当資料は、2023年1月24日に公開されたブログの抄訳版です。
ブログ原稿 https://infohub.delltechnologies.com/p/powerscale-onefs-9-5-delivers-new-security-features-and-performance-gains/
筆者: Nick Trimbee
2023年1月24日 |所要時間:6分
世界で最も柔軟(*1)でサイバー セキュアなスケールアウトNASソリューション(*2)の「Dell PowerScale」が、革新的な最新リリース「OneFS 9.5」によってパワーアップし、新たな年を迎えました。企業がかつてないほどのサイバー攻撃の脅威に直面し、データの整合性と保護が最重要課題となっていますが、「OneFS 9.5」は、非構造化データとワークロードをこれまで以上に安全に保つための一連の新しいセキュリティー機能を提供するとともに、「PowerScale」ノードのパフォーマンスの大幅な向上を実現します。例えば、オールフラッシュ「F 600」および「F 900」ノードのパフォーマンスは、従来の「OneFS」リリースと比較して最大55%向上しています(*3)。
「OneFS」とハードウェアのセキュリティー機能
「PowerScale OneFS 9.5」の新しいセキュリティー機能の強化には、一般的な企業データ セキュリティー要件に加えて、FIPS 140-2やCommon Criteria、DISA STIGsなどの米国連邦政府および国防総省の要件に対応するものが含まれています。多要素認証(MFA)、シングルサインオン(SSO)のサポート、保存中・伝送中のデータの暗号化、TLS 1.2、USGv6R1 IPv6のサポート、SEDマスター暗号化鍵の再設定(rekey)、さらに新しいホストベースのファイアウォールなどが「OneFS 9.5」に含まれています。
15TBおよび30TBの自己暗号化(SED)SSDにより、「OneFS 9.5」を実行する「PowerScale」プラットフォームは、クラスターあたり最大 186 PB の暗号化されたRAW容量まで拡張できるようになりました。すべて単一のボリュームとファイル システムであり、暗号化は圧縮と重複排除を行う前に実行されます。
ゼロトラスト モデルでデータを保護 - 連邦政府レベルのセキュリティー
米国政府は、デル・テクノロジーズをはじめとするインフラストラクチャー プロバイダーに、セキュリティーに厳格な要件を課しており、ベンダーは、USGv6、STIGs、DoDIN APL、Common Criteriaなどの諸要件に準拠していることを証明する必要があります。「OneFS 9.5」クラスター強化オプションを有効化すると、AESおよびSHA暗号化を使用したデフォルトの最大セキュリティー設定が実装され、クラスターは自動的にFIPS 140-2準拠となります。
デザインを一新した「OneFS 9.5」のログイン画面は、コマンドラインとWebUIの両方からのSAMLベースのシングルサインオン(SSO)をサポートしています。「OneFS」のSSOは、ADFS(Active Directoryフェデレーション サービス)などのIDプロバイダー(IDPs)との互換性を有しているとともに、マルチテナント環境に対応しているので、クラスターのアクセスゾーンそれぞれを独立して構成することが可能です。
連邦政府APL要件では、システムは信頼されたルートCA証明書までのチェーン内のすべての証明書を検証することが求められます。この要件に対応するため、「OneFS 9.5」は共通の公開鍵(PKI)インフラストラクチャー ライブラリーによって、公開鍵証明書の発行、維持、取消しを行います。これらの証明書は、デジタル署名と暗号化機能を提供し、公開鍵暗号を使用してID識別と認証を行い、データの完全性、機密性を確保します。このPKIライブラリーは、SecureSMTPなどPKI証明書の検証サポートが必要なすべての「OneFS」コンポーネントが使用し、連邦政府のPKI要件を確実に満たします。
この最新の「OneFS 9.5」のPKIおよび認証局インフラストラクチャーによって、多要素認証が可能になり、ユーザーはユーザー名とパスワードを手入力することなく、自分のログインID情報を含むCAC(共通アクセスカード)やPIV(本人確認)スマートカードを通すだけで、クラスターにアクセスできるようになります。さらに、「OneFS 9.5」のアカウント ポリシー制限機能によって、非アクティブ アカウントが自動的に無効化され、同時管理セッションの制限や、ログインを失敗した際に一時的にログインが制限される機能が実装されました。
FIPS 140-2のコンプライアンスの一部である「OneFS 9.5」の新しい鍵管理は、マシンのパスワードやKerberosキータブ、その他の識別情報を含む秘密データの安全なリポジトリを提供します。また、オプションでSHA256またはSHA512ハッシュタイプで、MCF(モジュラー暗号形式)を使用できます。「OneFS」のプロトコルとサービスを設定することで、FIPS 140-2の伝送データ暗号化に準拠し、SEDクラスターおよび新しいマスターキーの鍵再設定機能によって、FIPS 140-2の保存データ暗号化に準拠することができます。さらに、使われていないサービスや非準拠サービスは、簡単に無効化できます。
ネットワーク側では、連邦政府APLには重複アドレス検出(DAD)やリンク ローカルIP制御など、クラスターのIPv6スタックの個々のコンポーネントを細かく制御することに重点を置いたIPv6(USGv6)要件があります。STIGとAPL両方の要件を満たす新しい「OneFS 9.5」のフロントエンド ファイアウォールでは、セキュリティー管理者は連邦政府または企業のセキュリティー ポリシーに従って、管理インターフェイスを指定のサブネットに制限できるとともに、クラスターのコマンドラインまたはWebUIでポート ブロッキングとパケット フィルタリング ルールを実装できます。
最も要求が厳しいワークロードのパフォーマンス向上を実現
「OneFS 9.5」では、特にオールフラッシュNVMeプラットフォームで大幅な性能向上を実現し、「PowerScale F900」がラインレート ストリーミング読取りをサポートしました。「SmartCache」の機能強化により、「OneFS 9.5」は、「F600」および「F900」の「F-Series」ノードで、最大55%のストリーミング読取り性能の向上を実現しました(*3)。また、メディアおよびエンターテインメントのワークロード、さらにはAIや機械学習、ディープ ラーニングなど、幅広いワークロードにメリットをもたらします。
「OneFS 9.5」の「SmartPools」の機能強化により、転送制限を設定することができます。これらには、パーセントで表される最大容量のしきい値も設定することができ、しきい値を超えると「SmartPools」は特定の層へのファイル移動を停止するため、信頼性と階層化のパフォーマンスが高まります。
新たに登場した「PowerScale SmartQoS」では、クラスター パフォーマンスを細かく制御することができ、管理者はNFSやS3、SMB、混合プロトコル ワークロードが使用するプロトコル オペレーションの最大数の限度を設定できます。
エンタープライズ レベルのサポート力とサービス力をさらに強化
「OneFS 9.5」は、「PowerScale」のクラスターから、イベントやログ、テレメトリーをデル・テクノロジーズのサポートに送信するための次世代リモート接続システム「SupportAssist」をサポートしています。「SupportAssist」は、完全に「ESRS」に替わるシステムであり、デル・テクノロジーズのサポートは、リモートで診断を行いクラスターの問題に対処することができます。
「OneFS 9.5」へのアップグレード
新しい「OneFS 9.5」のコードは、デル・テクノロジーズのサポート サイトからアップグレードおよびリイメージ ファイルをダウンロードいただくことができ、最新リリースのインストールやアップグレードを行うことができます。
前バージョンまでの「OneFS」を使用している既存のクラスターについては、デル・テクノロジーズ サポートでサービス リクエストを行い、アップグレードのスケジュールを設定することをお勧めします。デル・テクノロジーズは、お客様に一貫して質の高いアップグレード体験を提供します。サポート契約が有効なお客様には、アシスト付きの「OneFS 9.5.0」へのアップグレード サービスを無償で提供しています。アップグレード プロセスに関する詳細は、ナレッジベースの記事KB544296をご覧ください。また、今後数週間にわたり、「OneFS 9.5」のさまざまな新機能をさらに詳しく紹介するブログ記事を公開していきますので、ぜひご覧ください。
*1. デル・テクノロジーズ社内分析に基づく(2021年8月)。
*2. デル・テクノロジーズ社内分析に基づく - 「Dell PowerScale」と競合製品のサイバーセキュリティー ソフトウェア機能を比較。2022年9月。
*3. デル・テクノロジーズ社内テストに基づく(2023年1月)。実際の結果は変動する場合があります。