ネットワーク監視とクレデンシャル

クレデンシャル、資格情報、の管理は、面倒でやっかいですが、だからと言って管理を放棄することはできません。ネットワーク監視の世界では、資格情報は、ネットワーク、システム、またはデバイスへのアクセスを許可するのに必要なアカウントとパスワードの詳細です。コンピュータやその他のシステムにログインするときのユーザー名やパスワードと大きく異なるわけではありませんが、ネットワークを構成するすべてのデバイスに適用されます。

資格情報は、デバイスやシステムに関する情報を取得したいときや、様々な操作を行うときなどに必要になります。ネットワーク監視ソリューションがネットワーク全体について検出するときには、ネットワーク内のすべてのデバイスの資格情報も獲得する必要があります。

資格情報とクラウド

資格情報は、物理デバイスに限らず、監視・管理が必要なネットワークの一部であるクラウドリソースに対しても必要です。Amazon Web Services (AWS)Microsoft Azure システムなどのクラウドベースのソリューションにアクセスするには別の認証情報を取得する必要があります。仮想マシンについても同様です。

資格情報の種類

資格情報には色々な種類があります。最も一般的なプロトコルは、SNMP - 簡易ネットワーク管理プロトコル (Simple Network Management Protocol) - です。いくつかの異なるバージョンがあり、下位互換性があります。SNMP 1, 2, 3 がありますが、ほぼすべて SNMP ping に応答します。多くの場合、何が起こっているのかを把握するための最も簡単な方法です。

クレデンシャルがあれば、システム属性やシステムインストルメンテーションに関する情報を取得できます。デバイスが存在するという情報だけでなく、デバイスの動作、応答時間、スループットやステータスなどの様々な情報を知ることができます。そのためには、Windows WMI、VMware、SSH クレデンシャルといった、もう少し複雑な資格情報を適用します。

リモート実行では、デバイスやシステムにアクセスし、変更を加えたり、コントロールしたり、リモートで操作したりするために、SSH などの異なる種類の資格情報や、より一般的でかなり古い Telnet の資格情報が必要になる場合があります。

Windows、Linux、仮想マシンの資格情報

Windows 環境の管理には、Windows ホスト資格情報が必要です。通常、これは単なる ping 応答などよりも深いレベルの WMI スタンダードで行われます。

Linux、Unix、Windows のハイブリッドソリューションが増えていますが、Linux または Unix ホストを使用する場合は、Windows 環境ともうまく統合できる必要があります。そのために、仲介として機能する SNMP エージェントまたは SNMP サービスが必要になる場合があります。SNMP 静的情報を取得し、Windows 互換または WMI 互換の形式で提供することで、Linux や Unix システムに到達する際に複雑な別レイヤが追加されます。SSH クレデンシャルを使用して Linux や Unix ホストデバイスを管理および監視することも可能です。

VMware や Hyper-V などの仮想マシンにアクセスするのにも、適切な資格情報が必要です。

ネットワーク安全確保の鍵

クレデンシャルはネットワークを安全に保つための鍵です。1つに統合されたネットワーク監視・管理ソリューションによって、シンプルかつ厳重に安全を確保する必要があります。ネットワーク監視・管理ソリューションがネットワーク全体に完全にアクセスできるように、最新の資格情報を保持することが重要です。強力なパスワードを使用し、必要に応じて変更します。可能であればシングルサインオン・ソリューションと統合して、システム全体のセキュリティレベルを維持します。

デフォルトの資格情報を放置しない

ネットワークのセキュリティにおける大きな問題の1つは、出荷時に工場でデフォルトとして設定された "ゲスト, ゲスト" とか "123, 123" などといった単純な資格情報をそのまま使用することです。このようなデフォルトの資格情報はあまりにもわかりやすく、セキュリティ保護のツールとしてはまったく機能しないのは明らかです。ネットワーク監視ソリューションを利用すると、すべての資格情報を 1 か所にまとめて状況を確認することができます。そうすれば、工場出荷時のデフォルト設定から変更されていない資格情報や、または長い間変更されていない資格情報について把握でき、適切な対策を施すことが可能になります。

ネットワーク監視ソリューション、WhatsUp Gold

ネットワーク上のすべてを検出し、資格情報を使用して、接続されている内容と接続方法、それぞれの接続状況を一目で確認できるネットワーク監視ソリューションを利用するのが最適です。プログレスでは、WhatsUp Gold というネットワーク監視ソリューションを提供しています。WhatsUp Gold を使うと、トラブルが発生したら警告(テキスト、電子メール、Slack、Teams など、方法は自由に選択可能)が出されるので、ユーザーが気付く前に問題を見つけて修正できます。セットアップは簡単で、コスト対効果比が高い価格体系になっています。ネットワーク検出マッピングサーバー監視クラウド監視アプリケーション監視トラフィック監視仮想環境監視設定管理ログ管理、などの機能が含まれています。

WhatsUp Gold の達人、Jason Alberino への資格情報関連の質疑応答

ネットワーク監視ソリューション、WhatsUp Gold を最大限に活用するには、WhatsUp Gold の達人、Jason Alberino に質問するのが一番です。以下に、プログレスのウェビナー「ベストプラクティスシリーズ - クレデンシャル」でのお客様からの質問と Jason Alberino の回答を以下に示します。

質問: アクセス許可の懸念を最小限に抑えるため、WMI の代わりに Windows 用の SNMP を使用した方が良いでしょうか?WMI が提供し、SNMP が提供しないものはありますか?

Alberino:  WMI が非常に肥大化していたため、以前は、SNMP のみを使用することをお勧めしていました。Microsoft は Server 2012 で SNMP のサポートを廃止しましたが、それ以来何も変わっていません。私は SNMP だけを使用するときに問題があったのを見てきました。資格情報へのアクセスをコントロールできている場合、またはいわば読み取り専用の資格情報を設定している場合は、WMI を使用することに何の問題もありません。複数のオプションがあります。

WMI は、実際、Windows デバイスで SNMP よりも多くの情報を提供します。具体的には、WhatsUp Gold の CPU 使用率などです。Windows 用の SNMP では「不明なプロセッサタイプ」と表示されます。Microsoft では SNMP をそう設定しているからです。WMI クレデンシャルを使用している場合は、完全なプロセッサ名、Intel Xeon、モデル番号などを取得します。

ディスク使用率についても、WMI と SNMP の使用に関して同じことが言えます。Windows 上の SNMP はディスク マウント情報を提供しませんが、SQL や Exchange の多くのベストプラクティスでは、ディスクマウントを使用する必要があるとされています。WMI は、SNMP では提供しないその情報を提供できます。少なくとも現在の状況では、非常に安定しているため、SNMP ではなく WMI を常にお勧めします。何年も前とは状況が変わってきました。Server 2012 以降を使用している場合は、SNMP ではなく WMI を使用する必要があります。

質問: 資格情報の監視は標準の WhatsUp Gold の一部ですか、それとも統合製品ですか?WhatsUp Gold 内で資格情報を管理する方法について、もう少し詳しく教えてください。

Alberino:  資格情報の監視は、主として今年初めに追加されたログ管理で行われますが、ログ管理は WhatsUp Gold の統合製品です。ログ管理で、Windows イベントログと Syslog メッセージを収集し、警告のためのしきい値を設定することもできます。誰かが一度パスワードを使用しようとしたとしても、いちいち通知されたくないかもしれませんが、もし最近の10分間で10回同じことが起これば、何かが発生した可能性があり警告通知を受け取りたいと思うでしょう。これは統合製品のログ管理で可能です。

同じことが Syslog メッセージにも当てはまります。誰かがルーターにログインしていたり、間違ったユーザー名やパスワードを切り替えながら何度も試している場合、それについて知りたいはずです。こうした設定は、ログ管理で行うことができますが、Premium エディションの場合は、統合製品として別途購入する必要があります。Total Plus エディションのライセンスを取得している場合は、追加料金なしでログ管理を使用できます。既存の Total Plus エディションから、バージョン 2021 以降にアップグレードすれば、ログ管理にアクセスできます。

質問: WhatsUp Gold では、どのように資格情報を保管するのですか、また、必要に応じて、資格情報を使用したり変更したりできますか?

Alberino:  資格情報は、データベース内に格納され、暗号化されます。管理者は、資格情報をユーザーに与えることができます。管理者は、誰が WhatsUp Gold 内のクレデンシャルのライブラリにアクセスできるか、アクセスできないかを決定できます。アクセス権を持つ人々であっても、平文のパスワードを見たりすることはできません。すべての情報はデータベース内で暗号化されます。クレデンシャルライブラリを見られたくない人にはアクセス権を付与しないでください。

⇒ WhatsUp Gold のログ管理に関する詳細は、ログ管理のページをご覧ください。