皆さんこんにちは、西下です。
多くのシステムでは、システムの設定変更やデータのアクセス制限解除など、特別な権限を持つアカウントとして「特権ID」が使われています。Linuxではroot、WindowsではAdministratorが代表例ですね。特権IDは最も高い権限を持っているため、悪用を防ぐなどの観点から厳格な管理が必要です。
今回は「特権ID管理ソリューション」のお話です。
SecureCube Access Checkは、NRIセキュアテクノロジーズ様が開発・販売する、特権ID管理ソリューションです。多数の企業に導入されています。SecureCube Access Checkでは、特権ID管理に必要なすべての機能が1つのソリューションで提供されるので、効率的なセキュリティ強化が可能になります。
機能としては、特権IDの管理、IDの申請・承認、アクセス制御、ログの管理による監査支援などの機能が用意されており、企業のセキュリティの向上と運用負荷の軽減の両立が期待できます。
一方、SecureCube Access Checkが停止してしまうと、システム管理者が持つ高い権限を持つ特権IDの管理を、手作業での対応が必要となるため、運用の手間が増加します。
これにより、特権IDの適切な管理が煩雑になり、攻撃者や内部関係者による不正利用のリスクが高まります。特権IDを悪用した攻撃から企業を守り、サーバー障害時でも特権ID管理の利用を途切れさせずに継続するには、予め停止に備えるために待機系ノードを用意しておき、障害発生時には自動的に稼働系から待機系に切り替えることで、最小限の時間で復旧できる仕組みが必要です。
HAクラスター製品のLifeKeeperを使ってSecureCube Access Checkの冗長化構成を構築することで、SecureCube Access Checkを高い信頼性の元で運用することが可能になります。
この度、SecureCube Access CheckのメーカであるNRIセキュアテクノロジーズ様にて、SecureCube Access CheckをLifeKeeper for Linuxで冗長化する検証を実施頂きました。
SecureCube Access Checkの監視や切り替えの制御は、NRIセキュアテクノロジーズ様が開発された制御スクリプトを行われています。*1
*1:LifeKeeperの標準機能のGeneric ARKを使うことで、任意の制御スクリプトをLifeKeeperに組み込むことができます。
- 検証構成
- 環境:Amazon EC2
- OS:Red Hat Enterprise Linux 8.10
- Apache:2.4.37
- Tomcat:9.0.95
- MariaDB:10.3
- LifeKeeper for Linuxが保護しているソフトウェア ※いずれも個別に制御スクリプト(Generic ARK)を開発して対応
- ACCore
- MariaDB
- LDAP(slapd)
- Tomcat
- Apache(httpd)
Amazon EC2環境では、LifeKeeper for Linuxの標準機能 *2を使って冗長化されています。
クライアント(AcUIおよびWebUI)は仮想IPに向けて通信することで、ルートテーブルを経由して現在Activeなクラスターノードに到達します。
*2:仮想IPとルートテーブルによる通信制御についてはこちらをご覧ください。
LifeKeeper for LinuxによるSecureCube Access Checkの冗長化構成についてのお問い合わせおよび構築をご希望のお客様は、NRIセキュアテクノロジーズ様までお問い合わせ願います。
※NRIセキュアテクノロジーズ様のページへ遷移します
