セキュリティを構成する
NCache は、エンタープライズ レベルのソフトウェアには確実なセキュリティが必要であることを理解しており、ユーザーがパフォーマンスのためにセキュリティを犠牲にしないようにさまざまな機能を提供しています。 これらの機能には、キャッシュ/ノード、暗号化、ネットワーク セキュリティなどのアクセス許可の定義が含まれます。
認証と承認
NCache は、キャッシュ ノードを保護するための LDAP 統合セキュリティを提供します。 ノードが保護されると、そのノードには XNUMX つのアクセス レベルが定義されます。 XNUMX つは、他のキャッシュ操作と併せて管理操作に関連するものです。 一方、もう XNUMX つはキャッシュ API アクセスに限定されます。
Note
保護されたノード上のすべてのキャッシュは自動的に保護されます。
これらのアクセス レベルの利点を最大限に活用するには NCache は、次の XNUMX 種類の LDAP ユーザーをサポートします。 ノード管理者(ユーザー/グループ) および ユーザーをキャッシュする(ユーザー/グループ)。 以来 NCache には認証メカニズムがなく、追加されたすべてのユーザーは最初に LDAP 資格情報に対して認証されます。 登録済みの LDAP ユーザーが NCache このユーザーがドメインに登録されているかどうかを確認するために、ドメイン コントローラーを介した検証チェックが常に行われます。 このシナリオでは、ドメイン コントローラーとの接続が切断されると、検証が失敗し、ユーザーはいかなる操作も実行できなくなります。
これを回避するには、 NCache オファー 資格情報のキャッシュ ユーザーの認証情報が保存される場所 NCache これにより、すでに認証されたユーザーがプロセスの存続期間中に繰り返し認証される必要がなくなります。 これはデフォルトで有効になっており、ユーザーは NCacheServer.EnableCredentialCaching
タグ × サービス構成ファイル内。
ノード管理者
ノード管理者は、 スーパーユーザー また、キャッシュを完全に制御できます。キャッシュの作成、変更、削除、その他のキャッシュ管理操作を実行できます。 ノード管理者は、以前に確立されたセキュリティ構成を保存または破棄できます。 また、キャッシュ ユーザーの機能を継承して、 NCache APIです。
ユーザーをキャッシュする
ただし、一部のユーザーをキャッシュ API アクセスのみに制限し、管理操作を実行したくない場合は、キャッシュ ユーザーを構成することが最適なオプションです。 関連する API のみを介して追加、削除、更新、取得などのデータ操作を実行するようにユーザーを制限できます。
ただし、ユーザーに異なるアクセス レベルを定義し、すべてのユーザーがキャッシュ上であらゆる種類の操作を実行できるようにしたくない場合は、 この場合、ノード管理者はキャッシュをスムーズに管理および操作するためのすべての権限を持っているため、キャッシュ ユーザーを構成する必要はありません。
同種のセキュリティ設定
XNUMX つのノードのセキュリティ設定を確立したら、そのクラスター内のすべてのノードに同様のセキュリティ設定があることを確認する必要があります。 XNUMX つのノードでノード管理者として機能するユーザーは、そのクラスター内の他のすべてのノードの管理者である必要があります。 同様に、XNUMX つのノードでキャッシュ ユーザーとして機能するユーザーは、残りのノードでもキャッシュ ユーザーである必要があります。
クラスターのすべてのノードで均一なセキュリティ設定が保証されていない場合、キャッシュの管理および操作中にさまざまな問題が発生する可能性があります。
Note
キャッシュ クラスター内の最初のノードとして保護されたノードを使用すると、脆弱なノードの追加を防ぐ必要があります。
Note
キャッシュ クラスター内の最初のノードとして脆弱なノードがあると、保護されたノードの追加が妨げられます。
データ暗号化
分散キャッシュ システムでは、通信は主にネットワーク チャネル経由で行われます。 データはシリアル化された形式で送信され、キャッシュ内に常駐するため、接続を盗聴する人は、データが暗号化されていない場合、簡単に傍受できます。 NCache データ暗号化により、情報を暗号文に変換できます。 許可された人 (つまり、適切なキーを持つ人) だけがコードを解読し、元の情報にアクセスできます。
TLS暗号化
一方、 NCache 含ま データ暗号化 この機能により、メモリ内およびネットワーク経由の送信中にデータが保護されます。 ただし、データ暗号化には追加のパフォーマンス コストが伴います。 一方で、 トランスポート層セキュリティ(TLS) 業界標準の慣行に従って、ネットワーク送信中のデータを保護するためのより包括的なアプローチを提供します。
TLS もパフォーマンスに影響を与えますが、代替手段であるデータ暗号化よりもリソースの消費が少ない傾向があります。 したがって、より重要なのは、 NCache 操作には、さまざまな方法でネットワーク上を移動するデータが含まれます。
- サーバーとクライアントの間
- 異なるサーバー間
- キャッシュとブリッジの間
In NCacheでは、TLS を使用してネットワーク上を移動する通信の種類を決定できます。 この選択により、データのセキュリティを完全に制御できるようになります。 通常、WAN レプリケーションのためのブリッジ通信など、パブリック インターネット上のトラフィックは暗号化されます。 ただし、セキュリティを重視するアプリケーションの場合は、クライアントとサーバー間、および異なるサーバー間のトラフィックを暗号化する必要があるでしょう。
TLS 証明書の考慮事項
TLS を実装する場合、証明書は次のいずれかに保存されます。 個人 または 信頼されたルート認証局ストア の両方で利用可能です user および ローカルマシン レベル。 ローカル マシン レベルで配置された証明書はすべてのユーザーがアクセスできますが、ユーザー レベルの証明書は特定のユーザーに限定されます。
さらに、これらの証明書には検証が必要です。 サーバー側の証明書は、クライアント側で TLS に対して検証され、クライアントが証明書発行機関を信頼しているかどうかを検証する必要があります。 公的に認められた証明書発行者を使用している場合は、クライアントの信頼されたルート証明機関ストアに発行者の証明書をインストールする必要がない場合があります。 ただし、自己署名証明書またはプライベート証明書の場合は、発行者の証明書がクライアント側の信頼されたルート証明機関ストアにインストールされていることを確認して、次のような可能性を避ける必要があります。 TLSハンドシェイク 失敗
クライアントとサーバー間の相互 TLS の場合、クライアントはその証明書をサーバーと共有する必要もあります。 この場合、サーバーはクライアントの証明書発行機関を信頼する必要があり、クライアントはそれをサーバーの信頼されたルート証明機関ストアに配置する必要があります。 同様に、サーバー間で TLS を有効にする場合、通信に関与する他のサーバーは互いの証明書を検証する必要があります。
NCache サーバー ボックスで証明書を検索するときは、特定の順序に従います。
- ローカルマシン: 信頼されたルート
- ローカルマシン: 個人用
- ユーザー: 信頼されたルート
- ユーザー: 個人
これらの考慮事項を理解することで、 NCache TLS暗号化はスムーズに進みます。
HTTPS NCache 管理センター
TLS と同様に、HTTPS (Hypertext Transfer Protocol Secure) は、ネットワーク上の通信を保護するために広く使用されているプロトコルです。 そのような、 NCache HTTPS をサポートします NCache TLS 証明書を使用する Windows および Linux の Management Center。
このセクションの内容
認証と認可を構成する
ノードとキャッシュのセキュリティを構成する方法について説明します。
キャッシュの暗号化を構成する
キャッシュの暗号化を有効にして構成する方法について説明します。
TLS暗号化の構成
Windows および Linux でキャッシュの SSL 暗号化を有効にして構成する方法について説明します。
の HTTPS を構成する NCache 管理センター
HTTPS を有効にして構成する方法について説明します。 NCache 管理センター。