fujitsu storage eternus dx series/af series … fujitsu storage eternus dx series/af series fujitsu...
TRANSCRIPT
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
FUJITSU Storage ETERNUS DX series/AF series
ETERNUS SF AdvancedCopy Manager ストレージ機能を用いたセキュアーなファイル受け渡し ガイド
ETERNUS DX series/AF series と ETERNUS SF AdvancedCopy Manager の組み合わせにより、
ネットワークを分離した環境間のファイル受け渡しが簡単に実現します。
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 2 of 13 http://www.fujitsu.com/jp/eternus/
目次
1. セキュアーなファイル受け渡しとは 4 2. ファイル受け渡し方式の比較 5
LAN を利用したファイル受け渡し方式 5 媒体を利用したファイル受け渡し方式 6 ストレージを活用したファイル受け渡し方式 7 各方式の比較・評価 8
3. ETERNUS DX series/AF series を活用したファイル受け渡しの説明 9
構成 9 ETERNUS SF AdvancedCopy Manager CCM によるファイル受け渡し方式 11
4. まとめ 12 付録 運用フロー 13
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 3 of 13 http://www.fujitsu.com/jp/eternus/
はじめに 近年、企業が取り扱う個人情報の流出や、改竄、ウイルスによるシステム破壊等、情報セキュリティ対策の脆弱性をついた攻撃により、多額
の補償費用の発生、企業イメージのダウンが大きな問題となっています。企業はデータおよびシステムの保護のため、よりいっそうのセキュリ
ティ対策を必要としています。 セキュリティ対策の一つに、ネットワーク分離とファイルのウイルス対策やファイル無害化、およびネットワークのセキュリティ確保を組み合わ
せた方法があります。ネットワークのセキュリティ確保に FUJITSU Storage ETERNUS DX series/AF seriesと ETERNUS SF AdvancedCopy Managerを利用することで、イントラネットとインターネット接続環境間の LANを経由しないファイル受け渡しが実現できます。これによりイントラネットへの侵入を防ぎ、イントラネット(内部)からの情報流出リスクを軽減します。 本書は、FUJITSU Storage ETERNUS DX series/AF series と ETERNUS SF AdvancedCopy Manager を用いたファイル受け渡し方式を説明します。 FUJITSU Storage ETERNUS DX series/AF series と ETERNUS SF AdvancedCopy Manager を用いた方式と他のファイル受け渡し方式の比較、システムに適用する際の構成を説明します。
前提
本書は、2017 年 4 月時点の製品ラインナップ・製品情報で記載しています。
対象読者
新規システムのセキュリティ対策をご検討の方、または導入済みシステムのセキュリティ強化施策をご検討の方。
略称
本書では、以下の略称を用います。
・FUJITSU Storage ETERNUS DX series/AF series ・・・ ETERNUS DX series/AF series
・ETERNUS SF AdvancedCopy Manager Copy Control Module ・・・ ETERNUS SF AdvancedCopy Manager CCM
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 4 of 13 http://www.fujitsu.com/jp/eternus/
1. セキュアーなファイル受け渡しとは 標的型攻撃や情報漏洩のリスクからイントラネットを保護するために、イントラネットとインターネットへ接続可能な環境のネットワークを分離し、
直接インターネットへアクセスしない方法が注目されています。ネットワーク分離におけるインターネットアクセスの一般的な方法として、イント
ラネット内の業務端末からインターネット接続環境の仮想端末をリモートデスクトップで利用する方法があります。 業務端末では、Web サイトやクラウド上のシステムとファイルの受け渡しを行う場合があります。インターネットからファイルを取得する場合は、
仮想端末でダウンロードしたファイルをイントラネットへ送ります。インターネットへファイルを送る場合は、イントラネットからファイルをインター
ネット接続環境へ送り、インターネット接続環境からインターネット上のサイトへアップロードします。
図-1 イントラネットとインターネット接続環境のファイル受け渡し イントラネットを保護するために、ファイル受け渡し経路を利用した情報漏洩、不正アクセスへの対策が必要です。本書ではインターネット接
続環境とイントラネット間のファイル受け渡しをセキュアーに行う方法を説明します。
インターネット
仮想端末
インターネット接続環境イントラネット
業務端末
クラウドWebサイト
ネットワーク分離
ファイル
ファイルの取り込み
ファイルの受け渡し
インターネットアクセス
ダウンロード
アップロード
インターネット接続環境-イントラネット間のファイル受け渡し
リモートデスクトップ接続
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 5 of 13 http://www.fujitsu.com/jp/eternus/
2. ファイル受け渡し方式の比較 インターネット接続環境とイントラネット間のファイル受け渡しは、LAN を利用した方式や媒体を利用した方式のほか、ストレージを活用した方式があります。本章では以下の 3 種類の方式をセキュリティ、コスト、利便性の観点で比較・評価します。
LAN 利用したファイル受け渡し方式 インターネット接続環境とイントラネットを LAN で接続し、通信プロトコルを使用してファイルの受け渡しを行う方式です。
媒体を利用したファイル受け渡し方式 インターネット接続環境とイントラネット間を接続せず、媒体を使用してファイル受け渡しを行う方式です。USB メモリや、テープ等の媒体を使用します。
ストレージを活用したファイル受け渡し方式 インターネット接続環境とイントラネットの双方に接続するストレージを配置し、ストレージのコピー機能を使用して環境間のファイルの
受け渡しを行う方式です。ストレージに NAS を利用する方式と、ETERNUS DX series/AF series などのブロックストレージとファイルサーバを組み合わせ、サーバ、ストレージ間に SAN を利用する方式があります。
LANを利用したファイル受け渡し方式
インターネットとイントラネットを LAN で接続し、ファイル転送サーバやファイル共有サーバと通信プロトコルで転送する方式です。ファイル受け渡し元、受け渡し先に用途に応じたファイル転送製品やファイル共有製品が利用できます。製品間をアプリケーションレベルで連携するため、
ファイル単位の即時連携のほか、通知機能、承認ワークフローやユーザー認証、送達確認、ログ採取など製品が提供する豊富な機能が利
用できます。
図-2 LANを利用したファイル受け渡し方式
LAN を利用したファイル受け渡し方式は、インターネット接続環境とイントラネット間の Firewall によるアクセスコントロールが必須となります。Firewall に通信用のポートを空ける必要があるため、空けたポートを利用したイントラネットへの侵入やイントラネット内部からの情報漏洩のリスクがあります。 LAN を利用したファイル受け渡し方法は、イントラネットからインターネットへファイルを受け渡す場合も同じ方法で実現できます。
イントラネット インターネット接続環境
業務端末
専用製品による豊富な機能
承認 認証
送達確認 ログ
ファイル転送サーバ
LAN
インターネット
クラウドWebサイト
ファイルダウンロード
転送通知、転送
ファイル単位の即時連携
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 6 of 13 http://www.fujitsu.com/jp/eternus/
媒体を利用したファイル受け渡し方式
媒体利用した方式は、USB メモリや、CD、DVD、テープ等過般媒体を利用したファイルの受け渡し方式です。ネットワークが完全に分離した環境間で最も安価にファイルの受け渡しができます。ただし、媒体へのデータ格納、抽出に時間がかかり、媒体搬送が必要なため利便性に劣り
ます。人が介在するため、盗難や紛失のリスクがあります。
図-3 媒体を利用したファイル受け渡し方式
イントラネット インターネット接続環境
業務端末
媒体搬送
インターネット
クラウドWebサイト
ファイルダウンロード
取り出し 格納
USBメモリ、CD、DVD、テープ等
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 7 of 13 http://www.fujitsu.com/jp/eternus/
ストレージを活用したファイル受け渡し方式
インターネット接続環境とイントラネット双方からストレージを接続し、ストレージのボリュームコピー機能により環境間の受け渡しを行う方式で
す。1 台のファイル共有サーバを利用する場合と同じ利便性があります。インターネット接続環境とイントラネット間のネットワークが完全に分
離されるため、ファイル受け渡し経路に Firewall によるアクセスコントロールが不要です。ストレージを利用した方式には、NASを利用した方式と SAN を利用した方式があります。
NASを利用したファイル受け渡し方式
NASを利用した方式は、1台の NAS装置にインターネット接続環境からアクセス可能な環境と格納先ボリューム、イントラネットからアクセス可能な環境と格納先ボリュームを用意し、格納先ボリュームのコピーにより、ボリュームごとファイルの受け渡しを行います。インターネット接続
環境とイントラネット間の LAN が NAS 装置内で分離していることと、ボリューム間のコピーが一方通行であるため、受け渡し経路を利用した情報漏洩リスクがありませんが、各端末と 1 台の NAS 装置が LAN で接続しているため、不正アクセス防止の検討が必要です。
SANを利用したファイル受け渡し方式
SAN を利用した方式は、1 台の ETERNUS DX series/AF seriesに各環境専用のファイルサーバ 2台を SAN で接続し、各ファイルサーバのファイル格納先ボリュームと受け渡し用に中間ボリュームを用意します。各ボリューム間をストレージの機能により筐体内で高速にコピーし、ボリュ
ームごとファイルの受け渡しを行います。ボリューム間のコピーが一方通行であり、かつ中間ボリュームを経由することでイントラネット側のボ
リュームの存在がインターネット接続環境から認識されることがありません。 また、SANを利用した方式は、各環境の LANと ETERNUS DX series/AF seriesが分離しているため、端末からストレージへのアクセスが抑止されます。SAN を他のサーバ、ストレージと共有していた場合もホストアフィニティにより他のサーバからのボリュームアクセスが抑止できます。 ETERNUS DX series/AF seriesとファイルサーバを組み合わせたファイル受け渡し方式は、ネットワークを利用した不正アクセスリスクが最も少ない方式です。
図-4 ETERNUS DX series/AF series とファイルサーバを組み合わせたファイル受け渡し方式
また、ETERNUS DX series/AF seriesとファイルサーバを組み合わせた方式は、ファイルサーバに任意のソフトウェアを導入できるためファイルサ
ーバの自由な活用が可能です。セキュリティ要件に応じて、任意のウイルス対策製品や取り込みファイルの無害化製品の導入等に利用でき
ます。 SAN を利用したファイル受け渡し方式は、イントラネットからインターネットへファイルを受け渡す場合も同じ方法で実現できます。 イントラネットからファイルを持ち出す際は、情報漏洩対策としてファイルチェックを別途ご検討ください。
イントラネット インターネット接続環境
業務端末
ETERNUS DX series/AF series
LANSAN
各環境のファイルサーバとSAN接続
LANから分離
筐体内で高速にボリュームコピー
インターネット
クラウドWebサイト
ファイルダウンロード格納取り出し LAN
SAN
ファイルサーバファイルサーバファイルは、ストレージに格納する前にセキュリティ対策(ウイルス対策、ファイル無害化)を施してください。
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 8 of 13 http://www.fujitsu.com/jp/eternus/
各方式の比較・評価
各ファイル受け渡し方式を比較・評価します。
カテゴリ LAN を利用した方式 媒体を利用した方式 NAS を利用した方式 SAN を利用した方式
セキュリティ △
環境間の物理ネットワーク
が同一であるため、通信ポ
ートを利用した不正アクセ
ス、情報漏洩のリスクがあ
る。
△ 人の介在による情報漏洩や
盗難リスクがある。
○ ファイル受け渡しの方向が
一方通行。 ネットワークがNAS装置により遮断されるが、NAS 装置へ不正アクセスリスクがあ
る。
◎ ファイル受け渡しの方向が
一方通行。 中間ボリュームによりコピー
先ボリュームを隠蔽。 ネットワークが SANで遮断されるため、不正アクセスのリ
スクが最も少ない。 導入コスト
○ 機能に応じた製品が選択で
き、導入が容易である。 LAN を利用するためネットワークにかかるコストが低い
が、ファイル受け渡し経路の
Firewall の設定が必要。
◎ 媒体価格が安価であり、最
もコストがかからない。
△ NAS 装置導入にコストがかかる。
△ ETERNUS DX series/AF seriesおよびファイルサーバの導
入にコストがかかる。
運用コスト ○
ファイル転送製品のほか、
ユーザー単位の運用管理と
Firewall のメンテナンスが必要。
△ 媒体管理、連携時に人が介
在するため多くのコストがか
かる。
◎ NAS 装置の運用が必要。ネットワーク製品のメンテナン
スが不要。
◎ ETERNUS DX series/AF seriesおよびファイルサーバの運
用が必要。ネットワーク製品
のメンテナンスが不要。
ユーザーの 利便性 ◎
ファイル単位の即時連携が
可能。製品の機能により到
着通知や、到達確認、承認
ワークフロー等、ユーザー・
ファイル単位の機能が利用
できる。
△ 媒体への格納、搬送、抽出
に時間がかかる。
○ ボリューム単位の連携。ファ
イル共有サーバと同じ利便
性があるが、ファイルの格
納と連動したコピー機能や
通知機能がない。
○ ボリューム単位の連携。ファ
イル共有サーバと同じ利便
性があるが、ファイルの格
納と連動したコピー機能や
通知機能がない。
※比較評価 ◎:最も優位性がある ○:優位性がある △:優位性がない
表-1 ファイル受け渡し方式の比較・評価 SAN を利用した方式は、LAN を利用した方式よりコストがかかりますが、ネットワークを利用した不正アクセス、情報漏洩のリスクが最も少なくかつファイル共有サーバを利用する場合と同じユーザー利便性がある方式です。イントラネットのセキュリティを重視するシステムに適しま
す。
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 9 of 13 http://www.fujitsu.com/jp/eternus/
3. ETERNUS DX series/AF series を活用したファイル受け渡しの説明 SAN を利用したファイル受け渡しに ETERNUS DX series/AF series とファイルサーバ、ETERNUS SF AdvancedCopy Manager CCM を組み合わせた
構成と、ETERNUS SF AdvancedCopy Manager CCM のコピー機能を用いたファイル受け渡し方式を説明します。
構成
ETERNUS DX series/AF series とファイルサーバのハードウェア、ネットワーク、ソフトウェア構成と、ファイル受け渡し用のボリューム構成を説明します。
ハードウェア・ネットワーク構成
ストレージに ETERNUS DX series/AF series 1台とファイルサーバに PRIMERGY2台を使用します。ファイルサーバは、イントラネットとインターネット接続環境に配置し、ストレージは、環境間またはイントラネット内に配置します。
図-5 ハードウェア・ネットワーク構成
ファイルサーバとストレージ間の SANは FCまたは iSCSIで構成します。各ファイルサーバは、それぞれの環境の業務 LANと接続します。ストレージの管理・監視用に ETERNUS DX series/AF seriesを管理 LANに接続します。管理 LANは、管理専用の LANまたはイントラネット側の LANを使用します。
ソフトウェア構成
ファイルサーバ OSにWindows Serverまたは Linuxを使用します。イントラネット側ファイルサーバは、ETERNUS SF AdvancedCopy Manager CCMを導入し、イントラネット側からボリュームのコピーを制御します。ETERNUS SF AdvancedCopy Manager CCM は、SAN 経由の ETERNUS DX series/AF series のアドバンスト・コピー機能の利用をサポートする、ETERNUS SF AdvancedCopy Manager のツールです。以下にソフトウェアの実装図を示します。
図-6 ソフトウェア実装
ETERNUS SF AdvancedCopy Manager CCM によるアドバンスト・コピー機能の利用には ETERNUS SF AdvancedCopy Manager 16 Standard Edition ライセンスと ETERNUS DX series/AF series ストレージハードウェア提供の「アドバンスト・コピー機構」のライセンスが必要です。 以下のライセンスパックを手配することで、ETERNUS SF AdvancedCopy Manager と「アドバンスト・コピー機構」のライセンスを一括購入できます。
・ETERNUS SF AdvancedCopy Manager Standard Edition ライセンスパック 16
ETERNUS DX series/AF series
インターネット接続環境イントラネット
SAN SAN
ファイルサーバファイルサーバPRIMERGYPRIMERGY
凡例
SAN
業務LAN 業務LAN
LAN
管理LAN
ソフトウェア
ハードウェア
ストレージ
ファイルサーバ
OS
ミドルウェア
Windows
ETERNUS SFAdvanced Copy Manager CCM
イントラネット
Windows
インターネット接続環境
PRIMERGYPRIMERGY
ETERNUS DX series/AF series
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 10 of 13 http://www.fujitsu.com/jp/eternus/
ボリューム構成
ファイル受け渡しに同一容量の論理ボリューム(コピー元ボリューム、中間ボリューム、コピー先ボリューム)を使用します。ファイル受け渡し用のボリュームのほかに ETERNUS SF AdvancedCopy Manager CCM がコピー指示を行うためのボリュームが必要です。各ボリュームは、ETERNUS DX series/AF series に Standard Volume または Tin Provisioning Volume(TPV)として割り当てます。 各ボリュームは接続サーバ別のアフィニティグループに登録し、他のサーバからのアクセスを抑止します。コピー元ボリュームは、インターネ
ット接続環境のファイルサーバと接続します。コピー先ボリュームと CCM用ボリュームはイントラネットのファイルサーバと接続します。中間ボリュームはいずれのサーバにも接続しません。
図-7 ボリューム構成
ETERNUS DX series/AF series
コピー先ボリューム(Standard Volume
またはTPV)
中間ボリューム
(Standard VolumeまたはTPV)
コピー元ボリューム(Standard Volume
またはTPV)CCM用
ボリューム
凡例
サーバ接続先
イントラネット インターネット接続環境
ファイルサーバファイルサーバ
コピー元ボリューム、中間ボリューム、コピー先ボリュームは、同一容量
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 11 of 13 http://www.fujitsu.com/jp/eternus/
ETERNUS SF AdvancedCopy Manager CCM によるファイル受け渡し方式
ETERNUS SF AdvancedCopy Manager CCMは ETERNUS DX series/AF seriesのアドバンスト・コピー機能をサポートします。ファイル受け渡しは、アドバンスト・コピー機能による論理ボリュームのコピーを組み合わせて行います。はじめに送信元ボリュームから中間ボリュームへ同期型高
速コピー(EC)を行い、次に中間ボリュームから送信先ボリュームへスナップショット型高速コピー(QuickOPC)により差分コピーを行います。 論理ボリュームのコピーは、ファイルシステムごとコピーを行うため、送信元ボリュームと同じディレクトリ構成が送信先ボリュームに引き継が
れます。端末からは、1 台のファイルサーバで運用する場合と同様に、インターネット接続環境でファイルを格納したディレクトリと同じディレクトリからイントラネットの端末でファイルを取り出すことができます。 以下にインターネットからイントラネットへファイルを取り込む際の ETERNUS SF AdvancedCopy Manager CCM によるファイル受け渡し方式の概
要を示します。
図-8 ETERNUS SF AdvancedCopy Manager CCMによるファイル受け渡し方式
同期型高速コピー(EC)は、初期にコピー元ボリュームの全量コピーを行った後、コピー元ボリュームと中間ボリュームの等価性維持状態を保持します。等価性維持状態の保持後に、ECを一時中断してスナップショット型高速コピー(QuickOPC)により中間ボリュームからコピー先ボリュームへコピーします。 QuickOPC 後に、ECを再開し、コピー元ボリュームと中間ボリュームの等価性を回復します。 同期型高速コピー(EC)とスナップショット型高速コピー(QuickOPC)を組み合わせることで、コピー時間を短縮かつ、特定の時間のデータを連携することができます。コピー元ボリューム内のデータが破損した場合も、コピー先ボリュームからボリュームごと復旧が可能です。 コピー先ボリュームは、QuickOPC によりファイルシステムごと置き換わるため、イントラネット側のファイルサーバは、QuickOPC実行前後でコピー先ボリュームに割り当てたドライブのアンマウント、マウントをイントラネットのファイルサーバで行う必要があります。 イントラネットからインターネットへのファイル受け渡しを行う場合も同じ方式です。その場合、インターネットからイントラネットへのファイル取り
込みで使用するボリュームとは別のボリュームを使用します。
イントラネット インターネット接続環境
ファイルサーバファイルサーバ
EC
①ECによる高速同期コピー②QuickOPCによる高速差分コピー
コピー元ボリューム中間ボリュームコピー先ボリューム
QuickOPC
格納 ファイル
ファイルシステムごと引継ぎ
取り出し
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 12 of 13 http://www.fujitsu.com/jp/eternus/
4. まとめ ETERNUS DX series/AF series と ETERNUS SF AdvancedCopy Manager を利用することで、インターネット接続環境とイントラネット間のセキュアーなファイル受け渡しが可能となります。 インターネット接続環境とイントラネット間のネットワークの完全な分離により、ファイル受け渡し経路を利用した不正アクセス、情報漏洩の脅
威からイントラネットを保護します。ストレージへのアクセスに SAN を利用するため、LAN 経由の不正アクセスを防ぎます。 ETERNUS DX series/AF series は、インターネット接続環境とイントラネット間のセキュアーなファイル受け渡しに最適です。
WhitePaper FUJITSU Storage ETERNUS DX series/AF series
Copyright 2017 FUJITSU LIMITED Page 13 of 13 http://www.fujitsu.com/jp/eternus/
付録 運用フロー ETERNUS SF AdvancedCopy Manager CCM によるファイル受け渡し運用をフローで説明します。
図-9 ETERNUS SF AdvancedCopy Manager CCMの運用フロー
図-9 に示す処理をスクリプトにすることで自動運用が可能になります。「3.EC の一時中断」の後でコピー元ボリュームへ格納したファイルは、次の繰り返しの「4.QuickOPC の実行」後にコピー先ボリュームから取り出すことができます。
Contact インターネット情報ページ http://www.fujitsu.com/jp/eternus/ 製品・サービスについてのお問い合わせは 富士通コンタクトライン 0120-933-200 受付時間 9:00~17:30 (土・日・祝日・年末年始を除く) 富士通株式会社 〒105-7123 東京都港区東新橋 1-5-2 汐留シティセンター
■商標登記について Microsoft、Windows、Windows Server は、米国 Microsoft Corporationの米国およびその他の国における商標または登録商標です。 ETERNUS は、富士通(株)の登録商標または商標です。 尚、本資料に記載されているシステム名、製品名等には、必ずしも商標表示(R)、(TM)を付記していません。その他、一般製品名・社名は、各社の商標または登録商標です。 ■免責事項について 富士通株式会社は、本書の内容に関して、いかなる保証もしません。また、本書の内容に関連したいかなる損害についてもその責任は負いません。
4. QuickOPCの実行
3. ECの一時中断
2.~5.の処理を繰り返し
5. ECの再開
2. ECの等価性維持状態の確認
1. ECの開始CCMのコマンドで同期型高速コピー(EC)を開始します。コピー元ボリュームから中間ボリュームへコピーを開始します。
CCMのコマンドでコピー元ボリュームと中間ボリュームの等価状態を確認します。
CCMのコマンドで同期型高速コピー(EC)を一時中断し、中間ボリュームの状態を確定します。
CCMのコマンドでスナップショット型高速コピー(QuickOPC)を実行し、中間ボリュームからコピー先ボリュームへ差分コピー*を行います。QuickOPCの実行前後でコピー先ボリュームをアンマウント、マウントします。
CCMのコマンドで同期型高速コピー(EC)を再開します。
*2回目以降のコピーです。初回は全量コピーを行います。