SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

japan.internet.com米国最新IT記事

ストレージネットワーキングの基礎:ファイバチャネルゾーンとは


ファイバチャネル(以下FC)には、一般に知られているよりも強力なセキュリティメカニズムがあらかじめ備わっています。しかし、このメカニズムはたいていの場合あまり活用されていないか正しく理解されておらず、そのせいで「SANはセキュリティに問題がある」などと言われています。今回の記事では、FCスイッチの機能のなかで最も簡単で最も設定ミスをしやすい部分である「FCゾーン」について取り上げてみます。

はじめに

 ファイバチャネル(以下FC)には、一般に知られているよりも強力なセキュリティメカニズムがあらかじめ備わっています。しかし、このメカニズムはたいていの場合あまり活用されていないか正しく理解されておらず、そのせいで「SANはセキュリティに問題がある」などと言われています。今回の記事では、FCスイッチの機能のなかで最も簡単で最も設定ミスをしやすい部分である「FCゾーン」について取り上げてみます。

 ある程度の機能を備えたFCスイッチであれば、ゾーンの設定が可能でしょう。ゾーン化という技術は、ネットワークトラフィックを分離するために使われる、イーサネットでのVLANと非常によく似ています。ただし、ゾーン化の方がVLAN化よりも効果的です。ゾーン化では分割区間の間でトラフィックが「漏れ出す」危険性がまったくないからです。

 FCゾーンはVLANよりも高度な概念です。ゾーンは一見複雑な技術に見えますが、複雑な部分は隠蔽されていて簡潔になっています。デバイスノード番号もしくはWWNは、複数のゾーン内で共存が可能です。この機能が混乱の元になるのです! 正しく管理しやすいゾーン設定を行うためには、何らかの体系が必要となります。以降では、この点に関して詳しく見ていきます。

 ゾーンには、ソフトゾーンとハードゾーンの2種類があります。

ソフトゾーン

 ソフトゾーン化では、スイッチはデバイスのWWNをゾーンに割り当て、各デバイスの接続先ポートについては関知しません。たとえば、QとZというWWNが互いに同じソフトゾーンにある場合、これらはお互いにやりとりが可能です。同様に、ZとAというWWNが先ほどとは別のゾーンに存在する場合、ZとAはお互いを認識しやりとりが可能ですが、AはQを認識できません。これは、イーサネットスイッチではあまり使われていない機能なので、ややこしいところです。

 ソフトゾーンの概念を理解するのはそれほど難しくはありません。簡単に言えば、ファブリック内のノードのWWNに基づいて制約が適用されるということです。ソフトゾーンの利点は、スイッチ上のどのポートでも利用でき、参照しようとする他のノードへ簡単にアクセスできることです。

 しかし、これはよいことでしょうか? 残念ながら、そうではありません。第一に、ソフトゾーン環境には管理上の問題があります。メンテナンスなどを行うために、管理者はノードがどのポートに接続されているかを把握しておかなければなりません。ソフトゾーンを利用しているケースでは、スイッチの設定上にポートに関する記述がまったくないことがあります(内容がすぐに古くなる可能性があるため)。第二に、ソフトゾーンではある種のセキュリティリスクが考えられます。今のところ、ハッカーによるWWNのなりすまし行為の事例は報告されていませんが、起こりうる可能性はあります。攻撃者は、侵入しようとするゾーンへのアクセスが許可されているWWNを知る必要がありますが、ソフトゾーンでは、別のゾーンに属するようにデバイスのWWNを変更することは非常に困難です。まさか誰でも自由にアクセスできる場所にスイッチの設定を置いたりしていませんよね?

次のページ
ハードゾーン

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
japan.internet.com米国最新IT記事連載記事一覧

もっと読む

この記事の著者

Charlie Schluting(Charlie Schluting)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/179 2007/12/06 15:46

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング