セキュリティ設定の管理には、SSHキー交換アルゴリズムおよびデータ暗号化アルゴリズム(暗号とも呼ばれる)の管理があります。Data ONTAPでは、それぞれのSSHセキュリティ要件に従って、クラスタまたはStorage Virtual Machine(SVM)の個々のSSHキー交換アルゴリズムおよび暗号を有効または無効にすることができます。
Data ONTAPでは、クラスタおよびSVMに関して次のSSHクライアントをサポートしています。
SHA-2アルゴリズムはSHA-1アルゴリズムより安全です。Data ONTAPは、SSHサーバとして機能し、クライアントに適した最も安全なSSHキー交換アルゴリズムを自動的に選択します。SSHのセキュリティをさらに強化するためには、SHA-1アルゴリズムを手動で無効にして、SHA-2アルゴリズムだけを有効にしておきます。
CTRモードの暗号はCBCモードの暗号より安全です。同じモードの暗号間では、鍵サイズが大きいほど暗号の強度が増します。Data ONTAPでサポートされている暗号の中では、aes256-ctrが最も安全で、3des-cbcが最も弱い暗号です。
クラスタおよびSVMのSSHキー交換アルゴリズムと暗号は次の方法で管理できます。
有効なSSHキー交換アルゴリズムが、セキュリティの強度が高い順に表示されます。
有効なCTRモード暗号(より安全)は、CBCモード暗号(安全でない)の前に表示されます。同じモード の場合、鍵サイズが大きい暗号から表示されます。
クラスタのSSHキー交換アルゴリズムまたは暗号を変更した場合、以降作成されるすべてのSVMにも変更が適用されます。
追加したSSHキー交換アルゴリズムまたは暗号は有効になります。
SSHキー交換アルゴリズムまたは暗号をクラスタ構成に追加した場合、以降作成されるすべてのSVMにも適用されます。
削除したSSHキー交換アルゴリズムまたは暗号は無効になります。
SSHキー交換アルゴリズムまたは暗号をクラスタ構成から削除した場合、以降作成されるすべてのSVMにも適用されます。
クラスタまたはSVMからすべてのSSHキー交換アルゴリズムまたは暗号を削除することはできません。
Data ONTAP 8.2.1より前のリリースにダウングレードまたはリバートすると、このコマンドを実行して、クラスタおよびすべてのSVMのSSHセキュリティ設定を以前のリリースのデフォルト設定(以下)にリセットするように求められます。