128-SHA256
- ECDHE-RSA-AES256-SHA384
クラスター管理 HTTPS インターフェイス (コントロール パネル Web GUI および管理 RPC 接続に使用) は、上記の暗号スイートと TLS1.2 のみをサポートします。 管理インターフェイスに接続するときに、他のプロトコルや暗号スイートはサポートされません。
SSH サーバー アクセス
これらの標準は、これらの製品に埋め込まれている SSH サーバーに適用されます。
SSH サーバーでは、スーパーユーザー "root" としてリモート ログインすることは許可されません。 Microsoft カスタマー サービスおよびサポートのガイダンスの下で、リモート SSH アクセスが必要な場合は、シェルが制限されている SSH "admin" ユーザーとしてログインします。
以下の SSH 暗号スイートは、クラスター SSH サーバーで使用できます。 SSH を使用してクラスターに接続するクライアントに、これらの標準を満たす最新のソフトウェアがインストールされていることを確認してください。
SSH 暗号化標準
| 種類 | サポート状況の値 |
|---|---|
| Ciphers |
aes256-gcm@openssh.com
aes128-gcm@openssh.com aes256-ctr aes128-ctr |
| MAC |
hmac-sha2-512-etm@openssh.com
hmac-sha2-256-etm@openssh.com hmac-sha2-512 hmac-sha2-256 |
| KEX アルゴリズム | ecdh-sha2-nistp521 ecdh-sha2-nistp384 ecdh-sha2-nistp256 diffie-hellman-group-exchange-sha256 |
次のステップ
- Azure FXT Edge Filer クラスターにストレージを追加する方法を確認する
- コントロール パネルに接続してクラスターを管理する
- クライアントをマウントしてクラスターからデータにアクセスする
- 暗号化標準の詳細については、サポートにお問い合わせください