検索

第3章 アイデンティティーおよびアクセス管理

download PDF

3.1. アイデンティティー

このセクションには、ID に関する概念情報が含まれています。

3.1.1. 認証

認証は、あらゆる実際の OpenStack デプロイメントの不可欠な要素です。システム設計のこの側面に注意を払う必要があります。このトピックの完全な取り扱いについては、本書では扱いませんが、以下の主要なトピックについて記載します。

最も基本的な認証は、アイデンティティーを確認するプロセスです。システムにログインする際に、使い慣れている例は、ユーザー名とパスワードを提供します。

OpenStack Identity サービス (keystone) は、ユーザー名とパスワード、LDAP、およびその他の外部認証方法など、複数の認証メソッドをサポートしています。認証に成功すると、Identity サービスは、後続のサービスリクエストに使用される承認トークンを提供します。

TLS (Transport Layer Security) は、X.509 証明書を使用してサービスとユーザーの間の認証を提供します。TLS のデフォルトモードはサーバー側の認証のみですが、米国の政府標準で義務付けられているため、クライアント認証に証明書を使用することを検討する必要があります。

3.1.1.1. 無効なログイン試行

Identity Service (keystone) は、ログイン試行が繰り返し失敗した後にアカウントへのアクセスを制限する方法を提供していません。ログイン試行の失敗のパターンは、一般的にブルートフォース攻撃の指標です。このタイプの攻撃は、パブリッククラウドのデプロイメントでさらに複雑になります。設定された回数のログイン試行の失敗後にアカウントをブロックする外部認証システムを使用することで、これを軽減するのに役立ちます。その後、アカウントは他の管理者の介入でのみロックを解除できます。

検出技術を使用して、破損を軽減することもできます。検出では、アクセス制御ログの頻繁にレビューが行われ、承認されていないアカウントへのアクセス試行を特定します。修復には、ユーザーのパスワードの強度の確認やファイアウォールルールによる攻撃のネットワークソースのブロックなどが含まれます。接続の数を制限する keystone サーバーにファイアウォールルールを追加することができます。これにより、攻撃の効果を減らすことができます。

さらに、ログイン時間や疑わしいアクションについてアカウントアクティビティーを調べたり、アカウントを無効にするなどの修正措置を取ると役に立ちます。

3.1.1.2. マルチファクター認証

特権ユーザーアカウントへのネットワークアクセスに多要素認証を採用します。Identity サービスは、この機能を提供できる外部認証サービスと統合できます。たとえば、keystone は、Active Directory、Red Hat Identity Manager、Free IPA、または汎用 LDAP サーバーと統合でき、これらのいずれかによって多要素認証が適用されます。

この推奨事項は、パスワードを危険にさらす可能性のあるさまざまなブルートフォース、ソーシャルエンジニアリング、およびスピアフィッシングと大量フィッシング攻撃の両方を軽減するのに役立ちます。Red Hat Identity Management と統合するデプロイメントについては、Configuring and managing Identity Management ガイドを参照してください。

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.