NetScaler コンソール経由の NetScaler MPX ディスク暗号化

注記:

ディスク暗号化は、NetScaler MPX 9100 インスタンスでのみサポートされます。

NetScaler MPX 9100 インスタンスのディスク暗号化は、スタンドアロンの NetScaler コンソールでのみ有効にできます。

ディスク暗号化は、ストレージディスクに保存されている機密データを保護するのに不可欠です。これにより、物理ストレージデバイスが侵害された場合でも、データにアクセスできない状態が維持されます。 NetScaler MPX の場合、ディスク暗号化によって、特に /var/core、 /var/crash、 /var/log、 /var/nslog、 /flash/nsconfig、 /var/nstrace、 /var/tempなどの重要なディレクトリに対して、セキュリティの追加レイヤーが提供されます。

ディスク暗号化の利点は次のとおりです。

保存時のデータ保護: システムの電源がオフになっているときに機密データへの不正アクセスを防止します。
コンプライアンス: データセキュリティに関する規制およびコンプライアンス要件を満たすのに役立ちます。
物理的な盗難リスクの軽減: 盗難または置き忘れられたストレージデバイス上の機密データや独自データにアクセスできないようにします。
セキュアブートプロセス: 起動時に認証された資格情報を要求し、許可されたユーザーのみがシステムにアクセスできるようにします。
重要なデータのセキュリティ強化: ログ、構成、クラッシュデータを不正アクセスから保護します。

NetScaler MPX 9100 のディスク暗号化は、2025 年 5 月 20 日以降に出荷されたビルド 14.1-47.x でのみサポートされており、ビルド 14.1-47.x を実行している NetScaler Console を通じて有効にできます。各 NetScaler MPX インスタンスのディスク暗号化には、ハードウェアセキュリティモジュール (HSM) サーバー (Thales CipherTrust Manager) によって管理されるキーが必要です。 NetScaler MPX インスタンスは、 NetScaler コンソールを使用して、HSM サーバーからキーを取得します。

注記：

NetScaler コンソールは、HSM サーバーとして Thales CipherTrust Manager をサポートします。

暗号化を成功させるには、NetScaler MPX インスタンスのシリアル番号を HSM サーバーに追加する必要があります。 NetScaler MPX インスタンスのシリアル番号を追加すると、NetScaler コンソールはインスタンスのシリアル番号を使用して HSM サーバーからキーを取得します。

ディスクの暗号化が完了したら、次のようになります。

NetScaler MPX インスタンスディスクが削除されると、データにアクセスできなくなります。
NetScaler MPX インスタンスを再起動する場合、NetScaler コンソールが HSM サーバーからのシリアル番号を使用して NetScaler MPX インスタンスを認証した後にのみ、再起動が成功します。

前提条件

次のことを確認してください:

NetScaler MPX インスタンスはビルド 14.1-47.x を実行しており、ビルド 14.1-47.x を実行しているオンプレミスの NetScaler コンソールで管理されています。

注記：

NetScaler コンソールサービスではディスク暗号化はサポートされていません。
NetScaler Console がシリアル番号を使用してインスタンスを認証した後にキーを共有できるように、HSM (Thales CipherTrust Manager) サーバーに NetScaler MPX インスタンスのシリアル番号を追加しました。
NetScaler MPX インスタンスは、NetScaler コンソールを通じてバックアップされます。詳細については、「 NetScaler インスタンスのバックアップと復元」を参照してください。

HSM（Thales CipherTrust Manager）サーバーにインスタンスのシリアル番号を追加します

NetScaler MPX インスタンスを暗号化する前に、HSM サーバーに NetScaler MPX インスタンスのシリアル番号を追加する必要があります。

Thales CipherTrust Manager サーバーにログオンします。
左側のペインで、[ キー ] を選択し、[ キーの追加] をクリックします。
キーラベルの下に、 serialnumberという名前のラベルを追加し、 ラベル値 テキストボックスにインスタンスのシリアル番号を指定して、 + ボタンをクリックしてキーの詳細を追加し、 キーの追加をクリックします。
キーの詳細ページで、このキーのエクスポート可能トグルを有効にする必要があります。
注記:
- サポートされる最大キーサイズは 511 バイトです。たとえば、AES-128 と AES-256 がサポートされています。 512 〜 4096 の RSA キーはサポートされていません。
- サポートされているキーサイズのみを使用することをお勧めします。サポートされていないキーサイズを設定すると、NetScaler インスタンスは失敗します。
- 正しいシリアル番号を指定していることを確認してください。シリアル番号が一致しない場合は、暗号化プロセスは開始されません。
- NetScaler コンソールからインスタンスのシリアル番号をコピーすることをお勧めします。 NetScaler コンソール GUI で、 インフラストラクチャ > インスタンス > MPXに移動し、NetScaler MPX インスタンスを選択して、 アクションの選択 リストから シリアル番号の取得をクリックします。

NetScalerコンソールによるインスタンスディスクの暗号化

ディスク暗号化を開始する前に、NetScaler コンソールから MPX インスタンスのバックアップを作成してください。詳細については、「インスタンスのバックアップの構成」を参照してください。

バックアップを取った後:

インフラストラクチャ > インスタンス > NetScalerに移動します。
NetScaler MPX タブでは、管理対象インスタンスの詳細を確認できます。暗号化するインスタンスの「 ディスク暗号化ステータス」の下に「 プレーンテキスト 」が表示されます。
アクションの選択 リストから、 ディスク暗号化設定をクリックします。
ディスク暗号化設定 ページで:
1. NetScaler コンソールがシリアル番号を使用して暗号化キーを取得できる HSM サーバーの IP アドレス、ユーザー名、およびパスワードを指定します。
2. キーマネージャープロキシを有効にします。ディスク暗号化プロセスを続行するには、このオプションを有効にする必要があります。
  
  注記：
  
  暗号化が完了した後も、 Key Manager Proxy が常に有効になっていることを確認します。このオプションを無効にすると、インスタンスをアップグレードした後やインスタンスを強制的に再起動した後などのシナリオで、暗号化されたインスタンスが正常に再起動しなくなります。
3. 保存をクリックします。
インスタンスを選択し、[アクションの選択 ] リストから、[ファイルシステムの暗号化] をクリックします。

確認ウィンドウが表示されます。続行するには、[ はい ] をクリックします。
NetScaler コンソールに、暗号化が開始され、インスタンスが約 30 分間 ダウン ステータスになることを示す確認メッセージが表示されます。

インスタンスの状態は、 暗号化進行中と表示されます。

暗号化後の検証

インスタンスの暗号化は約 30 分で完了します。暗号化が完了したら:

SSH クライアントを使用して NetScaler MPX インスタンスにログオンし、次のコマンドを使用して暗号化が成功したかどうかを検証できます。

ファイルシステムの暗号化を表示する

暗号化前暗号化後
次の例に示すように、暗号化後に NetScaler MPX インスタンスを再起動し、再起動が完了したかどうかを確認できます。
次のコマンドを使用して、 Key Manager Proxy が正常に構成され、NetScaler からアクセスできるかどうかを確認できます。

キーマネージャプロキシを表示

注記：

暗号化後、NetScaler コンソールは mpx_disk_encryption_default_profile を使用して NetScaler MPX インスタンスにアクセスします。 mpx_disk_encryption_default_profile にはデフォルトの資格情報 (nsroot/nsroot) があります。

暗号化後のNetScaler MPXインスタンスの復元

バックアップを取る前にデフォルトのパスワード (nsroot) を変更した場合は、バックアップ中に使用されたプロファイルが暗号化後に NetScaler コンソールで使用できることを確認してください。