セキュリティの重要な要素は、保存データ(この場合は保存された SSL キー)の整合性を確保することです。

ローカルに保存されたキー

プライベート キーは、NSX Advanced Load Balancer サービス エンジンのファイル システムには保存されません。プライベート キーは、NSX Advanced Load Balancer コントローラから SE にプッシュダウンされ、クライアントとの SSL セッションを確立するためにメモリに保持されます。SE が侵害されるか、再起動すると、プライベート キーとパブリック証明書を含むすべての構成がワイプされます。SE がオンラインに戻ると、コントローラは状況に応じて、新しい(または同じ)構成で SE を別の用途に転用するか、SE を削除することがあります。

コントローラは、キーを機密情報が暗号化されているデータベースにローカルで保存します。バックアップ プロセス中にパスフレーズが含まれる場合、キーはバックアップ中に暗号化されます。パスワードやプライベート キーなどのすべての機密フィールドを暗号化してからデータベースに保存するには、以下を使用します。

  • 暗号化アルゴリズム:AES_256_CBC

  • IV:16 バイトのランダム データ

  • キー:ランダムな 32 バイト

ユーザー パスワードは、SHA256 ハッシュを使用する PBKDF2(パスワードベースの鍵導出関数 2)アルゴリズムを使用してハッシュされます。他のすべてのパスワード(クラウド認証情報など)もこの方法を使用して暗号化されます。

コントローラはプライベート SSL キーなどのシステム構成を保存するため、適切なセキュリティを確保することが重要です。管理者のアクセス レベルをロックダウンし、強力なパスワードを確保し、管理用の送信元 IP アドレス範囲を制限するための多くのオプションがあります。

証明書とキーへのフル アクセス権を持つ管理者の場合、プライベート キーをエクスポートしようとする試みは、[操作] > [イベント] > [構成監査] ログに記録されます。ロールベースのアクセスを使用して、エクスポート機能を可能な限り少数の管理者に制限する必要があります。

Thales Luna(旧称:SafeNet Luna)HSM と外部に保存されたキー

NSX Advanced Load Balancer は、外部ハードウェア セキュリティ モジュールと証明書ストアをサポートし、より高いレベルの物理的セキュリティを保証します。元のキーは外部システムに保存され、パブリック キーを NSX Advanced Load Balancer で利用できます。次のタイプの外部キー ストアがサポートされています。