第7章 セキュアなディレクトリーの設計


設計 - rhds

Red Hat Directory Server がデータを保護する方法は、これまでのすべての設計領域に影響します。あらゆるセキュリティー設計では、ディレクトリー内のデータを保護し、ユーザーとアプリケーションの両方のセキュリティーとプライバシーのニーズを満たす必要があります。

セキュリティーのニーズを分析し、そのニーズを満たすディレクトリーを設計する方法を説明します。

7.1. セキュリティーの脅威について

ディレクトリーは潜在的なセキュリティー上の脅威にさらされている可能性があります。最も一般的な脅威を理解すると、セキュリティー設計全体の概要を把握するのに役立ちます。ディレクトリーのセキュリティーの脅威は、以下の 3 つの主要カテゴリーに分類されます。

  • 不正アクセス
  • 不正な改ざん
  • サービス拒否

7.1.1. 不正アクセス

不正アクセスからディレクトリーを保護することは簡単に見えるかもしれませんが、安全なソリューションの実装は、最初の印象よりも複雑になる可能性があります。ディレクトリー情報配信パスには、権限のないクライアントがデータにアクセスできる可能性のあるアクセスポイントが多数あります。

以下のシナリオは、承認されていないクライアントがディレクトリーデータにアクセスする可能性のある方法の例をいくつか説明しています。

  • 権限のないクライアントは別のクライアントの認証情報を使用してデータにアクセスできます。これは、ディレクトリーが保護されていないパスワードを使用している場合に特に発生する可能性があります。未承認のクライアントは、承認されたクライアントと Directory Server の間で交換される情報を盗聴する可能性もあります。
  • 不正アクセスは会社内部から行われる可能性があります。また、エクストラネットやインターネットに接続している場合は会社外部から行われる可能性があります。

Directory Server が提供する認証方法、パスワードポリシー、およびアクセス制御メカニズムは、不正アクセスを阻止する効率的な方法を提供します。

7.1.2. 不正な改ざん

侵入者がディレクトリーにアクセスしたり、Directory Server とクライアントアプリケーション間の通信を傍受したりすると、ディレクトリーデータを変更または改ざんする可能性があります。クライアントがデータを信頼していない場合、またはディレクトリー自体がクライアントから受信した変更やクエリーを信頼できない場合、ディレクトリーサービスは役に立ちません。

たとえば、ディレクトリーが改ざんを検出できない場合、攻撃者はサーバーへのクライアント要求を変更したり、転送しなかったり、クライアントへのサーバー応答を変更したりする可能性があります。TLS および同様のテクノロジーは、接続の両側で情報に署名することで、この問題を解決できます。

関連情報

7.1.3. サービス拒否

サービス拒否攻撃では、攻撃者の目的はディレクトリーがクライアントにサービスを提供できないようにすることです。たとえば、攻撃者がすべてのシステムリソースを使用し、他のユーザーがこれらのリソースを使用できないようにする可能性があります。Directory Server では、特定のバインド DN に割り当てられるリソースの制限を設定すると、サービス拒否攻撃を防ぐことができます。ユーザーのバインド DN に基づいてリソース制限を設定する方法の詳細は、ユーザー管理および認証 ガイドを参照してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.