2.16 - Teradata QueryGridセキュリティ - Teradata QueryGrid

Teradata® QueryGrid™ インストールとユーザー ガイド

Product
Teradata QueryGrid
Release Number
2.16
Release Date
2021年6月
Content Type
インストール
ユーザー ガイド
構成
管理
Publication ID
B035-5991-061K-JPN
Language
日本語 (日本)

QueryGridマネージャ ルート認証局

QueryGridマネージャ インスタンスは、1つ以上のTMS、VM、またはサーバーにインストールできます。最初のQueryGridマネージャ インスタンスがインストールされると、QueryGridマネージャはルート認証局(CA)を生成します。追加のQueryGridマネージャ インスタンスがインストールされ、すべてのインスタンスがクラスタ化されると、最初のQueryGridマネージャ インスタンスによって生成されたルートCAがクラスタ全体で使用されます。

ルートCAは、Teradata QueryGridのインストール中に、Viewpointで登録する必要があります。

ルートCAは、各QueryGridマネージャ インスタンスのSSL証明書に署名します。

QueryGridマネージャSSL証明書

QueryGridマネージャ インスタンスは、以下のような自身と他のすべてのクライアント間のセキュリティで保護された通信用のSSL証明書を生成します。
  • 同じクラスタ内の追加QueryGridマネージャ インスタンス
  • システム内のデータ ソース ノード
  • Viewpoint
  • QueryGridマネージャ REST APIドキュメントへのブラウザ
  • RESTクライアント
ポート9443への外部アクセスは、Viewpoint、Swagger UIアクセス、およびRESTクライアントで許可されます。ポート9443のSSL証明書はカスタマイズ可能です。9443以外のポートで使用される証明書は、内部QueryGridトラフィックのみを対象としており、カスタマイズできません。これらの証明書はQueryGridのインストール中に生成され、デプロイの際に各QueryGridコンポーネントに提供され、通信が信頼されたQueryGridサービスに対して行なわれることを認証します。証明書のローテーションは定期的に実行できます。認証局のローテーションを参照してください。詳細については、カスタム サーバー証明書のインストール/アンインストールを参照してください。

QueryGridのデータ ソース システムにデータ ソース ノードを追加すると、QueryGridマネージャ インスタンスはノード ソフトウェアのインストール中にノードにSSL証明書を提供します。ルートCAによって署名されたSSL証明書により、データ ソース ノードは信頼されたQueryGridマネージャインスタンスと通信していることを確認できます。

ファブリック内のQueryGridマネージャ インスタンスとデータ ソース ノード間のすべての通信は、ポート9444を介してHTTPSを使用します。

QueryGrid Managerサービス アカウント

QueryGridマネージャサービス アカウントは、QueryGridマネージャ APIを呼び出すアクセスを可能にします。これらのアカウントはQueryGridマネージャに対して内部であり、データベースまたはオペレーティング システムのユーザー アカウントには対応していません。このサービス アカウントでは、QueryGrid構成および監視データへのアクセスのみが可能です。

QueryGridマネージャが最初に起動されたときに、viewpointsupportという名前のサービス アカウントがデフォルトのパスワードを使用して自動的に作成されます。これらのアカウントのデフォルトのパスワードを変更することを強く推奨します。パスワードの変更の詳細については、サービス アカウント パスワードの変更またはパスワードを忘れた場合はサービス アカウント パスワードのリセットを参照してください。

データ ソース ノードの認証と登録

QueryGridのデータ ソースにデータ ソース ノードを追加すると、ノード ソフトウェアがノードにインストールされ、ノード サービスはノードをQueryGridマネージャ インスタンスに登録します。ノード サービスは、次のものを提供します。
アイテム 説明
UUID ノードがQueryGridマネージャ インスタンスに対して自身を認証するときに、ノードのユーザー名として機能します。
時間制限付きアクセス トークン ノードをデータ ソースに初めて追加する前に、ノードを認証します。
認証用に生成されたパスワード ノードが初めてデータ ソースに参加した後、ノードがQueryGridマネージャ インスタンスに対して自身を認証できるようにします。

IPアドレスとホスト名の確認

最初のTeradata QueryGridマネージャ インスタンスが起動すると、生成されたSSL証明書には、QueryGridマネージャTMS、VM、またはサーバーのIPアドレスとTeradata QueryGridマネージャで認識されているホスト名が含まれているため、クライアントがホストの検証を実行できます。

Teradata QueryGridマネージャが未知のホスト名またはIPアドレスによってアクセスされる場合、ホスト名またはIPアドレスのカンマ区切りのリストを含めることができるエイリアスのプロパティを設定して、SSL証明書にそれらのホスト名またはIPアドレスを追加できます。エイリアスを追加する手順は、このガイドのインストール手順に記載されています。

データ転送

QueryGridコネクタはQueryGridファブリックを使用して、ソース システムとターゲット システム間でデータを転送します。データ転送は、以下のプロセスを使用して実行されます。
  • ファブリック プロセスは、QueryGridを実行している各接続ノードで実行されます。
  • コネクタはローカル ファブリック ノードとのチャネルを確立して、データを送受信します。
  • ファブリックは、allowed OS userリストにありコネクタで定義されているローカル コネクタ プロセスからの接続のみを許可します。
  • QueryGrid 2.15の時点では、ファブリック プロセスはTLS 1.2以降を使用して通信を行ないます。
    • すべてのデータはデフォルトで暗号化され、各ファブリック プロセスは、他のファブリック プロセスとの相互認証に使用される公開鍵と秘密鍵のペアを生成します。
    • 秘密鍵はメモリ内に保持され、公開鍵はQueryGridマネージャによって送信、配布されます。
    • 鍵は週に1回ローテーションされます。

OSユーザー

セキュリティは、コネクタ ソフトウェアが使用するOSユーザーによっても異なります。各コネクタのOSユーザーを指定できます。このユーザーは通常、データ ソース ユーザーと同じです。

データ ソース ユーザー
Teradataシステム teradataユーザー
Presto prestoユーザー
Hive クエリーを実行するユーザー(hiveなど)、yarnユーザー、およびKerberosプリンシパル ユーザーまたはその他の承認されたユーザー
Spark SQL クエリーを実行するユーザー(hiveなど)、yarnユーザー、およびKerberosプリンシパル ユーザーまたはその他の承認されたユーザー

LDAPとKerberos

ターゲット コネクタに対してサポートされているセキュリティ メカニズムは、Teradata、Presto、およびHiveコネクタによって異なります。データ ソースに固有のセキュリティ メカニズムの詳細については、該当するコネクタのセキュリティのセクションを参照してください。

Teradata QueryGridの一般的なセキュリティ ガイドライン

次のガイドラインは、Teradata QueryGridのセキュリティを維持するためのベスト プラクティスを表わしています。
  • インストール時にTeradata QueryGridマネージャ サービス アカウントのデフォルトのパスワードを変更してください。手順は、このガイドで提供されています。
  • Viewpointで適切なアクセス権限を設定し、Teradata QueryGrid構成を編集できるユーザーを制限します。
  • セキュリティ保護された環境で実行されているイニシエータ データ ソースのみを使用してリンクを作成します。
  • リンクの通信ポリシーを指定する場合は、環境に適したセキュリティ オプションを使用します。