Japan IBM Storage User Group

Remote Support Assistance (RSA)

By Keigo Matsubara posted Fri May 08, 2020 02:28 AM

  
リモート・サポート・アシスタンス (Remote Support Assistance; RSA) とは、障害発生時に IBM がリモートから対象の IBM FlashSystem 機器にアクセスすることで、迅速な対応を可能とする機能です:
  • RSA を実際に利用するか否かは、障害発生がコールホーム経由で通知された後に IBM 保守あるいは開発部門担当者が判断
  • RSA には一時的に操作のみを許容する設定と恒久的に操作を許容する設定の二種類が存在する。障害の発生は事前に予測できないため、後者の設定が望ましい。
RSA の接続は、後述のとおり極めて安全な仕組みが提供されます
前提条件:
  • コールホーム有効化
  • ローカル・サポート・アシスタンス(IBM 技術員による現地での対象機器に対するアクセス)も合わせて有効化
Remote Support Assistance - connection sequence図注:
  • * 特別な訓練を受けた製品保守および開発部門に所属する IBM 社員のみがアクセス可能な環境(一般の IBM 社員はアクセス不能; 含む障害受付部門)
  • 図上では割愛されているが、お客様環境に専用 proxy サーバーを構成して proxy 経由接続も可能
図中手順番号 通信の向き セキュリティに関する補記
FlashSystem 製品からは必ず送信向きの通信(アウトバウンド) 専用 CLI で通信開始・停止・再接続を制御可
IBM フロントエンド・サーバー上では必ず受信向きの通信(インバウンド) センシティブな情報はサーバー上に保持されない
①、② SSH を用いた通信経路(トンネル)を確立 通信経路は暗号化
IBM 担当者が SSH あるいは HTTPS でバックエンド・サーバーにアクセス IBM 担当者が適切なアクセス権限を有するかバックエンド・サーバー上で一次認証
IBM 担当者がログインしたバックエンド・サーバーから、保守対象の機器に応じて複数フロント・エンドサーバーの中から適切なものに対してアクセス(二次認証) 保守対象の機器は、お客様番号、型式 (MT-MDL)、シリアル番号 (S/N) で特定され、間違いが無いか慎重に確認
手順①および②で確立された通信経路を用いて、フロントエンド・サーバー上のIBM 担当者がお客様環境に設置された IBM FlashSystem 機器に遠隔でログイン セキュリティの鍵となるフロントエンド・サーバーは、強固に保護されている

RSA を利用するには、IBM FlashSystem から IBM サポートが提供する特定のサービスに向けて接続可能であることが必要です。
下表はその接続対象となる FQDN および TCP ポート番号を列挙:
  • お客様側に設置されるファイアウォール設定が DNS をサポートしない場合にのみ、例示された IPv4 アドレス群を利用のこと(その場合、ファイアウォール上で全てのアドレスに対する許可を与える)
通信元 通信先 (FQDN) 通信先 (IPv4) 接続先 TCP port# 接続プロトコル 接続の向き
IBM Enhanced Customer Data Repository (ECuRep)* - IBM FlashSystem 上で発生する障害時などに必要な情報を受信するサービス

IBM FlashSystem 各ノードのサービスアドレス

esupport.ibm.com 129.42.56.189, 129.42.54.189, 129.42.60.189 443 HTTPS アウトバウンドのみ
IBM Fix Central – IBM FlashSystem 上で稼働するソフトウェアあるいはファームウェアの修正ファイルを提供するサービス
IBM FlashSystem 管理 IP アドレス delivery04.dhe.ibm.com 170.225.15.105, 170.225.15.104, 170.225.15.107, 129.35.224.105, 129.35.224.104, 129.35.224.107 22 SFTP
(FTP over SSH)
アウトバウンドのみ
Remote Support - IBM FlashSystem の問題判別を目的にリモートから IBM 作業者がアクセスするサービス
IBM FlashSystem 各ノードのサービスアドレス**

N/A

129.33.206.139, 204.146.30.139 22 SSH アウトバウンドのみ
表注:
  • * esupport.ibm.com への接続は、Blue Diamond (HIPPA) および General Data Protection Regulation (GDPR) に関するセキュリティ認証を得ている
  • ** プロクシー・エージェントを利用する場合は、そのプロクシー・エージェントに付与された IP アドレス
#proxy
#call-home
#cloud-call-home
#ssh
#ecurep
#fix-central
#gdpr
#hippa
#remote-support-assistance
#fqdn
#dns
0 comments
21 views

Permalink