はじめに
ファイバチャネル(以下FC)には、一般に知られているよりも強力なセキュリティメカニズムがあらかじめ備わっています。しかし、このメカニズムはたいていの場合あまり活用されていないか正しく理解されておらず、そのせいで「SANはセキュリティに問題がある」などと言われています。今回の記事では、FCスイッチの機能のなかで最も簡単で最も設定ミスをしやすい部分である「FCゾーン」について取り上げてみます。
ある程度の機能を備えたFCスイッチであれば、ゾーンの設定が可能でしょう。ゾーン化という技術は、ネットワークトラフィックを分離するために使われる、イーサネットでのVLANと非常によく似ています。ただし、ゾーン化の方がVLAN化よりも効果的です。ゾーン化では分割区間の間でトラフィックが「漏れ出す」危険性がまったくないからです。
FCゾーンはVLANよりも高度な概念です。ゾーンは一見複雑な技術に見えますが、複雑な部分は隠蔽されていて簡潔になっています。デバイスノード番号もしくはWWNは、複数のゾーン内で共存が可能です。この機能が混乱の元になるのです! 正しく管理しやすいゾーン設定を行うためには、何らかの体系が必要となります。以降では、この点に関して詳しく見ていきます。
ゾーンには、ソフトゾーンとハードゾーンの2種類があります。
ソフトゾーン
ソフトゾーン化では、スイッチはデバイスのWWNをゾーンに割り当て、各デバイスの接続先ポートについては関知しません。たとえば、QとZというWWNが互いに同じソフトゾーンにある場合、これらはお互いにやりとりが可能です。同様に、ZとAというWWNが先ほどとは別のゾーンに存在する場合、ZとAはお互いを認識しやりとりが可能ですが、AはQを認識できません。これは、イーサネットスイッチではあまり使われていない機能なので、ややこしいところです。
ソフトゾーンの概念を理解するのはそれほど難しくはありません。簡単に言えば、ファブリック内のノードのWWNに基づいて制約が適用されるということです。ソフトゾーンの利点は、スイッチ上のどのポートでも利用でき、参照しようとする他のノードへ簡単にアクセスできることです。
しかし、これはよいことでしょうか? 残念ながら、そうではありません。第一に、ソフトゾーン環境には管理上の問題があります。メンテナンスなどを行うために、管理者はノードがどのポートに接続されているかを把握しておかなければなりません。ソフトゾーンを利用しているケースでは、スイッチの設定上にポートに関する記述がまったくないことがあります(内容がすぐに古くなる可能性があるため)。第二に、ソフトゾーンではある種のセキュリティリスクが考えられます。今のところ、ハッカーによるWWNのなりすまし行為の事例は報告されていませんが、起こりうる可能性はあります。攻撃者は、侵入しようとするゾーンへのアクセスが許可されているWWNを知る必要がありますが、ソフトゾーンでは、別のゾーンに属するようにデバイスのWWNを変更することは非常に困難です。まさか誰でも自由にアクセスできる場所にスイッチの設定を置いたりしていませんよね?
