このセクションでは、すべての ENC ノードが、ENC 仮想インフラストラクチャに参加するために実行する必要のある共通機能について説明します。 共通機能は、物理接続、認証、および認可という 3 つの異なるフェーズに分けられます。
すべてのノードは、1 番目のインスタンス内のターゲット ENC ノードに接続が許可されるには、IP アドレス ホワイト リストのテーブルにリストされている必要があります。 ENC ノードに対して確立されたそれぞれの接続上で、アクセスを許可または拒否する必要があるかどうかをチェックするために、認可コンポーネントが呼び出されます。 アクセスが拒否される場合は、接続が即時に切断されます。
ネットワーク トランスポート接続がいったん確立されると、通信を行う両方のピアは、TLS プロトコルを利用してお互いを認証し合い、信頼されるサードパーティの認証局経由で認証 ID が信頼できるか、および ID が現在有効かを検証します。
認証フェーズに続いて、認証 ID は「認証接続」イベント チェック ボックスのために認可コンポーネントに渡されます。 このイベントの保護されたオブジェクトは、ターゲット ENC ノードです。 個別のコンピュータを保護されたオブジェクトとして使用するか、パターン照合式経由で指定されたコンピュータ名のグループを使用するか、領域メンバシップを介してこの操作を許可する(または拒否する)アクセス ルールを指定できます。
適切なカテゴリまたはメッセージが有効化されている場合は、上記のシーケンスにおける失敗はすべて、セキュリティ監査サブシステムによって監査されます。 監査コンポーネントは、成功したすべての操作を記録するようにも設定できます。
各 ENC ノードは、それがサーバ、ルータ、またはクライアント エージェントであるかにかかわらず、すべてが接続先となるノードへの登録を実行します。 ENC ゲートウェイ サーバ ノードのみがサーバ登録操作の実行を許可され、ENC ゲートウェイ ルータのみがルータ登録の実行を許可される、というように、登録タイプごとに個別のイベントが定義されます。
インフラストラクチャに応じて、イベントごとに、または保護されたオブジェクトごとに(あるいはその両方)、個別のアクセス制御エントリを作成するか、より大まかなアクセス制御を行うために領域内のイベントおよびコンピュータをグループ化することができます。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|