Edge アクセス用プロファイルを設定する際、Edge をよりセキュアにするために、ファイアウォール設定で、サポート アクセス、コンソール アクセス、USB ポート アクセス、SNMP アクセス、およびローカル Web ユーザー インターフェイス アクセスに対して適切なオプションを選択する必要があります。これにより、悪意のあるユーザーが Edge にアクセスできなくなります。

セキュリティ上の理由により、サポート アクセス、コンソール アクセス、SNMP アクセス、およびローカル Web ユーザー インターフェイス アクセスはデフォルトで無効になっています。

[パワーオン時のセルフテスト]

5.1.0 リリースでは、SD-WAN Orchestrator がパワーオンまたは再起動された後に、パワーオン時のセルフテストを実行して、ソフトウェア作者を確認し、重要なファイルやコードの変更や破損がないことを保証します。この機能のユースケースには、共通基準の要件と、中から高リスクの展開(金融機関や行政機関など)が含まれます。
注: パワーオン時のセルフテスト機能は、デフォルトで無効になっています。警告メッセージがコンソールに表示され、イベントが生成され、パワーオン時のセルフテストが続行されます。
パワーオン時のセルフテスト機能では、SD-WAN Orchestrator のパワーオン時または再起動時に次のチェックが実行されます。
  • ソフトウェア整合性テスト:重要なシステム ファイルが特定され、ビルド時に署名されます。署名の整合性が検証されます。このプロセスでは、信頼性と整合性を検証するために暗号化署名が使用されます。
  • 暗号化モジュールの既知の応答テスト:Openssl などの暗号化モジュールは、既知の応答テストを実行し、それらにすべて合格していることを確認します。
  • エントロピー ソースのテスト:エントロピー ソースのランダムな番号の生成機能が検証されます。
注: パワーオン時のセルフテストでは、合格/不合格の結果が示されます。パワーオン時のセルフテストに合格した場合にのみ、システムは引き続き他のアプリケーションを起動します。パワーオン時のセルフテストが不合格の場合、テストに合格しなかった場所を示すエラー メッセージが表示され、システムの起動シーケンスが停止します。

次のファイルは、パワーオンおよび再起動プロセス中に署名され、検証されます。

  • Edge(以下のすべてのファイル):
    • /opt/vc/bin
    • /opt/vc/sbin
    • /opt/vc/lib
    • /bin
    • /sbin
    • /lib
    • /usr/bin
    • /usr/sbin
    • /usr/lib
    • /vmlinuz
    • /etc/init.d
  • SD-WAN Orchestrator と SD-WAN Gateway
    注: 次のモジュールの場合、整合性チェックは適用モードで実行され、検証できない場合は起動に失敗します。
    • SD-WAN Gateway - パッケージ名は、次の場所に保存されます:/opt/vc/etc/post/vcg_critical_packages.in
      • Gateway の重要なモジュール
        • gatewayd.*:all
        • libssl1.0.0:.*:amd64
        • libssl1.1:.*:amd64
        • openssl:.*:all
        • python-openssl:.*:all
    • SD-WAN Orchestrator - パッケージ名は /opt/vc/etc/post/vco_critical_packages.in に保存されます
      • SD-WAN Orchestrator の重要なモジュール:
        • libssl1.0.0:.*:amd64
        • ibssl1.1:.*:amd64
        • openssl:.*:all
        • vco-backend:.*:all
        • vco-cws-service:.*:all
        • vco-dr:.*:all
        • vco-new-ui:.*:all
        • vco-nginx-apigw:.*:all
        • vco-nginx-common:.*:all
        • vco-nginx-i18n:.*:all
        • vco-nginx-portal:.*:all
        • vco-nginx-reporting:.*:all
        • vco-nginx-sdwan-api:.*:all
        • vco-nginx-upload:.*:all
        • vco-node-common:.*:all
        • vco-portal:.*:all
        • vco-sdwan-api:.*:all
        • vco-tools:.*:all
        • vco-ui:.*:all
        • vco-ztnad-service:.*:all
        • nodejs:.*:all
        • vc-fips-common:.*:all
        • vc-fips-complaint:.*:all
        • vc-fips-strict:.*:all
        • openssh-client:.*:all
        • openssh-server:.*:all
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-tools-common:.*:all
        • libselinux1:.*:amd64
        • linux-base:.*:all
        • linux-firmware:.*:all
        • linux-libc-dev:.*:amd64
        • util-linux:.*:amd64
        • linux-tools-common:.*:all
        • linux-(aws|azure|generic)-headers-.*:.*:all
        • linux-(aws|azure|generic)-tools-.*:.*:amd64
        • linux-headers-.*-(aws|azure|generic):.*:amd64
        • linux-headers-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-image-unsigned-.*-(aws|azure|generic):.*:amd64
        • linux-image-unsigned-(aws|azure|generic)-lts-.*:.*:amd64
        • linux-modules-.*-(aws|azure|generic):.*:amd64
        • linux-tools-.*-(aws|azure|generic):.*:amd64
        • linux-tools-(aws|azure|generic)-lts-.*:amd64

[手順]

プロファイルの Edge アクセスを設定するには、次の手順を実行します。

手順

  1. SD-WAN Orchestrator から、[設定 (Configure)] > [プロファイル (Profiles)] > [ファイアウォール (Firewall)] の順に移動します。[ファイアウォール (Firewall)] ページが表示されます。

  2. [Edge アクセス (Edge Access)] 領域で、次のオプションを使用してデバイス アクセスを設定できます。
    フィールド 説明
    サポート アクセス (Support Access)

    この Edge への SSH を有効にする IP アドレスを明示的に指定する場合は、[次の IP アドレスを許可 (Allow the following IPs)] を選択します。IPv4 アドレスと IPv6 アドレスの両方をカンマ (,) で区切って入力できます。

    デフォルトでは、[すべて拒否 (Deny All)] が選択されています。
    コンソール アクセス (Console Access) 物理コンソール(シリアル ポートまたはビデオ グラフィックス アレイ (VGA) ポート)を介した Edge アクセスを有効にするには、[許可 (Allow)] を選択します。デフォルトでは、[拒否 (Deny)] が選択されており、Edge のアクティベーション後にコンソール ログインはアクティベーション解除されています。
    注: コンソール アクセス設定が [許可 (Allow)] から [拒否 (Deny)]、またはその逆に変更されるたびに、Edge を手動で再起動する必要があります。
    パワーオン時のセルフテストの実行 [有効 (Enabled)] を選択すると、合格しなかったパワーオン時のセルフテストにより Edge が無効になります。Edge をリカバリするには、工場出荷時設定にリセットして、再アクティベーションする必要があります。注:この機能は、5.1.0 リリース以降でサポートされています。
    USB ポート アクセス (USB Port Access)

    Edge の USB ポート アクセスを有効にするには [許可 (Allow)] を選択し、無効にするには [拒否 (Deny)] を選択します。

    このオプションは、Edge モデル 510 および 6x0 でのみ使用できます。

    注: USB ポート アクセスの設定が [許可 (Allow)] から [拒否 (Deny)] またはその逆に変更するたびに、Edge にアクセスできる場合は Edge を手動で再起動し、Edge がリモート サイトにある場合は SD-WAN Orchestrator を使用して Edge を再起動する必要があります。手順については、 リモート アクションを参照してください。
    SNMP アクセス (SNMP Access) SNMP を介したルーティング インターフェイス/WAN からの Edge アクセスを許可します。次のいずれかのオプションを選択します。
    • [すべて拒否 (Deny All)]:デフォルトでは、Edge に接続されているすべてのデバイスで SNMP アクセスが無効になっています。
    • [すべての LAN を許可 (Allow All LAN)]:LAN ネットワーク経由で Edge に接続されているすべてのデバイスで SNMP アクセスを許可します。
    • [次の IP アドレスを許可 (Allow the following IPs)]:SNMP を介して Edge にアクセスできる IP アドレスを明示的に指定できます。IP アドレスはカンマ (,) で区切る必要があります。
    ローカル Web ユーザー インターフェイス アクセス (Local Web UI Access) ローカル Web ユーザー インターフェイスを介したルーティング インターフェイス/WAN からの Edge アクセスを許可します。次のいずれかのオプションを選択します。
    • [すべて拒否 (Deny All)]:デフォルトでは、Edge に接続されているすべてのデバイスでローカル Web ユーザー インターフェイス アクセスが無効になっています。
    • [すべての LAN を許可 (Allow All LAN)]:LAN ネットワーク経由で Edge に接続されているすべてのデバイスでローカル Web ユーザー インターフェイス アクセスを許可します。
    • [次の IP アドレスを許可 (Allow the following IPs)]:ローカル Web ユーザー インターフェイスを介して Edge にアクセスできる IP アドレスを明示的に指定できます。IP アドレスはカンマ (,) で区切る必要があります。
    ローカル Web ユーザー インターフェイスのポート番号 (Local Web UI Port Number) Edge へのアクセス元となるローカル Web ユーザー インターフェイスのポート番号を入力します。
  3. [変更の保存 (Save Changes)] をクリックします。

次のタスク

特定の Edge に対する Edge アクセス設定を上書きする場合は、 [Edge のファイアウォール (Edge Firewall)] ページにある [Edge 固有設定の上書きを有効化 (Enable Edge Override)] オプションを使用します。関連情報については、 Edge のファイアウォールの設定を参照してください。