PowerProtect:DPシリーズおよびIDPA: 一般的なセキュリティ強化のベスト プラクティス(バージョン。2.7.6)
摘要: この記事では、セキュリティ脆弱性スキャンを実行する前に、Integrated Data Protection Appliance (IDPA)バージョン2.7.6のセキュリティ強化の一般的なベスト プラクティスについて説明します。
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
说明
メモ: PowerProtect Data Protection (DP)シリーズ ソフトウェアまたはIDPAバージョン2.7.7がリリースされました。IDPAバージョン2.7.7にアップグレードすることをお勧めします。
セキュリティ脆弱性スキャンを実行する前に、PowerProtect Data Protectionシリーズ ソフトウェア バージョン2.7.6のセキュリティ強化に関する一般的なベスト プラクティスをいくつか紹介します。その他の問題については、デル・テクノロジーズ サポートにお問い合わせください。
ALL(オプション):
PowerProtect DPシリーズ アプライアンスのサブコンポーネントにはSSL自己署名証明書が含まれており、セキュリティで保護されていない接続がブラウザーによって報告される可能性があります。アプライアンスのセキュリティを最大限に高めるには、デフォルトのSSL自己署名証明書を、信頼できる認証局(CA)によって署名されたSSL証明書に置き換える必要があります。『IDPAセキュリティ構成ガイド』に記載されている手順を適用します(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)。詳細な手順については、「証明書管理」のセクションを参照してください。
メモ: お客様がインポートしたCA署名証明書は、アプライアンスのアップグレード中に自己署名証明書に置き換えられます。したがって、お客様はアップグレード後にCA署名証明書を再度追加する必要があります。
Appliance Configuration Manager (ACM):
次のDellの記事を適用してください。
- PowerProtect DPシリーズ アプライアンスおよびIDPA:ACM/Searchでセキュリティ脆弱性スキャンによって「Network Time Protocol (NTP) Mode 6 Scanner」が検出されました
- PowerProtect DPシリーズ アプライアンスおよびIDPA:セキュリティ脆弱性スキャンでACMで「DNSまたはBIND」の脆弱性が検出されました (記事を表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)
- PowerProtect DPシリーズ アプライアンスおよびIDPA:セキュリティ脆弱性スキャンで、多くのIDPAコンポーネントでSSHに脆弱なCBC暗号が含まれていることが検出されました
- PowerProtect DPシリーズ アプライアンスとIDPAレポートSHA1の廃止されたSSHの設定(QID 38909)
保護ソフトウェア(Avamar):
最新のAvamar 19.9累積ホットフィックスを適用します。例えば、Avamar 19.9 Avamar Cumulative Hotfix for Avamar Server(Avamar Virtual Edition - Hotfix 338827を含む)は、2024年8月に次のようになります。 "v19.9.0.78-workflow-338827.zip"
AvamarおよびNDMPノードに最新のAvamar OSパッチを適用します。たとえば、Avamar Virtual Edition (AVE)およびAvamar Data Store (ADS)Platform Security Rollup 2024-R2 "AvPlatformOsRollup_2024-R2-v3.avp."
- Avamar:Avamar Virtual Edition(AVE)およびNDMPにAvamarセキュリティ ロールアップをインストールする方法 (記事を表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)
IDPA内部AvProxyとお客様のvCenterプロキシを含むすべてのAvamarプロキシに、最新のAvamarプロキシ累積ホットフィックスを適用します。たとえば、Avamar 19.9.100-78 PROXY Cumulative Hotfix(ホットフィックス338844、2024年8月)、 "v19.9.100.78-client-338844.zip."
- プロキシ ホットフィックスのインストール手順については、.zipファイル内のREADMEファイルを参照してください。
IDPA内部AvProxyとお客様のvCenterプロキシを含むすべてのAvamarプロキシにAvamarプロキシOSパッチを適用します。たとえば、Avamarプロキシ バンドル2024-R2、 "sec_os_update_proxy-2024-R2-v3.tgz."
次のDellの記事を適用してください。
- PowerProtect DPシリーズ アプライアンスおよびIDPA:セキュリティ脆弱性スキャンで、多くのIDPAコンポーネントでSSHに脆弱なCBC暗号が含まれていることが検出されました
- PowerProtect DPシリーズ アプライアンスとIDPAレポートSHA1の廃止されたSSHの設定(QID 38909)
(注:この問題は、Avamar Security Rollup 2024-R2を適用した後に解決されるはずです。)
『PowerProtect DPシリーズ アプライアンス セキュリティ構成ガイド 』(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)を、「保護ソフトウェアと保護ストレージをSNMP v3と統合する」および「レポート作成と分析、保護ストレージをSNMP v3と統合する」セクションに適用します
注意:PowerProtect DPシリーズ アプライアンスがCloud DRで構成されている場合は、保護ソフトウェア(Avamar)と保護ストレージ(Data Domain)をSNMP v3と統合しないでください。Cloud DRは、SNMP v3の構成後に正常に機能しません。
Cloud DRを使用している場合は、SNMP v2Cのみがサポートされます。よく知られている "public" と "private" のコミュニティ文字列は、次のような文字列に置き換える必要があります "idpasnmpuser「 か、その環境に特有の何か。SNMPコミュニティー文字列をアップデートするには、『 セキュリティ構成ガイド 』(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)( v3ではなくSNMP v2Cを選択)の手順を参照してください。
保護ストレージ(Data Domain):
バージョンDD OS 7.10.1.20への帯域外アップグレードを実行します。(IDPAバージョン2.7.6-DD OSバージョン7.10.1.20がサポートされています)
次のDellの記事を適用してください。
- Data Domain:廃止されたSSH暗号形式設定QID 38739(記事を表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)
- PowerProtect DPシリーズ アプライアンスとIDPAレポートSHA1の廃止されたSSHの設定(QID 38909)
- PowerProtect:IDPA 2.7.6および2.7.7でのOpenSSHの脆弱性CVE-2024-6387
「保護ソフトウェアと保護ストレージをSNMP v3と統合する」および「レポート作成と分析と保護ストレージをSNMP v3と統合する」セクションの『PowerProtect DPシリーズ アプライアンス セキュリティ構成ガイド 』(ドキュメントを表示するにはDellサポートに登録ユーザーとしてログインする必要があります)を適用します
注意:PowerProtect DPシリーズ アプライアンスがCloud DRで構成されている場合は、保護ソフトウェア(Avamar)と保護ストレージ(Data Domain)をSNMP v3と統合しないでください。Cloud DRは、SNMP v3の構成後に正常に機能しません。
Cloud DRを使用している場合は、SNMP v2Cのみがサポートされます。よく知られている "public" と "private" のコミュニティ文字列は、 " のような文字列に置き換える必要があります。idpasnmpuserまたは環境に固有のもの。SNMPコミュニティー文字列をアップデートするには、『 セキュリティ構成ガイド 』(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)( v3ではなくSNMP v2Cを選択)の手順を参照してください。
System Manager (DPC):
メモ: DPCはオプションのコンポーネントであり、お客様は保持するかどうかを決定できます。ACMからDPCを削除しても、バックアップ機能には影響しません。
最新のData Protection Centralオペレーティング システム アップデートを適用します。たとえば、オペレーティング システムのアップデートをダウンロードします
最新のData Protection Centralオペレーティング システム アップデートを適用します。たとえば、オペレーティング システムのアップデートをダウンロードします
dpc-osupdate-1.1.19-1.jar (ファイルにアクセスするには、Dellサポートに登録ユーザーとしてログインする必要があります)
- Data Protection Central: Data Protection Centralオペレーティング システム アップデートをインストールする方法 (記事を表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)
検索:
メモ: 検索はオプションのコンポーネントであり、お客様はこれを保持するかどうかを決定できます。ACMから検索を削除しても、バックアップ機能には影響しません。
注意:バージョン2.7.6の新規インストールでは、検索は行われなくなりました。アプライアンスが古いバージョンからバージョン2.7.6にアップグレードされた場合、Searchはバージョン19.6.3にアップグレードされ、ACM UIから削除されるまで使用できます。検索がACMから削除された場合、再インストール手順はありません。
次のDellの記事を適用して、その他のセキュリティ脆弱性に対する修復を適用します。
注意:バージョン2.7.6の新規インストールでは、検索は行われなくなりました。アプライアンスが古いバージョンからバージョン2.7.6にアップグレードされた場合、Searchはバージョン19.6.3にアップグレードされ、ACM UIから削除されるまで使用できます。検索がACMから削除された場合、再インストール手順はありません。
次のDellの記事を適用して、その他のセキュリティ脆弱性に対する修復を適用します。
- PowerProtect DPシリーズ アプライアンスおよびIDPA:ACM/Searchでセキュリティ脆弱性スキャンによって「Network Time Protocol (NTP) Mode 6 Scanner」が検出されました
- DPSearchのセキュリティ スキャン評価でldap-anonymous-directory-accessのアラートが表示される場合 がある(記事を表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)
- PowerProtect DPシリーズ アプライアンスおよびIDPA:セキュリティ脆弱性スキャンで、ESXi、vCenter、検索、またはDPCで「SSH構成内のMD5または96ビットHMACアルゴリズムのSSH脆弱性」が検出されました(記事を表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)
- PowerProtect DPシリーズ アプライアンスとIDPAレポートSHA1の廃止されたSSHの設定(QID 38909)
レポート作成と分析(DPA):
メモ: DPAはオプションのコンポーネントであり、お客様は保持するかどうかを決定できます。ACMからDPAを削除しても、バックアップ機能には影響しません。
DPAをバージョン19.10ビルド22にアップグレードします。
DPAをバージョン19.10ビルド22にアップグレードします。
- DP4400の場合:サーバー バイナリーをダウンロードする(ファイルにアクセスするには、Dellサポートに登録ユーザーとしてログインする必要があります)
- DP5/8x00の場合: サーバーとエージェントのバイナリーをダウンロードする(ファイルにアクセスするには、Dellサポートに登録ユーザーとしてログインする必要があります)
- PowerProtect DPシリーズ アプライアンスおよびIntegrated Data Protection Appliance: DPAまたはData Protection Advisorコンポーネントをアプライアンス内の帯域外でアップグレードする手順
PowerProtect DPシリーズ アプライアンスを適用し、 IDPAレポートのSSHのSHA1非推奨設定を適用します(QID 38909)。
DPAデータストアおよびアプリケーション サーバーに「Data Protection Advisor April 2024 JRE 8u411 Upgrade Patch for Linux 64 bit」( ファイルにアクセスするには、Dellサポートに登録ユーザーとしてログインする必要があります)パッチを適用します。DPA 19.9および19.10バージョンの最新パッチでテストされました。
- JREアップグレードを実行する方法については、記事「Dell Data Protection Advisor 19.10インストールおよび管理ガイド 」を参照してください。
『PowerProtect DPシリーズ アプライアンス セキュリティ構成ガイド』(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)を、『SNMP v3を使用した保護ソフトウェアと保護ストレージの統合』および「レポート作成と分析、保護ストレージのSNMP v3との統合」セクションに適用します
注意:PowerProtect DPシリーズ アプライアンスがCloud DRで構成されている場合は、保護ソフトウェア(Avamar)と保護ストレージ(Data Domain)をSNMP v3と統合しないでください。Cloud DRは、SNMP v3の構成後に正常に機能しません。
Cloud DRを使用している場合は、SNMP v2Cのみがサポートされます。よく知られている "public" と "private" のコミュニティ文字列は、 " のような文字列に置き換える必要があります。idpasnmpuserまたは環境に固有のもの。SNMPコミュニティー文字列をアップデートするには、『 セキュリティ構成ガイド 』(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)(v3ではなくSNMP v2Cを選択)の手順を参照してください。
PowerEdgeファームウェアおよびiDARCは次のとおりです。
『IDPAセキュリティ構成ガイド』に記載されている手順を適用します(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)、「PowerProtect DPシリーズ アプライアンス スイッチおよびiDRACのデフォルトのSNMPコミュニティー文字列を変更する」セクションで、SNMPコミュニティー文字列を変更します
セキュリティ構成ガイドに記載されている手順を適用します(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)。 「iDRACのTLSプロトコル設定」セクションを参照し、iDRAC WebサーバーのTLSプロトコルをTLS 1.2以降にアップデートします
PowerProtect DPシリーズ アプライアンスを適用し、 SSHのIDPAレポートSHA1の非推奨設定(QID 38909)を適用します。
PowerEdgeスイッチ(DP5/8x00用):
セキュリティ構成ガイドに記載されている手順を適用します(ドキュメントを表示するには、Dellサポートに登録ユーザーとしてログインする必要があります)。 「PowerProtect DPシリーズ アプライアンス スイッチおよびiDRACのデフォルトのSNMPコミュニティー文字列の変更」セクションを参照して、SNMPコミュニティー文字列をアップデートします。
受影响的产品
PowerProtect Data Protection Appliance, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, PowerProtect Data Protection Hardware
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文章属性
文章编号: 000223709
文章类型: How To
上次修改时间: 05 5月 2025
版本: 13
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。