Amazon Web Services ブログ

金融業界特集: Amazon FSx for NetApp ONTAP の特徴

このブログは 2022 年 6 月 20 日に Sean Phuphanich(Principal Solutions Architect)、Adam Cerini(Principal Solutions Architect)、Henry Axelrod(Tech Lead for the Storage Partner Segment)によって執筆された内容を日本語化したものです。原文はこちらを参照してください。

金融業界特集の月刊連載における今回の投稿では、Amazon FSx for NetApp ONTAP(FSx for ONTAP)でワークロードを実行するお客様がコンプライアンス、データ保護、コンピューティング環境の分離、API による監査、アクセス制御/セキュリティを実現するための 5 つの重要な考慮事項に焦点を当てています。それぞれの領域において、具体的なガイダンス、推奨されるリファレンスアーキテクチャ、および FSx for ONTAP のサービス承認を効率化するための技術的なコードについて検討します。

FSx for ONTAP は、NetApp ONTAP 上に構築されたフルマネージドファイルストレージサービスで、信頼性が高く、スケーラブルで、パフォーマンスに優れた共有ストレージを提供します。また、SMB、NFS、iSCSI をサポートする AWS で利用できる最初のマルチプロトコルファイルサービスでもあります。フルマネージドサービスであるため、ファイルサーバーとストレージボリュームのセットアップとプロビジョニング、データのレプリケーション、ソフトウェアのインストールとパッチ適用、ハードウェア障害の検出と対処、フェイルオーバーとフェイルバックの管理、手動でのバックアップの実行について心配する必要がなくなります。

FSx for ONTAP は、クラウドおよびハイブリッドクラウドのシナリオで幅広いユースケースに対応し、それぞれの環境に合わせてカスタマイズすることで最適化できます。例えば、FSx for ONTAP はミリ秒未満のレイテンシが実現できる高性能 SSD ストレージを提供しており、Oracle、SAP、VMware、Microsoft SQL Server に適した高性能ストレージとして活用できます。FSx for ONTAP は、事実上無制限で低コストストレージを提供する、伸縮自在なキャパシティプール層を使用して、一般的な NAS ベースのワークロードのコストを最適化することもできます。

FSx for ONTAP は他の NetApp 製品とネイティブに連携し、ハイブリッドクラウドアーキテクチャで重要な役割を果たすことができます。インラインデータ圧縮、重複排除、コンパクション、シンプロビジョニング、レプリケーション(SnapMirror)、ポイントインタイムクローニング(FlexClone)など、データ管理をより安価かつ容易にする追加機能も用意されています。オンプレミスとクラウドで既存の技術スタックを維持したいお客様は、VMware Cloud と FSx for ONTAP を組み合わせることで、移行、ディザスタリカバリ、クラウドバーストなどのユースケースを迅速に実装できます。FSx for ONTAP は、他の AWS サービスである AWS Identity and Access Management(IAM)、Amazon WorkSpacesAmazon Key Management Service(KMS)AWS CloudTrail、および Amazon Elastic Compute Cloud(EC2)、Amazon Elastic Container Service(ECS)、Amazon Kubernetes Service(EKS)といった一般的なコンピューティングサービスとの豊富な統合も備えています。

Amazon FSx for NetApp ONTAP によるコンプライアンスの達成

マネージドサービスである Amazon FSx シリーズの基準により、コンプライアンスの達成が容易になります。コンプライアンス基準を完全に満たすには、お客様は自身の環境を設定し維持する責任があります。セキュリティとコンプライアンスは、AWS とお客様の間で共有される責任です。マネージドサービスではない NetApp Cloud Volumes ONTAP を導入する場合と比較すると、コンプライアンスに準拠した安全なファイルシステムを導入するために必要なお客様の負担は少なくなります。お客様は、環境とサービスを適切に設定するために、ネットワーク接続、暗号化、アクセス制御の要件を決定する必要があります。この記事では、お客様の責任の一部であるセキュリティ設定に関する追加のガイダンスを提供します。

AWS のサービスコンプライアンスページには、Amazon FSx が承認されているすべてのコンプライアンスプログラムが掲載されています。金融業界の読者に向けた短いリストとして、Amazon FSx のコンプライアンスには次のものが含まれます。

  • SOC 1,2,3
  • PCI
  • ISO/IEC 27001:2013, 27017:2015, 27018:2019, and ISO/IEC 9001:2015
  • OSPAR
  • FINMA
  • IRAP

データ保護

保管中の暗号化

FSx for ONTAP では、保管中のデータの暗号化がデフォルトで有効になっており、保管時のデータとメタデータには AES-256 暗号化アルゴリズムが使用されます。データはディスクに書き込まれる前に自動的に暗号化され、読み取られるときに自動的に復号されます。暗号化キーは、AWS KMS を使用して管理され、FSx for ONTAP と統合されます。AWS の暗号化キー管理インフラストラクチャは、連邦情報処理標準規格(FIPS)140-2 承認の暗号化アルゴリズムを使用します。インフラストラクチャは、米国立標準技術研究所(NIST)800-57 の推奨事項に準拠しています。

security encryption

図1: ファイルシステム作成時に暗号化キーを選択する

図 1 に示すように、ファイルシステムを設定するとき、保管中の暗号化に使用されるデフォルトの AWS KMS キーがあらかじめ選択されています。代わりに、独自の AWS KMS キーを指定することもできます。オンプレミスで使用される NetApp Volume Encryption(NVE)は、クラウドで保存するときには必要ありません。

転送中の暗号化

FSx for ONTAP がどのように通信し、どのような目的で通信するかを理解することは、すべての転送プロトコルを安全に保護する上で重要です。SMB、NFS、iSCSI はファイルアクセス用にクライアントによって使用されます。HTTPS は AWS Console、AWS API、ONTAP REST API で使用されます。SSH は ONTAP CLI への管理アクセスに使用されます。

FSx for ONTAP multi AZ architecture

図 2: FSx for ONTAP マルチ AZ アーキテクチャ

図 2 は、ファイルシステムが AWS アベイラビリティーゾーン(AZ)にまたがる様子を示しています。高可用性とノードペア間のデータレプリケーションをサポートするために使用されるノード間通信では、TLS 1.2 が使用されます。クラスタ間通信は、TLS または IPSEC を使用して構成できます(パフォーマンスのためには TLS が推奨されます)。

エンドユーザーからのファイル共有アクセスでは、NFS は暗号化や認証はデフォルトでは有効ではありません。転送中の暗号化は SMB プロトコル 3.0 以降でサポートされていますが、SMB 共有と SMB 暗号化はデフォルトでは無効です。SMB 共有を有効にするには、「Amazon FSx for NetApp ONTAP でマルチプロトコルワークロードを有効にする」の記事をご覧ください。有効にすると、FSx for ONTAP は、ファイルシステムにアクセスするときに、SMB 暗号化を使用して転送中のデータを自動的に暗号化します。SMB 暗号化は、個々の共有で有効にすることも、ストレージ仮想マシン(SVM)で有効にすることもできます。SVM で有効にすると、その SVM のすべての共有で有効になります。FSx for ONTAP は 128 または 256 ビットの暗号化をサポートしていますが、使用する暗号化のレベルはクライアントによって決まります。 SMB 暗号化を有効にする詳細な手順については、ユーザーガイドをご覧ください。

(注意: SVM 名「fsx」は、最初に自動作成された SVM のデフォルト名であり、この記事全体のコードサンプルで「-vserver」引数として使用されます。必要に応じて、「fsx」を SVM の名前に置き換えることができます。)

ONTAP CLI: SVM のすべての共有に対して SMB 暗号化を有効にする

 vserver cifs security modify -vserver fsx -is-smb-encryption-required true

ONTAP は SMB 署名を使用して、ストレージシステムとクライアント間のトラフィックが反射攻撃や中間者攻撃によって侵害されないようにすることで、データファブリックを保護します。これは、SMB メッセージに有効な署名があることを確認することで実現します。この機能はデフォルトでは有効になっていませんが、以下の ONTAP CLI コマンドを使用して有効にすることができます。

ONTAP CLI:

vserver cifs security modify -vserver fsx -kerberos-clock-skew 3 -
kerberos-ticket-age 8 -is-signing-required true

FSx for ONTAP では、デフォルトで複数のバージョンの SMB と NFS が有効になっています(SMB 2 と 3、NFS 3 と 4)。ONTAP CLI を使用して、不要なバージョンを無効にすることができます。

ONTAP CLI: smb 1、smb 2、nfs3、nfs 4 を無効化する

set -privilege advanced
vserver cifs options modify -vserver fsx -smb1-enabled false
vserver cifs options modify -vserver fsx -smb2-enabled false
vserver nfs modify -vserver fsx -v3 disabled
vserver nfs modify -vserver fsx -v4 disabled

ウイルス対策

一括保護が必要なお客様のために、FSx for ONTAP は NetApp ウイルススキャン機能である Vscan をサポートしています。Symantec、Mcafee、または Trend Micro から追加購入したパートナーのウイルス対策アプリケーションと組み合わせることで、FSx for ONTAP は、ファイルシステムに書き込まれる新しいファイルを自動的にスキャンできます。Vscan に使用されるウイルス対策ソフトウェアは、別途購入して導入します。詳細については、Vscan の NetApp ドキュメントを参照してください。

コンピューティング環境の分離

ファイルシステムは、Amazon Virtual Private Cloud(VPC)およびサブネット内にデプロイされた FSx for ONTAP(オンプレミスの ONTAP クラスタに対応)のプライマリリソースです。各ファイルシステムには、ONTAP CLI または ONTAP REST API を使用してデータを管理できる管理エンドポイントと、レプリケーションまたはキャッシュ設定用のクラスタ間エンドポイントがあります。各ファイルシステムには VM によって強制される分離境界があり、別のファイルシステムとリソースを共有しません。

図 3 に示すように、SVM は、データの管理とアクセスのための独自の管理認証情報とネットワークエンドポイントを備えた、論理的に分離されたファイルサーバーです。AWS Console を使用してファイルシステムを作成すると、「fsx」という名前のデフォルトの SVM が作成されます。各 SVM には、固有の認証情報とネットワークアクセス制御があります。SVM には最大 4 つのネットワークエンドポイントがあり、3 つはデータにアクセスするためのエンドポイント(NFS、SMB、および iSCSI)、1 つは SVM を管理するためのエンドポイントです。

endpoints and isolation boundaries

図3: FSx for ONTAP エンドポイントと分離境界

ネットワークアクセス制御のために、AWS セキュリティグループNetwork Access Control Lists が SVM エンドポイントとサブネットに設定されます。セキュリティグループは、FSx for ONTAP ファイルシステムの仮想ファイアウォールとして機能し、受信トラフィックと送信トラフィックを制御します。FSx for ONTAP はさまざまな機能を設定できるため、ユースケースごとに使用するポートを確認し、必要に応じて有効にする必要があります。次のリストには、基本設定に必要な一般的なポートが含まれていますが、ポートの完全なリストはこちらで確認できます。

Protocol Ports Role
All ICMP All Pinging the instance
SSH 22 SSH access to Management endpoint
TCP 443 ONTAP REST API access to Management endpoint
TCP 445 Microsoft SMB/CIFS over TCP
TCP 635 NFS mount
TCP 749 Kerberos
TCP 2049 NFS server daemon
TCP 3260 iSCSI access
TCP 2049 NFS server daemon

View more

ピアリングネットワークからのアクセス

FSx for ONTAP では SVM は、Amazon VPC 内に 4 つのエンドポイントを公開します。シングル AZ モードを使用する場合、すべてのエンドポイント IP は、展開先のサブネットと同じ CIDR(クラスレスドメイン間ルーティング)内にあります。マルチ AZ モードを使用する場合、管理、NFS、および SMB エンドポイントは、Amazon VPC CIDR 外のフローティング IP 範囲(デフォルトでは 198.18.0.0/16)を使用します。Amazon VPC 外からこれらのエンドポイントに接続するクライアントは、推移的ルーティングをサポートする接続方法を使用する必要があります。これには、AWS Transit Gateway(TGW)と AWS VPN の両方が含まれます。これらの IP アドレスは、図 4 に示すように、SVM のコンソールビューで確認できます。

SVM Fixed IP and Floating IP endpoints

図4: SVM の固定 IP とフローティング IP エンドポイント

iSCSI エンドポイントとファイルシステムのクラスタ間エンドポイントは、Amazon VPC CIDR 範囲内の IP アドレスを使用します。つまり、これらのユースケースでは、推移的ルーティングが可能な方法に加えて、Amazon VPC ピアリングなどの非推移的な接続方法も使用できます。図 5 は、Amazon FSx ファイルシステムをオンプレミスの NetApp デバイスと同期するための一般的なパターンを示しています。

FSx for ONTAP syncing with on prem NetApp units

図 5: FSx for ONTAP とオンプレミスの NetApp ボリュームの同期

クラスタ間エンドポイントは、クロスリージョンレプリケーション、FlexCache、または GlobalFileCache にも利用できます。

API による監査の自動化

FSx for ONTAP には、考慮すべき 3 種類の監査証跡があります:

  1. Amazon FSx の管理 API コール
  2. ONTAP CLI コマンド
  3. エンドユーザーのファイル共有アクセス

Amazon FSx の管理 API コール

AWS CloudTrail は、Amazon FSx への API リクエストをログに記録できるサービスです。ボリューム、SVM、またはファイル システムの削除などの管理イベントを追跡するのに役立ちます。AWS CloudTrail はファイルまたはフォルダレベルのイベントを追跡できません。AWS CloudTrail の設定方法の詳細をご覧ください。

監視する主要な API には、CreateFileSystem および DeleteFileSystem があります。

以下は CreateFileSystem に関する AWS CloudTrail ログエントリの例です。異なる Amazon FSx ファイルシステムにも同じ API が使用されることに注意してください。この場合、属性「fileSystemType」は is ONTAP です。

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAAAAABBBBAAAABBBBA:example",
        "arn": "arn:aws:sts::121212121212:assumed-role/example",
        "accountId": "327468301555",
        "accessKeyId": "ASIAAAAABBBBAAAABBBBA",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAAAAAABBBBAAAABBBBA",
                "arn": "arn:aws:iam::121212121212:role/example",
                "accountId": "121212121212",
                "userName": "example"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-03-15T13:35:49Z",
                "mfaAuthenticated": "true"
            }
        }
    },
    "eventTime": "2022-03-15T14:26:58Z",
    "eventSource": "fsx.amazonaws.com",
    "eventName": "CreateFileSystem",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": {
        "clientRequestToken": "f9c77684-0394-111d-a23e-12121212",
        "fileSystemType": "ONTAP",
        "storageCapacity": 1024,
        "subnetIds": [
            "subnet-0101example",
            "subnet-0101example"
        ],
        "securityGroupIds": [
            "sg-0101example",
            "sg-0101example"
        ],
        "kmsKeyId": "arn:aws:kms:us-east-2:121212121212:key/4ccexex-example",
        "ontapConfiguration": {
            "automaticBackupRetentionDays": 7,
            "deploymentType": "MULTI_AZ_1",
            "diskIopsConfiguration": {
                "mode": "AUTOMATIC"
            },
            "preferredSubnetId": " subnet-0101example ",
            "routeTableIds": [
                "rtb-0101example"
            ],
            "throughputCapacity": 128
        }
    },
    "responseElements": {
        "fileSystem": {
            "ownerId": "121212121212",
            "creationTime": "Mar 15, 2022 2:26:57 PM",
            "fileSystemId": "fs-1212example",
            "fileSystemType": "ONTAP",
            "lifecycle": "CREATING",
            "storageCapacity": 1024,
            "storageType": "SSD",
            "vpcId": "vpc-0101example",
            "subnetIds": [
                "subnet-0101example",
                "subnet-0101example"
            ],
            "kmsKeyId": "arn:aws:kms:us-east-2:121212121212:key/4ccexex-example ",
            "resourceARN": "arn:aws:fsx:us-east-2:121212121212:file-system/ fs-1212example",
            "ontapConfiguration": {
                "automaticBackupRetentionDays": 7,
                "dailyAutomaticBackupStartTime": "05:00",
                "deploymentType": "MULTI_AZ_1",
                "endpointIpAddressRange": "198.19.255.0/24",
                "endpoints": {
                    "intercluster": {
                        "dNSName": "intercluster.fs-1212example.fsx.us-east-2.amazonaws.com"
                    },
                    "management": {
                        "dNSName": "management.fs-1212example.fsx.us-east-2.amazonaws.com"
                    }
                },
                "diskIopsConfiguration": {
                    "mode": "AUTOMATIC",
                    "iops": 3072
                },
                "preferredSubnetId": "subnet-0101example",
                "routeTableIds": [
                    "rtb-0101example"
                ],
                "throughputCapacity": 128,
                "weeklyMaintenanceStartTime": "4:04:00"
            }
        }
    },
    "requestID": "d32e1da5-848e-4d44-84b4-d58b7121212",
    "eventID": "659358ca-1ba7-482c-8f96-40cc7121212",
    "readOnly": false,
    "eventType": "AwsApiCall",
    "apiVersion": "2018-03-01",
    "managementEvent": true,
    "recipientAccountId": "121212121212",
    "eventCategory": "Management",
    "sessionCredentialFromConsole": "true"
}

ONTAP CLI コマンド

ONTAP CLI コマンドに関するログはデフォルトで有効になっています。ファイルシステムまたは SVM の管理エンドポイントに ssh でログインすると、ONTAP CLI コマンドが利用できます。ONTAP CLI コマンドに関する監査ログは SVM ごとに保存されます。履歴は、コマンド「security audit log show」を使用して表示できます。FSx for ONTAP は、セキュリティ監査ログエントリに基づいて自動的に監視および警告することはできないため、ログデータをそれらの機能を備えたシステムに転送する必要があります。ONTAP は、監査ログを syslog をサポートする任意の宛先に転送することで、既存のセキュリティ情報およびイベント管理(SIEM)システムと統合できます。ログ転送プロセスと、ログ転送中の TLS 暗号化を有効にする方法については、NetApp のドキュメントをご覧ください。

以下のセキュリティ監査ログの例には、アクセスタスクと操作タスクの両方の監査エントリが含まれます。

example security audit

エンドユーザーのファイル共有アクセス

FSx for ONTAP は、ファイルやディレクトリへのエンドユーザーアクセスなどのイベントを追跡してログに記録する機能を備えているため、ファイルアクセス監査要件をサポートします。これはデフォルトでは有効になっていません。ログに記録できるイベントの例としては、ログインの成功または失敗、ファイルアクセスの読み取り/書き込み、権限の変更などがあります。SMB アクセスと NFS アクセスには異なるイベントがあります。SVM で監査設定を作成し、SVM で有効にする必要があります。イベントログは、EVTX または XML 形式でファイルシステムの特別なフォルダに保存されます。ログは、Windows イベントビューアで表示できます。

ONTAP CLI の次のコマンドは、SVM である「fsx」上にローテーションログを作成します。ローテーションログファイルはサイズが 200 MB に到達したらローテーションされます。最大 10 世代まで保存され、古いファイルから上書きされます。ログのステージングスペースは 2 GB に制限されているため、ローテーションを有効にすることが重要です。

ONTAP CLI: ログローテーションによるファイルアクセス監査ログの設定

vserver audit create -vserver fsx -destination /audit_log -rotate-limit 9 -rotate-size 200M
vserver audit enable -vserver fsx

これらのファイルアクセス監査ログはローカルに保存され、セキュリティ監査ログのように syslog サーバーに転送することはできません。ただし、この記事では取り扱いませんが、追加のツールを使用してログ記録ソリューションを構築することもできます。

System architecture of expanded logging solution
図6: ログ記録ソリューションのシステムアーキテクチャ

ブログ記事「アプリケーションのログファイルを第三者と安全に共有する方法」では、図 6 に示すソリューションについて説明しています。これは、ログのアーカイブ、通知、ログ管理プラットフォームへの取り込みなどの一般的なユースケースに役立ちます。

運用アクセスとセキュリティ

FSx for ONTAP の認証と認可のメカニズムを理解することは、アクセスセキュリティの管理に役立ちます。

Amazon FSx サービス

  • AWS Console –(AWS IAM)
  • Amazon FSx API –(AWS IAM)

FSx for ONTAP ファイルシステム

  • 管理エンドポイント –(SSH)
  • クラスタ間エンドポイント –(事前共有されたパスワード

FSx for ONTAP SVM

  • 管理エンドポイント –(SSH)
  • ファイルアクセスエンドポイント –(Kerberos)
  • iSCSI エンドポイント –(なし)

AWS Console と Amazon FSx API は、バックアップ、ファイルシステムの作成または削除、SVM 管理者パスワードのリセットなどの管理タスクに使用されます。

FSx for ONTAP ファイルシステムのサービスアカウント(NetApp 用語ではクラスタ管理者)には、ファイル システム内のすべての SVM を管理するアクセス権があります。fsxadmin アカウントのパスワードは変更できます。

Amazon FSx ファイルシステム内の分離されたファイルサーバーである SVM には、独自の管理者権限情報があります。SVM 管理エンドポイントは、ONTAP CLI と ONTAP REST API をサポートしています。SVM 管理者は、自身の SVM 内でのみ権限を持ちます。

SMB 共有の場合、ユーザーの認証と認可には Microsoft Active Directory を使用します。詳細については、FSx for ONTAP での Microsoft Active Directory の操作に関するドキュメントを参照してください。

まとめ

この記事では、FSx for ONTAP について、コンプライアンスの達成、データ保護、コンピューティング環境の分離、API による監査の自動化、アクセス制御/セキュリティという 5 つのカテゴリで金融業界のお客様がサービスの承認を迅速化するために役立つ情報を紹介しました。

オンプレミスの NetApp のお客様が AWS に移行するのに役立つ移行計画および戦略ガイドがあります。その他の Amazon FSx for NetApp ONTAP に関するブログはすべてこちらでご覧いただけます。

AWS Industries ブログチャンネルにアクセスして、金融業界のニュースやベストプラクティスを引き続きご覧ください。

翻訳はネットアップ合同会社の Sr. Cloud Solutions Architect for AWS の藤原様、監修は Solutions Architect 佐藤が担当しました。

Sean Phuphanich

Sean Phuphanich

Sean は、AWS の Principal Solutions Architect で、セキュアでスケーラブルなハイブリッドクラウドソリューションに取り組んでいます。Sean はソフトウェア開発と IT リーダーシップのバックグラウンドを持ち、大規模で複雑なワークロードを世界中で簡素化および最適化する支援をしています。

Adam Cerini

Adam Cerini

Adam は、Amazon Web Services の Principal Solutions Architect です。公共部門のお客様がスケーラブルでセキュアかつコスト効率の高いシステムを設計できるよう支援することに重点を置いています。余暇には料理を楽しんだり、ボードゲームを熱心に楽しんだりしています。

Henry Axelrod

Henry Axelrod

Henry Axelrod は、AWS の Partner Solutions Architect 兼 Tech Lead for the Storage Partner Segment です。さまざまな役割を担い、さまざまなストレージおよびバックアップテクノロジーを管理してきた 20 年以上の業界経験があります。AWS に入社する直前、Henry は国際的な M&E 企業でストレージチームを率い、数 PB の大規模なストレージ環境を管理していました。