|
|
|
|
|
MOVEit Transfer は SSL および SSH 標準を使用して、さまざまなクライアントと安全にデータを交換します。MOVEit Transfer はこのようなすべての送信時にサーバーとして機能するため、MOVEit Transfer には SSL サーバー証明書 (「証明書」または「X.509 証明書」とも呼ばれます) と SSH サーバーキーが必要です。
クライアント証明書とクライアントキーはオプションの情報であり、特定のユーザーを認証する際に、パスワードの代わりとして、またはパスワードに加えて使用できます。クライアント証明書は 2 つの SSL インターフェイス (HTTPS および FTPS) で使用でき、クライアントキーは SSH インターフェイスで使用できます。場合によっては、クライアント証明書は何らかのハードウェアトークンに保存されることがあります。
このトピックのセクションでは、コンポーネントについて説明し、詳しいセットアップ情報が記載されているその他のセクションを紹介しています。
また、作業を始める際には以下の手順も役立ちます。
SSL サーバー証明書は通常、Comodo、Thawte、Verisign、その他の数多くの商用証明機関 (以下 "CA") から取得されます。自己生成された証明書も使用できますが、商用 CA の証明書を使用するメリットは、IE や Firefox など一般的な数多くのブラウザで、ユーザーのサイトが自動的に信頼されることです (画面隅に鍵が表示されます)。それ以外の場合、クライアントは証明書を信頼することを明示的に選択する必要があります。
MOVEit Transfer サーバー証明書は、以下の 2 か所で設定します。
ユーザーは、HTTPS または FTP/SSL インターフェイスを使用したサインオンプロセス中に SSL クライアント証明書の提示を求められることがあります。詳細については、「クライアント証明書 - 概要」および「FTP - 設定 (クライアント証明書が必要)」を参照してください。
SSH キーと署名者の間には何の関係もなく、MOVEit Transfer SSH サーバーは初回実行時に独自のキーの生成のみを行います。
MOVEit Transfer Config アプリケーションを使用して、SSH キーのフィンガープリントをいつでも確認できます ([SSH] タブ)。
「SSH キー - サーバーキー - 概要」も参照してください。
SSH ユーザーは、サインオンプロセス中に SSH クライアントキーの提示を求められることがあります。詳細については、「SSH キー - クライアントキー - 概要」を参照してください。
パスワードを保護するために、MOVEit Transfer には、パスワードの安全性要件、パスワードの有効期間、ユーザーごとの IP 制限、ユーザーごとのセッション制限、自動ロックアウト、パスワードを安全に送信するための SSL および SSH 暗号化チャネルの使用が含まれています。
クライアント証明書 (以下 "証明書") およびキーは通常、特定のコンピュータまたはハードウェアトークンに関連付けられます。攻撃者がこれらの認証情報を悪用するには、(インストールされているキー/証明書について) デスクトップ/ラップトップマシンを制御するか、またはハードウェアトークンを入手する必要があります。すべてのクライアント証明書およびクライアントキーは、"公開キー/秘密キー" 暗号化に依存しています。このモデルでは、特定のユーザーの秘密キーを入手すれば、そのユーザーになりすますには十分です。MOVEit Transfer は、クライアント証明書/キーの秘密キーを直接取り扱わないことで、秘密キーの保護の問題を回避します。
パスワードとクライアント証明書/キーには脆弱性があるため、ユーザーは一般的に、パスワードとクライアント証明書/キーの両方を使用した認証を求められます。攻撃者がこのスキームを打破するには、ユーザーのパスワードを入手し、そのユーザーの秘密キーにアクセスしなければなりません。攻撃者にとって、この "2 要素" レベルのセキュリティ侵害を成し遂げることは、パスワードまたは証明書/キーのどちらかを入手することよりも困難です。
SSH キーと (X.509) SSL 証明書の主な違いは、SSH キーは独立した認証情報であるのに対し、SSL 証明書は確認が必要であるという点です。
SSH サーバー (MOVEit Transfer を含む) は、特定の SSH クライアントキーを特定のユーザーに関連付けます。SSH クライアントが SSH キーを提示し、それがユーザーのレコードに保存されているものと一致した場合、SSH クライアントキーは認証されます。
SSL サーバー (MOVEit Transfer を含む) も特定の SSL クライアント証明書を特定のユーザーに関連付けますが、SSL サーバーは受信した SSL クライアント証明書に対してバックグラウンドで追加チェックを実行します。SSL クライアント証明書は、証明機関 (CA) によって署名 (発行) されます。SSL サーバーは信頼する CA のリストを維持します。SSL サーバーが有効な SSL クライアント証明書を受信したが、クライアント証明書の CA が信頼されていない場合、SSL サーバーは接続を拒否します。
SSL 認証の設定は、SSH 認証の設定よりも複雑です。
MOVEit Transfer ユーザーは、パスワード、クライアントキー (SSH のみ)、またはクライアント証明書 (HTTPS および FTP/SSL) で認証できます。各ユーザープロファイルのオプションを使用して、許可される組み合わせを正確に適用できます (デフォルト設定は組織レベルで使用できます)。可能な設定は以下のとおりです。
「2 要素認証」を必要とするシステムには、次の項目が必要です。
MOVEit Transfer は、クライアント証明書を使用する HTTPS および FTP/SSL インターフェイスと、クライアントキーを使用する FTP over SSH インターフェイスで「2 要素認証」をサポートしています。この要件を特定のユーザーに適用するには、以下のユーザーレベルのオプションをインターフェイスごとに有効にする必要があります。
多くの FTP/SSL クライアントでは、対話モードとバッチモードの両方で 2 要素設定 ("パスワードと証明書") を使用しています。ただし、最も一般的な SSH クライアント (OpenSSH) は、2 要素設定が適用されている場合、対話モードでのみ機能します (OpenSSH は、バッチモードでは 1 要素の [Key Only (キーのみ)] または [Password OR Key (パスワードまたはキー)] に設定する必要があります)。