ホーム
Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
セキュア通信の構成
セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
暗号スイートの構成
このトピックでは、BigFix Inventory サーバーが受け入れる暗号スイートを手動で選択する方法を説明します。

Security (セキュリティー)
様々なセキュリティー機能を構成して、BigFix Inventory 使用時にデータ・モデルに含まれるビジネス資産とリソースを適切に保護します。
- データのフロー
  BigFix Inventory インフラストラクチャーのコンポーネント間、およびユーザーとツールの間では、いくつかの異なる相互作用が行われます。
- セキュリティー設定のシナリオ
  サポートされる各セキュリティー・シナリオを実現するために BigFix サーバーおよび BigFix Inventory サーバーで有効にする必要があるセキュリティー・オプションについて確認します。
- データベース接続暗号化の構成
  BigFix Inventory サーバーと BigFix Inventory データベースの接続を暗号化できます。暗号化は、JDBC ドライバーを使用して、BigFix Inventory サーバーとデータベース・エンジンの間に確立します。サーバーのアップグレード中に接続を暗号化できます。
- セキュア通信の構成
  セキュアな接続を確保するために、BigFix Inventory では、公開鍵暗号方式を使用します。この方式は、秘密鍵および公開鍵という 2 つの別々の鍵を使用するアルゴリズムを基盤としています。この鍵ペアは、通信の暗号化および暗号化解除に使用されます。
  - ステップ 1: 秘密鍵および証明書の作成
    セキュリティーを強化するには、BigFix Inventory でデフォルトで使用できる自己署名証明書を使用せずに、独自の秘密鍵と証明書を作成します。openSSL を使用して、秘密鍵と証明書署名要求 (CSR) を作成することができ、その CSR は、認証局 (CA) によって署名された後に証明書に変換できます。
  - ステップ 2: 署名証明書
    証明書署名要求 (CSR) を BigFix Inventory にアップロードできる証明書に変換するには、CSR が認証局 (CA) によって署名されていなければなりません。openSSL 暗号ライブラリーを使用すると、プライベート CA を作成し、要求に署名することができます。
  - ステップ 3: セキュア通信の有効化
    暗号化通信 (HTTPS) を有効にすると、サーバーとそれにアクセスするすべてのユーザーとの間のセキュア通信を実現できます。BigFix Inventory でデフォルトで提供される自己署名証明書を通信の基盤にすることもできますが、これらの証明書は実稼働環境を想定したものではありません。セキュリティーを強化するには、独自の秘密鍵と証明書を作成し、それらを BigFix Inventory にアップロードします。
  - 暗号スイートの構成
    このトピックでは、BigFix Inventory サーバーが受け入れる暗号スイートを手動で選択する方法を説明します。
- 連邦暗号化標準への準拠
  暗号化に関する連邦情報処理標準要件に準拠するように、BigFix Inventory を構成できます。
- LDAP を使用したユーザーの認証
  BigFix Inventory は、Lightweight Directory Access Protocol (LDAP) サーバーを使用した認証をサポートします。この機能を使用するには、BigFix Inventory サーバーを構成する必要があります。
- シングル・サインオン (SSO) の構成と有効化
  9.2.1 以降で使用可能。2 要素認証と SSO を使用して BigFix Inventory にログオンし、企業内の他のアプリケーションとのログインの一貫性を維持することができます。2 要素認証と、Security Assertion Markup Language (SAML 2.0) トークンの交換に基づくシングル・サインオンを併用し、ID プロバイダーとして Microsoft™ Active Directory フェデレーション・サービスを使用するように BigFix Inventory を構成できます。あるいは、IBM Lightweight Third-Party Authentication (LTPA) テクノロジーを使用し、認証サービスとして IBM Security Access Manager for Web を使用することもできます。
- パスワードおよび暗号化メカニズムの構成
  アプリケーション・セキュリティーを向上させるために、ユーザー・パスワードのセキュリティー・ポリシーを定義します。パスワードが保管されている鍵ストアと BigFix Inventory データベースのパスワードおよび暗号化メカニズムも構成できます。
- ユーザー・アカウントのロックアウトの構成
  9.2.8 以降で使用可能。デフォルトでは、ユーザーが 5 分以内に 10 回を超えて BigFix Inventory にログインしようとした後に、ユーザー・アカウントは 5 分間ロックされます。デフォルト設定を変更したり、ユーザー・アカウントのロックアウトを無効にしたりすることができます。
- 信頼できる VM マネージャー証明書を受け入れるためのVM Manager toolの構成
  デフォルトで、VM Manager toolは、信頼できるかどうかに関係なく、すべての VM マネージャー証明書を受け入れます。デフォルトの動作を変更して、信頼できる証明書のみをVM Manager toolが受け入れるようにすることができます。
- リレー
  リレーにより、サーバーのアップストリームとダウンストリームの両方の負荷が軽減されます。サーバーと直接通信する代わりに、指定のリレーと通信するようにクライアントに指示できます。これにより、サーバーの負荷が大幅に軽減され、クライアントとサーバーの間のネットワーク・トラフィックが大幅に削減されます。

暗号スイートの構成

このトピックでは、BigFix Inventory サーバーが受け入れる暗号スイートを手動で選択する方法を説明します。

このタスクについて

脆弱な暗号スイートのリストは定期的に更新されます。承認済みの暗号スイートは、脆弱な暗号がリストに含まれることがないように、新しい Java サービス・パックを使って更新されます。Java サービス・パックに先立ってセキュリティー・リスクに対応するため、またはセキュリティー・ポリシーに準拠するために有効にすべき暗号を手動で選択できます。

以下は、内部セキュリティー・スキャンに基づく推奨事項です。

承認済みの暗号スイートのリストを選択するには、installation_directory/wlp/usr/servers/server1/customization.xml ファイルを変更して、ファイルの内容を以下のようにします。

<server>
<ssl id="defaultSSLConfig" enabledCiphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 TLS_DHE_RSA_WITH_AES_256_GCM_SHA384"/>
</server>

変更したら、BigFix Inventory アプリケーションを再起動します。