7. セキュリティに関する考慮事項
ビューベースアクセス制御モデルは、SNMPプロトコルメッセージのアクセス制御を提供します。これにより、セキュリティ管理者は、個々のユーザーまたはユーザーグループに対して、異なるSNMPコンテキスト内の管理情報の異なる部分に対する異なるアクセス権を設定できます。
7.1. 推奨プラクティス
実装者および管理者は、管理情報へのアクセスを制御するためにビューベースアクセス制御モデルを使用することが推奨されます。具体的には:
-
実装者は、付録Aに記載されている初期最小セキュア構成(initial-minimum-secure-configuration)の機能を提供することが推奨されます。これは、ローカルでのみ利用可能なsecurityNameを使用し、そのsecurityNameに対して制限されたアクセス権を設定するものです。
-
管理者は、この文書のガイドラインに従ってアクセス権を設定し、付録Aに記載されている推奨プラクティスに従うことが推奨されます。
-
vacmViewTreeFamilyTableを使用して、各グループに対して個別の読み取り、書き込み、および通知ビューを設定し、これらのビューは、管理対象ネットワークのセキュリティ要件と一致する限り、可能な限り制限的であることが推奨されます。
7.2. グループの定義
グループは、MIBオブジェクトの読み取り、書き込み、および通知の受信に関して同じアクセス権を持つプリンシパル(securityNameで識別される)の集合です。
グループの使用は管理上便利です。グループを定義し、個々のプリンシパルではなくグループにアクセス権を割り当てることにより、管理者は管理負担を軽減できます。
ただし、管理者はグループを慎重に使用する必要があります。securityNameをグループに割り当てることは、そのsecurityNameに、そのグループの任意のメンバーに許可されているすべてのアクセス権を効果的に付与します。特に:
-
securityNameは、そのsecurityNameに関連付けられたプリンシパルがそのグループに付与されたアクセス権を悪用しないとセキュリティ管理者が信頼している場合にのみ、グループに割り当てる必要があります。
-
securityLevel noAuthNoPrivは認証を提供しないため、securityLevel noAuthNoPrivを持つすべてのプリンシパルは同じIDを持つと想定され、同じ(通常は非常に制限された)アクセス権を付与される必要があります。
7.3. 適合性
ビューベースアクセス制御モデルへの適合性は、アクセス権の動的変更のサポートを必要としないことに注意してください。実装は、設定テーブルへの読み取り専用アクセスのみをサポートするか、コマンドラインインターフェイスやテキストファイルなどのローカルメカニズムを介した設定のみをサポートすることを選択できます。ただし、読み取り専用アクセスを使用すると、柔軟性が低下し、管理負担が増加します。
実装は、SNMPを介したアクセス権の動的変更をサポートし、そのような変更にはユーザーベースのセキュリティモデル[RFC3414]を認証とプライバシーとともに使用することが推奨されます。
7.4. SNMP-VIEW-BASED-ACM-MIBへのアクセス
実装者は、付録Aに記載されている初期最小セキュア構成または初期半セキュア構成を設定し、SNMP-VIEW-BASED-ACM-MIBへのアクセスを認証および承認されたユーザーに制限することが推奨されます。
特に、vacmSecurityToGroupTable、vacmAccessTable、およびvacmViewTreeFamilyTableへのアクセスは制限する必要があります。これらのテーブルは、すべての管理情報へのアクセス権を制御するためです。これらのテーブルへの不正な変更により、次のような結果が生じる可能性があります:
- 正当なアクセス権を制限することによるサービス拒否。
- 不正なプリンシパルに読み取りアクセスを付与することによる機密情報の開示。
- 書き込みアクセスを付与することによる不正なプリンシパルによる管理情報の変更。
したがって、次のことが推奨されます:
- これらのテーブルへの読み取りアクセスは、認証および承認されたユーザーにのみ付与する。
- これらのテーブルへの書き込みアクセスは、アクセス制御を再設定する能力を必要とする認証および承認されたユーザーにのみ付与する。
- ユーザーベースのセキュリティモデルを使用する場合、これらのテーブルへのすべてのアクセスには認証とプライバシーを使用する。