未解決
1 Rookie
•
33 メッセージ
0
78
2025年8月14日 10:30
DataPlatformTech 第35回 PowerScaleのセキュアスナップショット
皆様、暑い日々が続いておりますがいかがお過ごしでしょうか?本日(US時間の2025年8月14日)待望のOneFS 9.12がリリースされましたので、今回は世間の暑さにも負けないPowerScaleの熱い機能をご紹介いたします!
PowerScaleは、世界で最も柔軟で安全かつ効率的なスケールアウトNASと謳っていますが、OneFS 9.12ではさらにrootアカウントの無効化(Root Lockdown Mode)やS3関連の強化(S3 Data Protection ModeやObjectLock/BucketLock、S3 Access Logging)など多くのセキュリティ機能が追加されました。
お伝えしたい内容は山ほどあるのですが、今回はその中でも1番興味を持って頂けそうなセキュアスナップショットと各種セキュリティ機能とも密接に関わりが出てくるマルチパーティ承認(Multi-Party Authorization、略してMPA)についてご紹介いたします。
はじめに、今回実装されたマルチパーティ承認についてですが、一言でいうと『特定の重要操作を実行する際に承認者の許可が無いと実行が完了しない仕組みを提供』します。PowerScaleでは、このマルチパーティ承認と併せてセキュアスナップショットを実現しています。
例えば、従来は管理者権限(もしくはスナップショットの操作権限)を持っているユーザであれば、作成済みのスナップショットを削除したり、スナップショットスケジュールを変更することが簡単に出来てしまいました。非常に便利な反面、問題となるケースとしましては、「管理者権限を持った悪意のあるユーザ(外部/内部問わず)によるスナップショットの意図的な削除や改ざん」、「管理者が削除したいスナップショットとは別のスナップショットを誤って削除してしまった」などが挙げられます。セキュアスナップショットは、スナップショットの削除を行う際、たとえ管理者であっても承認者の承認が無いと削除することができない機能となります。この機能は、スナップショットの削除だけでなく、スナップショットの名前や有効期限の変更、スナップショットスケジュールの変更操作を行う際にも有効です。さらにOneFS 9.12で実装されたrootアカウントの無効化と併用することでセキュリティを高めることが可能です。
1. マルチパーティ承認の有効化
セキュアスナップショットの利用にあたり、先ずはマルチパーティ承認を有効化します。マルチパーティ承認を有効にするには承認者を2人以上追加する必要があるため、今回はyasuiとtakaiというユーザに対して承認者の権限を追加します。OneFS 9.12からはマルチパーティ承認用に"Approval Admin"というロールが追加されていますので、予めapproverというグループを作成してyasuiとtakaiを追加し、approverグループに"Approval Admin"ロールを付与します。なお、yasuiにはひととおりスナップショットを操作できるSnapshot権限(Manage Snapshots, aliases, schedules and settings)を与えました。承認を実行する際にはワンタイムパスワード(Time-based One-Time Password)に対応した認証アプリが必要となりますので、下記ステップ1.~4.ではyasuiユーザを承認者として登録する流れをご紹介します。
1. yasuiでOneFSのWebUIにログインします。【Multi-Party Authorization】から「Registration」を選択します。下記スクリーンショットのとおり認証アプリをインストールするように要求されます。今回、私のほうではMicrosoft Authenticatorを使用しました。(以降のステップではMicrosoft Authenticatorをベースにご紹介します。)スマートフォンへ認証アプリのインストールが完了しましたら「Next」を選択します。
2. 登録用のQRコードが表示されますので、スマートフォンのMicrosoft Authenticatorを起動して「QRコードをスキャン」から登録します。(※下記スクリーンショットのQRコードは読み取れないように加工しております。)QRコードをスキャン後、"I have scanned the OR Code"をチェックして「Next」を選択します。
3. Microsoft AuthenticatorにPowerScaleのユーザが登録されたことを確認します。マルチパーティ承認で「承認」を実行する際に必要なコードが表示されます。(Microsoft Authenticatorでは、30秒毎にコードが更新されます。)
4. 認証コードの検証を行うために、Microsoft Authenticatorに表示されている認証コードをAuthentication Code欄に入力して「Register」を選択します。
5. Registrationの画面に戻り、"Approval Administrator registration completed successfully."と表示されれば完了です。
6. 同様にtakaiユーザで上記1.~4.の手順を実行し承認者として登録します。承認者としての登録が完了すると、下記スクリーンショットのように、「Approval Administrators」に yasui と takai が表示されます。
7. 管理者ユーザでマルチパーティ承認を有効にします。【Multi-Party Authorization】の「Settings」から"Enable"を選択します。現在のOneFSのバージョンではマルチパーティ承認を有効にしたら無効には出来ませんのでご注意ください。
2. セキュアスナップショットの動作確認
マルチパーティ承認の有効化が完了しましたので、実際にセキュアスナップショットが動作するか確認します。セキュアスナップショットと言ってもスナップショットの作成やスナップショットスケジュールの設定時に特別な操作は不要で、マルチパーティ承認によって特定の重要操作(今回の場合はスナップショットの削除)を実行する際にワークフローとして自動的に組み込まれます。
1. はじめに、マルチパーティ承認のUIについて簡単にご紹介します。マルチパーティ承認を有効にすると下記スクリーンショットのようにリクエストのダッシュボードが表示されます。現在はリクエストが存在していないですが、この画面ではリクエストの合計やペンディングや承認済み、拒否(リジェクト)の件数、リクエストの詳細を確認することができます。また、幾つかのセキュリティ関連のリクエストは「Create」から作成することが可能です。
2. スナップショットを作成したいと思いますので、yasuiでログオンして【Data protection】の「SnapshotIQ」から「Create snapshot」を選択します。名前は、"secure_snap_test"として「Create snapshot」を選択します。
3. 下記スクリーンショットのとおり、スナップショットの作成に関しては承認者の介在なく実行できました。続いて作成したスナップショットの削除を試みます。作成したスナップショットのActionsから「Delete」を選択します。Confirm delete snapshot(スナップショット削除の確認)が表示されますので「Delete」を選択します。
4. "Delete Snapshot is a privileged action. A request paareq3faf1ca1cbea59c2 to perform this action is pending approval. Check Multi-Party Authorization to view status of the request."(スナップショットの削除は特権アクションのため承認が必要)とのメッセージが表示されてスナップショットは削除されませんでした。(リクエストIDは paareq3faf1ca1cbea59c2 となっています。)
5. yasuiのまま「Requests」を確認してみます。Request ID paareq3faf1ca1cbea59c2 に関してStatusがPendingになっていることが確認できます。Requested forがyasuiになっているためActionsには「View/Edit」しか表示されていません。このように管理者と承認者の両方の権限を持っている場合でも他の承認者による「承認(approve)」が必要となります。
6. 上記リクエストを承認するために、takaiユーザでログインします。Request ID paareq3faf1ca1cbea59c2 のActionsを確認すると、「View/Edit」以外にも「Approve」や「More」(「More」から「Cancel」と「Reject」が選択できます)がが選択できます。今回は、「Approve」を選択します。
7. takaiのMicrosoft Authenticatorのコードを確認します。
8. Approve Requestが表示されますので、Security Codeにコードを入力します。Commentも必須項目なため適切な文言を入力して「Approve」を選択します。
9. "Request paareq3faf1ca1cbea59c2 has been successfully approved."と表示されStatusがApprovedとなりました。承認したリクエストの詳細を確認するためにActionsの「View」を選択します。
10. 詳細では、何のリクエスト(Requested Action: Delete Snapshot)が誰(Requested for: yasui、Approver ID: takai)によっていつ(2025-08-08-14:53:55 JST)承認されたか確認することができますので記録(証跡)としても機能します。
11. あらためて、yasuiユーザでログインして再度スナップショットの削除を試みます。Confirm delete snapshotが表示されますので、「Delete」を選択します。
12. "Snapshot deleted successfully"と表示されて削除ができました。
以上、セキュアスナップショットのご紹介でした。もちろんスナップショットスケジュールでの自動削除やSyncIQのレプリケーション用スナップショットのローテーション等は承認者を介在することなく、従来どおりの動作となります。
さいごに
久しぶりにPowerScaleの技術情報となりました。セキュアスナップショットはOneFSシミュレータとスマホがあれば簡単にお試し頂くことは可能です。📱👨💻
この夏、PowerScale以外のDell AI Data Platformのコンポーネントも幾つかアップデートが予定されていますので、ご期待ください!
# 具体的にはObjectScale 4.1(2025年8月12日リリース済み)、Dell Data Lakehouse(2025年8月13日リリース済み)、PowerScale Cybersecurity Suite(2025年8月下旬予定)があります。
最後までご覧頂きましてありがとうございました。