第14世代Dell EMC PowerEdge サーバー製品ご紹介<サーバー管理編>

22

タワー モジュラーラック高度な拡張性を備えたインフラストラクチャ

業界No.1

サーバーポートフォリオPowerEdge

*販売ユニット数（連結）に基づく。「IDC Worldwide Quarterly Server Tracker」（2016年第1～第3四半期）

OpenManage® Enterprise – インテリジェントな自動化システム管理

モダン データセンターの基盤

3

PowerEdge：妥協のない信頼できるインフラストラクチャ全体を保護シンプルな変革 生産性の自動化

ハードウェアとファームウェアに最初からセキュリティが組み込まれている

インテリジェントな管理により、定期的な保守の時間を短縮して、戦略的優先事項に対応する時間を増やすことが可能

現代のワークロード向けに設計され、ビジネスの現実の変化に適応可能な、拡張性に優れたクラウド基盤

• エージェント不要のアーキテクチャにより、OS/ハイパーバイザー間での一貫した管理が可能

• 迅速な導入のためのゼロタッチ構成• 組み込みサポートにより、サポート解決時間を90%短縮

• クラウド環境へ容易に拡張• BIOSでのワークロード/チューニングの自動化

• ハイパーコンバージド アーキテクチャ向けのNo.1プラットフォーム

• チップ内認証と信頼性の高いエンジン• 安全なシステム消去• サーバー構成のロックダウン• NIST FIPS 140-2暗号化標準に対応

モダン データセンターの基盤

4

シンプルな変革

容易な拡張• 最大6倍まで増加可能なNVMeドライブでIOPSを最大化

• 最大50%以上のVDIユーザーをサポート

• コアの最大27%増加と帯域幅の最大50%増加により、コンピューティング リソースを拡張

妥協は不要• 比類のない広範かつ詳細なソリューションスタックから選択

• PowerEdgeの基盤を構築

• 単一基盤をもとに複雑さを軽減

• SupporAssistによりプロアクティブでシンプルな改善を検出

シンプルに変革• サービスデリバリの俊敏性の基盤を導入

• 信頼できる設計、テスト、実証済みのソリューション

• 1回のコールで済むシンプルなユニファイドサポート

• リスクを最小化し、妥協なく実現

モダナイズ• 整合性のとれたビルディングブロックとコンバージドアーキテクチャを選択

• 需要の増大に対応するパフォーマンスと容易な拡張の実現

• シンプルなモダンアーキテクチャと機能

• Dell EMCの責任あるサポートを保証

5

自動化による生産性の向上

スマートなインフラストラクチャ管理• Dell EMCは次世代1XManyコンソールで、ITおよびサーバーインフラストラクチャを管理

• 「インフラストラクチャ対応」の組み込みインテリジェンスで、トラブルシューティングと導入を最適化

IT管理の自動化

• Dell EMCは包括的な自動管理により、運用コストを削減し、アップタイムと全体的な効率性を向上

• 「お客様の方法」を自動化するツールの総合的なセット

管理をシンプルに

• お使いのDell EMCサーバーを管理するシンプルかつ強力なツール

• サポート契約を効率化するビルトインツール

• 革新的な「at-the-box」管理機能

• 簡単でコストパフォーマンスに優れたDell OpenManageを使用した統合、接続、スクリプト作成インターフェイスにより、既存のIT管理プラットフォームを活用

• VSphere、SystemCenter、Nagiosなどの主要なサードパーティツールを使用して、PowerEdgeを簡単に管理

既存の管理と容易に統合

6

包括的な保護

サーバー構成およびファームウェアをロック• データセンター内の構成の「ずれ」を防止

• 組み込みファームウェアに対する悪意のある攻撃から保護

• 構成またはFWがベースラインから逸脱した場合の通知

サーバーストレージのコンテンツを確実に消去

• HDD、SSD、NVMeドライブを含むローカルストレージデバイスを迅速かつ確実に消去

• 時間あるいは日単位ではなく、分単位でサーバーを再利用または破棄

BIOS

iDRAC

RAID

iDRACの安全なデフォルト パスワード

• 過失による保護されていないネットワーク上での新しいiDRACのデータ漏洩を防止（14GではデフォルトでDHCPがオン）

• 有効なパスワードの使用の推奨を支援

• 導入の準備および計画用に、サーバーパスワード、サービスタグ、iDRAC MACアドレスのリストを入手可能

保証レベルの高いサイバーレジリエンスアーキテクチャ• 認証済みコードのみ実行を許可する、シリコンに埋め込まれた信頼チェーン

• すべての主要なコンポーネントのファームウェア更新に署名

• Linux OSのセキュリティ強化（iDRAC）

• 認証済みクラッシュカート使用のためのダイナミックUSBポート

• FIPS 140-2認定（iDRAC、CMC）

• カスタマイズ可能なiDRACログインページのセキュリティバナー

7

クラウド基盤に向けた 14G Serverの新機能

iDRAC Quick Sync 2

BLEによるPowerEdgeサーバーの第2世代モバイル管理：AppleおよびAndroid

接続ビューサーバーのI/Oポートが外部のスイッチ

およびポートに正しく接続されているかどうかを 迅速にチェック

iDRAC HTML5 GUI

HTML5とClarity C4スタイル フォーマットを使用して再設計された

iDRAC GUI

組み込みSupportAssist

iDRAC9BIOS

iDRAC

RAID

システムロックダウン

悪意のある変更または不注意による変更から、サーバーの構成とファームウェアを保護

標準組み込みのGroup Manager

iDRAC GUIによるPowerEdgeサーバーのシンプルなビルトイン自動監視/

インベントリ

システム消去ストレージ ドライブとシステム情報を確

実かつ即座に消去して、サーバーを迅速に転用、廃棄可能に

PowerEdge サーバーの管理Open Manageによる効率的な運用管理、自動化の実現

9

iDRAC と OpenManage管理Tool俯瞰図

iDRAC iDRAC iDRACTech

Support

Report

Dell

Support

Team

Operating System

OMSA iSM

Operating System

OMSA iSM

Operating System

OMSA iSM

OME

(統合管理/監視)

OMM

(Mobile管理/監視)

OMPC (電力管理/監視)外部Tool

(Plug-in) 管理端末

Support Assist

(保守自動化)

外部監視Tool

(Trap監視)

外部管理Tool

(API連携)

Plug-in

SNMP

WS-MAN

GUI/CLI

iDRACDell EMC PowerEdge Remote Access Controller

11

iDRAC with Lifecycle ControlleriDRACはServer管理の中核を担うサーバー組み込み済みのコンポーネント

トラブルシュート• H/Wログの収集• Alert発報(Mail / SNMP Trap)

• Dell Supportへの障害自動通知• 性能情報からの負荷状況分析

外部ツールとの連携• CLI

• API / Redfish

• WS-MAN

• Tool Plug-In(Nagios/Tivoli/VMWare等)

iDRAC

Dell OpenManage管理Tool群との組み合わせでさらなる管理効率化を実現

OpenManage Essentials

OpenManage Mobile

OpenManage PowerCenter

OpenManage ServerAdministrator

Etc…

単体管理 統合管理

連携

サーバー単体管理• Serverのインベントリ収集• H/W & BIOSの設定管理/Export & Import

• H/W FirmwareのUpdate、変更管理• 性能情報の収集＆蓄積

リモート操作• 電源操作(Power Off/On)

• リモートコンソール(遠隔画面操作)

• 仮想メディア(遠隔からのDVD/USBマウント)

• IPMIでの操作も可能

12

iDRAC with Lifecycle Controller様々なハードウェアインベントリ収集と変更管理

インベントリ収集/H/W構成/Firmware Ver管理/設定情報のImport＆Export

各種FirmwareのUpdate管理、Updateスケジュール設定

iDRACは組込み型の管理コンポーネント

専用NWポート

or

オンボードNIC Portとの

Shared Portで利用可能

コンソールリダイレクション(遠隔操作)

各サーバーの画面

サーバー電源を投入した時点からのリモート画面操作が可能

仮想メディア機能

オフィス データセンター

①管理端末 or Server

にOSメディアを挿入

②iDRACの画面から仮想ドライブを接続

③対象ServerをVirtual CDマウントする

④仮想メディアから起動し、OSのインストールも

可能

CD/DVD/USBメモリドライブを遠隔サーバーにマウント

様々な機器構成情報の収集とUpdate管理

13

iDRAC によるリモート管理/運用• 電源コントロール

リモートからサーバー電源のON/OFF

• 仮想コンソールリダイレクション

リモートからサーバーのローカルコンソールを操作

電源Offの画面からBIOSまで全て遠隔操作可能

• 仮想メディア

リモートからサーバーのDVDドライブ にメディアをセット

• インベントリ収集

エージェントレスでServerの機器構成情報、FrimwareVer等詳細情報を収集

• H/W & BIOSの設定管理 / 設定Export & Import

ServerのH/W設定やBIOS設定変更

設定した設定情報のImport&Exportで他Serverへ同一設定コピーも可能

• H/W FirmwareのUpdate、変更管理

FirmwareのUpdate & Doungrade、スケジュールリング機能

またFrimware固定を設定する事で交換したPartsを元のFrimwareに揃える事など管理が可能

14

IPMI によるリモート管理/運用も可能

iDRACまでの機能を解放せず、IPMIのみをUserに開放する事も可能

• 電源コントロールリモートからサーバー電源のON/OFF

• BIOS の設定変更リモートからBIOS設定値変更

• 各種センサーの情報の取得内部温度/FAN回転数他のセンサー情報取得

iDRACまでの機能を開放せず基本管理にIPMIのみを開放して運用する事も可能

15

様々な管理体系に対応管理コンソール

GUI (Web UI)

Web

コマンドライン(racadm)

Command line

OpenManage Essentials

OpenManage Essentials

API

API

3rd party Tool Plug-in

3rd party console

iDRAC

Mobile

16

RACADM Command Line for iDRAC (CLI)

http://en.community.dell.com/techcenter/systems-management/w/wiki/3205.racadm-command-line-interface-for-drac

RACADMコマンドラインインターフェースで、管理対象システム情報を表示、管理対象システムの電源操作実、ファームウェアの更新、設定、構成変更等が可能。 RACADMはコマンドラインインターフェイス（CLI）であり、システム管理者は1対多で機器へ制御や更新のスクリプトを実行頂けます

17

Dell OpenManage の他社管理製品Plug-In

Dell EMCによる OpenManage Connections (プラグインを提供)

Operations Manager

• OpenManage

Smart Plug-in

(SPI) for HP

Operations

Manager (HPOM)

• OpenManage

Connection for IBM

Tivoli Netcool /

OMNIbus

• OpenManage

Connection for IBM

Tivoli Network

Manager IP Edition

• OpenManage

Plug-in for Nagios

XI

• OpenManage

Plug-in for Nagios

Core

• OpenManage

Plug-in for Oracle

Enterprise

Manager 12c

※サポートサイトからMIBの提供も行っております

18

Redfish : 次世代システム管理標準API

• DMTF Scalable Platform Management Forumが、拡張性の高いプラットフォーム ハードウェアのシンプルでモダンかつ安全な管理を目的としたオープンな業界標準仕様とスキーマを作成

• HTTPS上にOData v4に基づくJSONフォーマットで構築された、安全なマルチ ノードRESTful管理インターフェイス

• スキーマ ベースながら人間による判読が可能、クライアント アプリケーション、スクリプト作成、ブラウザ ベースGUIで使用可能

• 主要なお客様のユースケースをサポート

19

次世代サーバーの自動化：Redfish

redfish » v1

"@odata.type":view details "#ServiceRoot.v1_0_2.ServiceRoot",

"Id":view details "RootService",

"Name":view details "Root Service",

"RedfishVersion":view details "1.0.2",

"UUID":view details "92384634-2938-2342-8820-489239905423",

HTTPS://

Dell EMCは、IPMI、WS-MANに加え新しいDMTF Redfish規格など、業界をリードするサーバー自動化APIを提供

- RedFishをサポートするiDRAC RESTful APIはHTTPS、JSON、OData v4

上に構築されており、リモート クライアント アプリケーションやユーザースクリプトによる管理の自動化が可能

- Dell EMCはRedfishの設立メンバーの1社であり、現在Dell EMCによる実装では包括的なサーバー インベントリ、モニタリング、さらに構成を提供している

- Redfishのメリット：スクリプトが作成しやすい、堅牢なセキュリティ、拡張性、マルチ ベンダー サポート

14Gにおける機能拡張

- Redfish 2016標準規格（R1およびR2）のサポート

- BIOSとセキュアブート構成の自動化および標準化、ファームウェアの更新、サーバーアセット インベントリ、稼働状態モニタリング、電源投入/

リセット制御

- Dell Redfish OEMの拡張機能を使用すれば、XMLまたはJSONフォーマットで、BIOS、iDRAC/LC、PERC、NIC、HBAの完全なサーバー構成とファームウェアの更新が可能

20

Redfish API関連リソース• DMTF Redfishの仕様：

http://www.dmtf.org/sites/default/files/standards/documents/DSP0266_1.0.1.pdf

• Dell PowerEdge Redfish API Reference Guide：http://topics-cdn.dell.com/pdf/idrac7-8-lifecycle-controller-v2.40.40.40_API%20Guide_en-us.pdf

• ntroducing the Dell PowerEdge Redfish APIホワイト ペーパー：http://en.community.dell.com/techcenter/extras/m/white_papers/20442330

• RESTful Server Configuration with iDRAC REST APIホワイト ペーパー：http://en.community.dell.com/techcenter/extras/m/white_papers/20443207

• Advanced REST Client for Google Chrome：https://chrome.google.com/webstore/detail/advanced-rest-client/hgmloofddffdnphfgcellkdfbfbjeloo

• Postman REST Client for Google Chrome：https://chrome.google.com/webstore/detail/postman/fhbjgbiflinjbdggehcddcbncdddomop

• cURL command line interface - https://curl.haxx.se/

• Python 「リクエスト」ライブラリ：http://docs.python-requests.org/en/master/

21

システムインベントリ情報の確認 (サーバー単体)

各コンポーネントのファームウェアやシリアル番号までの詳細情報各Firmware適用Ver等までAgent無しで収集いたします

22

Firmware/BIOS のアップデート機能 (サーバー単体)

システムファームウェアUpdate機能(スケジューリング/自動Update等も可能)

<= 手動 or 自動 Update

（Update後のロールバックも可能）

23

iDRACからのPower On/Off 操作

<= サーバー停止状態から操作可能

24

第14世代よりiDRACから全てのBIOS設定が可能に

25

各種設定のエクスポート

<= エクスポート先の選択

<= エクスポー項目(複数選択も可)

<= XML or JSONでエクスポート可能

26

設定のインポート

<= エクスポート元の選択

<= インポート項目(複数選択も可)

<= インポート後のリブート動作指定

27

iDRACからストレージの構成も可能

<= RAIDコントローラ自身のハードウェア設定変更も可能

<= 物理ディスクの設定(RAID構成)やVirtual Disk(LUN)作成も可能

<= 対象のストレージコントローラを選択

28

iDRACによる Zero Touch Configurationラックに搭載してケーブルを配線すればあとは全自動設定)

サーバー上にあるXML Configuration File

DHCP サーバー

http://web-server/xmlfile

Web Server

NFS / CIFSIP要求※DHCPオプション

http://web-server/xmlfileIP ＋

http://web-server/xmlfile

※MAC Addressは工場出荷時にリストに纏めてDellからお客様へ事前送付いたします

• iDRACのIP設定をDHCPで工場出荷

• お客様環境に機器設置、Network結線

• DHCP ServerにIP問い合わせ(DHCP OptionとしてロードさせるConfiguration Fileの場所を指定)

• IP取得後Web Server等にUpしたConfiguration File(XML File)を読みに行く。

上記にて物理レイヤの設定完了 (BIOS/iDRAC/PERC/NIC等の設定をImport可能)

29

ハードウェア交換時の設定/Firmware自動再構成パーツ交換時にはH/W設定とFirmwareを自動で元に戻します

②：設定された元のFrimwareを適用

①：保守対応等によりPartsが交換された場合 • サーバーの再起動時に、コンポーネントの変更を検知し、

自動で元のFirmwareや設定を適用することが可能

(Firmwareはダウングレードにも対応します)

• 対象コンポーネント

➢ マザーボード

➢ NIC/CNA

➢ RAIDコントローラ 等

• マザーボード交換時にはTag情報, NIC/LOM設定、

BIOSバージョン、LCログをバックアップからリストアすることが可能

※Firmwareは2世代(現行/1世代前)をiDRAC Flash内に保持

30

マザーボード交換時にも元のH/W設定を復元マザーボード交換時にもH/W設定、ビルトインツールを自動で元に戻して起動します

リストアするもの• Service Tag

• iDRAC License

• BIOS, iDRAC and

LOM configuration

• Diagnostics

サーバーフロントパネル内のシリアルフラッシュ内にサーバー情報が保管されている

新しいマザーボード上のiDRAC

はこの情報を読み、保存した設定をリストア

30

Motherboard

iDRAC8

Server Front

Panel Board

• マザーボード交換時のペインポイント– サービスタグの再適用には、カスタマサイトにて標準の機能とは別のプログラムを使用して実施

– iDRACのライセンスを再適用する際には、デルのサポートサイトから再入手が必要

– 変更した設定は、事前にその内容を取得し、デルサポートへ情報を与えておかない限り、設定を復元することは困難

– 診断ツールは、交換されたマザーボードには含まれていないケースがあるため、手動でインストールが必要

• Easy Restoreは、マザーボード交換時のプロセスを自動化– マザーボード交換し、メモリ、HDD等を載せ替えた後、初回に特別な起動メニューの中で、HW設定、サービスタグ、ライセンスキー、診断ツールをすべてリストアするオプション選択し保存

31

NIC交換時のMac Address保持機能NIC交換時もFirmware / MacAddressの変更なく運用可能

永続性ポリシーを設定

仮想MAC Addressが永続的に保持される

32

OS障害時の画面キャプチャ機能(直前3分間)

利用するにはOMSA(OpenManage Server Administrator)/iSMの利用が必要です※OSにAgentの導入が必要となります

時系列

Blue Screen / Kernel Panic発生

Down!

3分間

発生直前3分間のオペレーションを確認Serverへ何らかの操作を実施

33

起動時の画面キャプチャ機能(3回まで自動取得)

34

アラート発生時の挙動(自動処置)を設定可能

35

Performance Monitorモニタリングには、特別なソフトウェアやエージェントは一切不要

• エージェントレスで実現するサーバーリソースのパフォーマンスモニタリング

- CPU

- Memory Bandwidth

- I/O utilization (PCIe)

• グラフ表示可能なパフォーマンスレポート (リアルタイム/ヒストリカル)

• パフォーマンスのアラートの通知も可能

36

iDRAC9 ： コネクションビュー• 新しいネットワーク接続ビューによって、リモートサーバーのI/O接続を簡単に確認

• サーバーのEthernet LOM、NDC、アドインNIC、iDRAC9が正しいスイッチおよびスイッチ ポートと接続しているかどうかを迅速に確認

• 配線のエラーを修正するために遠くから高コストな技術者のディスパッチを受けることを回避

• サーバー上のI/Oポートの接続ミスを診断および修正し、年間に最大数百時間を削減

iDRAC9は スイッチからの LLDP情報を表示

14G Only

37

コネクションビュー：iDRAC9自体の接続14G Only

38

コネクションビュー：LOM、NDCの接続14G Only

39

コネクションビュー：Add-on PCIe NICの接続14G Only

40

iDRAC9 Support Assist

• システムのダウンタイムを最小限に抑える組み込み型のupportAssist(自動ログ取得/自動通報)機能

• お客様がオン/オフを切り替え可能なオプション機能

• Dell EMC Servicesに直接「オートコール」する機能

• プロキシサーバーまたはコンソールソフトウェアプラグインも不要

• 予測型のアラート発報 / 自動ケース作成まで対応（保守契約にProSupport Plusが必要）

• サポートにかかる時間が短縮され、ITサービスの提供SLA が向上

14G Only

41

クラウド利用Serverの安全な再利用 / 破棄

PowerEdge Lifecycle Controllerはサーバーをリパーパスまたは破棄する場合にデータのセキュリティを確保

• システム消去機能ではストレージデバイスに搭載されたISE（Instant Secure Erase）と呼ばれる機能を活用

ISEのメリット

• 速度：DoD 5220.22-Mなどのデータの上書き手法と比べてはるかに高速（何時間もから数秒に短縮）

• 効率性：ISEでは予約済みブロックを含む、ドライブ上のすべてのデータを消去（SSDドライブの問題の場合など）

• TCOの向上：ストレージデバイスを破壊したりするのではなく再使用が可能

14G Only

OMEDell EMC OpenManage Essentials

43

Dell EMC OpenManage Essentials (OME)エンタープライズ製品を監視・管理するために最適化された

単一コンソールシステム管理ソリューション

• iDRACと連携し、エージェントフリーでBIOSとFirmwareアップデートの一括管理

• エージェント連携による(OMSA)OSドライバアップデートまで対応可能

• サーバーデプロイメントの自動化、プロファイル複製保管、ポリシーベースのHW、OS設定により、運用効率、コンプライアンス、セキュリティを改善

• OpenManage Mobileを利用すればモバイルデバイスからもデータセンタのハードウェアの監視、管理が可能

• シングルコンソールで実現する、サーバー/ストレージ/ネットワーク/ビジネスクライアントのリモート管理Tool

(集中管理型のディスカバリ、インベントリ収集、モニタリング、設定管理とメンテナンススケジューリングが可能に)

デルサポートへの自動通知サービスオプションで、障害時の対応を自動化させることも可能

44

OpenManage Essentials v2.3の新機能

Dell OpenManage

Essentials

サーバー

ストレージ

ネットワーキング

包括的なライフサイクル管理 検出/インベントリ/モニタリング

OpenManage Mobileによる、時と場所を選ばないハードウェアモニタリング

PowerEdge

サーバー

v2.3の新機能

• プロファイルを使用した容易なサーバーワークロードのバックアップ/

リストア

• サーバー導入用のガイド付きテンプレート

• IOA構成を含むように、シャーシ レプリケーションを改善

• 構成のずれの修正

v2.3の新機能

• 拡張性の向上

（最大8000ノード）

• SNMP v3

• ICMP pingなし

の検出

ハイパー コンバージドインフラストラクチャ

XCアプライアンス

v2.3の新機能

• VxRail/XCの検出

• VxRail

Manager/Prismのリンクおよび始動

45

ハードウェア集中監視 (ヘルス状態監視/アラート発報)

46

管理機器のワランティレポート機能

保守状況をレポート＆エクスポート機能H/W保守管理台帳として利用も可能

47

システムインベントリ情報の集中管理Frimware Ver別などの条件指定でソートも可能(Update対象の絞込み等が容易に)

48

Firmware/BIOS のUpdate集中管理機能

システムファームウェアの一元管理 Updateも一元操作

①：対象Serverを絞り込んで選択

②：Uptdate Pacageを選択

③：スケジュール/即時適用等設定

④：Option(ダウングレード許容/再起動許可など)

49

OMEのタスクのスケジュールを一覧確認

50

OMEを利用したPush型一括設定適用Model = R630

ConfigType = A

Model = R630

ConfigType = B

Model = R730

ConfigType = A

Model = R730

ConfigType = B

Model = R630

ConfigType = B

Model = R630

ConfigType = A

Model = R730

ConfigType = B

Model = R730

ConfigType = A

個別にConfig Fileを作成

Model = R630

RAID設定A

Model = R630

BIOS / NIC設定A

Model = R630

RAID設定 B

Model = R630

BIOS / NIC設定B

個別にConfig Fileを作成

51

OMEを利用したPush型分割設定適用Model = R630

ConfigType = A

Model = R630

ConfigType = B

Model = R730

ConfigType = A

Model = R730

ConfigType = B

Model = R630

ConfigType = B

Model = R630

ConfigType = A

Model = R730

ConfigType = B

Model = R730

ConfigType = A

個別にConfig Fileを作成

Model = R630

RAID設定A

Model = R630

BIOS / NIC設定A

Model = R630

RAID設定 B

Model = R630

BIOS / NIC設定B

個別にConfig Fileを作成

52

OMEを利用し指定サーバーにファームウェアを一括適用プロダクションサーバーの状態を監視し自動でアップデート/運用後の自動Updateにも対応

新しいServerが到着基盤に追加

OME

OMEで新Serverを検出

検出！

ServerのF/Wはが既存と違うVer

OME

OMEが新Serverが既存FirmwareとVer違いであることを検出

Firmware相違！

OME

OMEが新ServerにFirmware適用を指示(自動化も可能)

FirmwareUpを指示(Downも可能！)

各Serverはリポジトリから該当F/Wを取得

Firmwareをネットワークリポジトリに保持

- 新しいアップデートをリポジトリに追加

- OMEから支持すれば指摘機器のiDRACがFWをダウンロード＆適用

- アップデートに適切なタイミングをスケジュールすることも可能

- iDRAC は必要なアップデートのみをダウンロードします

- ※外向きPort 21の開放が必要

運用後は必要なものを指定して一括アップデート

- サーバーの次回再起動時まで、アップデートするデータをiDRAC

のメモリ内に保持させることも可能(それまでは適用しない)

- アップデート適用のタイミングも設定可能(スケジューリング)

- 適用のみ行い、再起動のタイミングも指定出来る

53

構成ベースラインを継続的に検出

OME構成のドリフト検出と修復を利用すると、お客様のエンタープライズ全体でセキュリティ関連の設定をロックダウン可

• ベースラインを構築するために使用されるサーバー構成設定と値を定義する※お客様がセキュリティポリシーを確実に制御するために必要であると考える任意の設定を設定する。

• これらのベースラインを本番環境のサーバーに割り当てる。

• OMEは割り当てられたベースラインからの逸脱があるかどうかをレポートするようになる。

• OMEでは、データセンターを確実にセキュリティ保護するためにこれらをベースラインに戻す改善タスクを実行できる。

• iDRACで構成に対する変更があった場合、またはファームウェアの更新があった場合に管理者にアラートを送信することも可能

OMMDell EMC OpenManage Mobile

55

OMMは様々な管理体系をサポート可能なツール

OpenManage MobileConfigure, Monitor, & Remediate

iDRACAt-the-Server or Remote

OMEConsole

RACADMCommands

56

OMMの接続体系

OM Essentials (Console)

iDRAC (12G-14G)

iDRAC with Quick Sync 2 moduleAccess the OM Essentials Console or iDRAC

over an internal network

Internal Network

Access 14Gen iDRAC with Quick Sync 2 (Bluetooth/Wi-Fi)

At-the-Server

Access 13Gen iDRAC with Quick Sync (NFC bezel)

iDRAC with Quick Sync bezel

iDRAC with OMM

58

OMMでどこからでもiDRACへアクセス

Dell EMC PowerEdge Server(iDRACへの1対1アクセス)

iDRACの機能にフルアクセス可能 主要機能へのアクセスに対応

Remote: iDRAC GUI(Web UI)

At-the-Server: PC (USB ➡ iDRAC Direct)

Remote: OMM App

At-the-Server: OMM “Quick Sync 2”

• Deploy• Update• Monitor• Manage

• Review server details• Review logs and health status• Configure IP/BIOS/location• Remediate through reboot, VNC, SupportAssist

59

OMMから主要機能を操作可能

Configure Monitor Remediate

• IP address

• Credentials

• iDRAC

• BIOS

• Networking

• Location

• Server inventory

• Alerts via OME

• Logs: LC / SEL

• Health status

• RACADM

• Reboot server

• iDRAC GUI

• Virtual Console

• Support Assist collection

• Crash screens & videos

* The actual features available depend on many factors such as iDRAC licenses, iDRAC FW versions and server models

OME with OMM

61

OMMでどこからでもiDRACへアクセス

OpenManage Essentials

(PowerEdgeへの1対多アクセス)

OMEの機能にフルアクセス可能 主要機能へのアクセスに対応

Access: PC Access: OMM App

• Deploy• Update• Monitor• Manage

• Review server details• Data center monitoring (alerts)*• Logs and health status• Reboot server

* Alerts are also shown on Apple Watch or Android Wear

62

OMMでどこからでもOMEへアクセス

Monitor Remediate

• Server inventory

• Alerts via OME

• Logs: LC / SEL

• Health Status

• Reboot server

• Access iDRAC GUI

* The actual features available depend on many factors, such as iDRAC licenses, iDRAC FW version and server model.

RACADM with OMM

64

OMMからRACADM CLIを実行可能

• OMMにいくつかのRACADM コマンドセットがプリセットで用意されている。

• RACADMカスタムコマンドも全て実行可能

• モバイルデバイスに結果出力が可能。

コマンド実行から実行結果確認までOMMで可能に

Quick Sync2

66

OMMを利用した近距離1対1管理をセキュアに提供

Use Case

68

OMMなら場所、時間に捕らわれずに対応可能

管理者の悩み

• 管理PCだけだとシステムの問題に気付くのが遅れてしまう事も・・・問題が起こってから気付いたり、翌朝のメールアラートで障害に気付く事も

• =>結果としてSLAに影響してしまう

OMMの利点

• ServerやOMEからの通知をMobile Deviceで受ける

事で、場所にとらわれずいつでも問題発生に気付く事が可能に

• Logやヘルス状況をOMMですぐに確認可能

• Mobile DeviceからでもRebootやCLI等の対応も可能

* アラートはアップルウォッチやAndroidのウェアラブル端末でも受信可能

69

OMMならどこででも通知を受け取れます

OpenManage

Mobile App

OpenManage Cloud Services

Vendor Push Notification Services

OM Cloud Service はApple/Google のpush通知 serviceに通知を送信

OM Console は OM Cloud Serviceに問題を通知

Notification

Issue detected

OMMはOpenManageEnterpriseにIP経由で接続も可能

Cloud

OpenManage

consoleが問題を検知

最終的にApple/Google通知serviceから管理者のOMMApplictionに通知される

70

OMMからiDRACの初期設定を実施

管理者の悩み

• Server設置後、iDRACに管理IPを設定しなければならない。フロントLCDからIPを設定するのは手間がかかってしまう。フロントLCDは小さいし使いにくい。

OMMの利点

• OMMからQuick Syncを使ってiDRACのIPを付与する事が可能。(Quick SyncからBIOSの主要設定を行う事も可能)

• 利用しやすいUIで迅速、簡単に設定が可能に。

• 初期設定が終わればあとはiDRACから設定を実施

71

問題発生時にコンソールカートの代わりにOMMを利用

管理者の悩み

• Serverクラッシュ時にコンソールを運んで接続、

状態確認やクラッシュ時のログ確認を実施するのは大変、コンソールが空いていなくて困る事も

OMMの利点

• OMMからQuick Syncを使ってServerの状態確

認、ログの確認、クラッシュ時のスクリーンショットの確認、前回Boot時の動画確認、クラッシュ前後のビデオを確認 etc.. 障害対応に必要となる情報を確認する事が可能

72

OMMを利用した近距離1対1管理をセキュアに提供

14G ServerではフロントLCDがベゼルに付属。ベゼルが無ければLCDからの初期 設定が出来ない。

OMMがあればフロントLCDが無くても初期設定を実施可能。Quick Syncはベゼルを買わなくても利用が可能。

73

OMMをからQRコードを読んでiDRACパスワードを変更

管理者の悩み

• iDRACの初期パスワードを、よりセキュアなランダムパスワード工場出荷で購入したい。しかし購入後に1

台1台パスワードを変更するのは大変。パスワードを控えて、iDRACからアクセスしてパスワードを変更しなければならない

OMMの利点

• OMMでServerに貼り付けられたQEコードを読み込

めばパスワードをメモしなくとも自動で読み込める。あとは読み込んだパスワードでQuick SyncからiDRACにアクセスして初期設定(iDRACのパスワード変更等)実施すればOK。

OMPCDell EMC OpenManage Power Center

75

電力や熱管理の必要性

1. 電力、ファシリティコストの削減 （初期コスト<< ランニングコスト）

• 電力の利用状況を可視化し、具体的なコストを算出することで、過剰な電源インフラ、冷却電力、ラックスペースを削減

2. ファシリティのリスク軽減

• 電力の異常上昇や温度上昇など閾値を超えたアラートを検知

• 電力供給の限界や冷却装置の障害などサーバーがダウンする前にリスクを早い段階で把握

3. 節電、省エネ対策

• 夏場の電力ピーク時にインフラ全体の節電を実施

まず利用しているIT機器の電力の把握

76

OpenManage PowerCenterデータセンター、マシンルーム、ラック、プロジェクト単位で最大2000ノードの電力管理が可能

グループ単位で消費電力を統計管理ラック、プロジェクト単位で電力制限が可能電力や温度の異常があれば迅速に検知

77

OpenManage PowerCenterの主な機能

1. 電力および温度の利用状況および統計情報の取得（最大 1年間）

2. 閾値指定によるアラート通知

3. 電力ポリシーによる運用制御（上限電力、優先順位、スケジューリング）

4. レポート機能（グループ/デバイス単位のレポーティング）

5. 電力量による課金機能

78

(補足)Power Center初期設定 Image• サンプリング間隔 （1分,3分,6分)

• 単位指定

- 電力Watt / BTU

- 温度摂氏・華氏

- 通貨＄、￥、元各国に対応

• 各プロトコルのタイムアウト値

- IPMI,SNMP,WS-MAN

• 定額料金、冷却乗数

- kWhあたりの値段

- 冷却エネルギーを算出するための乗数

• アラート（SNMPトラップ）先

- 最大3箇所

• DBの保管期間（最大1年）

• アクセスユーザの指定

- ローカルユーザ

- SSOを利用できるドメインユーザ

79

(補足)Power Center初期設定(デバイス検出)

デバイスのIPおよび範囲を指定

プロトコルを指定• IPMI ＝ iDRAC

• SNMP ＝ PDU, UPS

• WS-MAN ＝ M1000e Chassis

デバイスの種類を認識

• サーバー• PDU

• UPS

• シャーシ• サポート外 等

80

(補足)Power Center初期設定(グループ作成)物理グループ - 実際にある場所を指標として指定 （データセンター、ルーム、通路、ラック、シャーシ）

論理グループ - プロジェクト単位を指標として指定（物理的に分散した環境でもグループとして管理）

81

(補足)Power Center初期設定(アラート閾値設定)

• 重要なしきい値（Error）• 警告しきい値(Warning)

最大電力/平均電力(しきい値より) 大きい

平均温度大きい および 未満

デバイス単位、グループ単位で指定が可能

82

(補足)アラートはOpenManage Essentialsで検知

アラート後の処理（メール発報等）はOME側の機能で対応

83

Power Centerからのイベント内容の確認

コンソールからドリルダウンで異常や閾値を超えたグループやデバイスを特定可能

84

Power Centerのダッシュボード/統計情報

• 現状の使用電力、デバイス周辺の温度状態を確認し表示• 過去の電力、温度の変移のビジュアル表示も可能• 利用期間に応じた(設定した)課金情報を表示することも可能

85

設定された電力ポリシーによる運用

• 電力の上限設定• 優先順位の設定• スケジュール指定

Sensitiveな電源環境や節電期間（夏場の電力ピーク時）

86

OpenManage PowerCenter接続構成例

PowerCenterコンソール

・・・

コンソールは無償でご利用いただけます（デル ダウンロードサイトより入手可能です。）

動作OS環境• Windows 7

• Windows Sever 2008 R2 / 2012 R2

iDRAC管理ネットワークを利用

iDRAC

iDRAC

iDRAC

ISMiDRAC Service Module

88

14GのiSM(iDRACサービス モジュール)iSMはiDRACからインストール

• iDRACファームウェア イメージにiSMインストーラが含まれている(Windows、SLES、RHEL、ESXi)

• メリット

—サポート サイトでiSMパッケージを検索して所定のプラットフォームにダウンロードする必要がないため、管理時間が短縮

—iSMがSupportAssistコレクションにOS

情報を追加

ホストOS IP経由のiDRACアクセス

• ホストのIPアドレスを介してiDRACインターフェイスにアクセス可能（iDRAC GUI、Redfish、WS-Man、SNMPトラップ）

• メリット

—インバンド ネットワーク経由での高速なiDRACアクセスが可能

— iDRAC疎通不可の場合の代替えパスとして利用

Dellサポートへサポート支援接続

• OSログの収集に加えて、Dellサポートとのエンドツーエンド接続を作成するiSMは、サポートにさらなる付加価値を提供

• メリット

—はるかに短いIT管理時間で、サーバーの問題を特定/解決し、自動的にDellにアップロード

リモートサーバーの電源の入れ直し

iSMは、iDRACと連携してiSMからの通信

が一定時間以上経ってもない場合はServerを自動再起動させる事も可能

• メリット

— 電源ケーブルの抜き差しのためにサポート担当者がサーバーへ出向くことなく自動復旧

— 遠隔地ののハードウェア トラブルシューティング時間を大幅に削減

iDRAC

iDRACサービスモジュール

OS

iDRAC

iDRAC

サービスモジュール

OS

WS-MAN、RACADM、IPMI

イベントログ

WMIOS

情報

89

iSM (iDRAC Service Module)

iDRAC Service Module (iSM) はOSに導入されプロセスとして動作するApplicationです。iSMはiDRACの機能をさらに拡張させます

• OS 情報を取得してこれをiDRAC/OMEに情報を渡す事が可能(インベントリ機能の強化)

• Lifecycle ControllerのログをOS イベントログに出力する事ができる様になる

• 自動システムリカバリ機能が利用可能(タイマーベースの監視で再起動)

※iDRACがiSMと定期通信を行い、通信断になった場合タイマーを設定して共有再起動をかける機能。

• 自動OSログ収集機能でOS情報を含めて障害発生時にサポートへ提出するログ収集が自動化できます。※iDRACの自動ログ収集機能はH/Wレベルの収集まで、iSMを利用すればOSレベルまでログ収集が可能

• iDRAC自身が応答しなくなってしまった場合のiDRACのハードリセット(再起動不要)

※管理のKeyとなるiDRAC自身が応答不能となった場合にiDS側からiDRACのリセットをかけることが可能

• OS側のInbound IPからiDRACにアクセスが可能※iDRACに対してService用 NIC PortからiDRACにアクセス可能。

90

iSM機能マトリックス(OS別)特性 Windows Nano

SLES/

RHELUbuntu/Debian ESXi CentOS Xen

プラットフォーム

プラットフォームiDRAC

ファームウェアの必要バージョン

OSの基本情報（IPMI準拠） ● ● ● ● ● ● ● 12G以降 1.55.55以降

OSのネットワークインターフェイスモニタリング ● ● ● ● ● ● ● 12G以降 2.0.0（13Gファームウェア）以降

LCログレプリケーション ● ● ● ● ● ● ● 12G以降 1.55.55以降

自動システムリカバリ ● ● ● ● ● ● ● 12G以降 1.55.55以降

WMIインターフェイス ● ● n/a n/a n/a n/a n/a 12G以降 2.0.0（13Gファームウェア）以降

自動TSR収集 ● ● ● ● ● ● ● 12G以降 1.55.55以降

NVMe PCIe SSDデバイスの削除 ● ● ● ● ● ● ● 13G以降

リモートiDRACハード リセット ● ● ● ● ● ● ● 13G以降

ホストOS経由のiDRACアクセス ● ● ● ● ● ● ● 12G以降

SNMPトラップ ● ● ● ● ● ● ● 12G以降

サーバーのすべての電源の入れ直し ● ● ● ● ● ● ● 14G以降

LCでのiSMインストーラ ● ● ● ● ● ● ● 14G以降

LCからのインストール（スクリプト） ● ● ● ● ● ● ● 14G以降

組み込みSupportAssist ● ● ● ● ● ● ● 14G以降

OpenManage Plug-InOpenManage Integration for VMware vCentere

92

Dell EMC OpenManage for VMware

OpenManage Integration for

VMware vCenter

• vCenter ServerにPlug-Inとして導入することで、ｖCenterからHost

Serverのハードウェア監視や管理が可能

OpenManage Management Pack for vRealize Operations

• vRealize Operations Manager にマネジメントパックとして追加し、vRealize製品のダッシュボードに、ハードウェアオブジェクト、ヘルス状態監視とアラート機能を追加する。 (※OMIVVのLicenseが必要)

93

OMIVVOpenManage Integration for VMware vCenter

監視 / アラート• インベントリ、監視、アラート詳細• Dellハードウェアアラートに対して推奨される

vCenterのアクションを提供

配置 / 展開• Dell Life Cycle Controllerを利用したZero-

Touchでのゼロタッチでのベアメタルハイパーバイザ展開が可能。※PXE利用無しで可能。

Firmware

アップデート• vCenterからBIOS と Firmware のUpdateが可能

ハードウェア管理 • ハードウェアの保守/保証情報の管理が可能

仮想環境でのDell EMC PowerEdgeサーバーの管理と展開に関連するツールとタスクを提供するvCenterプラグイン

94

OM vRealize Operations Management Pack

監視 / アラート• インベントリ、監視、アラート詳細• Dellハードウェアアラートに対して推奨される

vCenterのアクションを提供

配置 / 展開• Dell Life Cycle Controllerを利用したZero-

Touchでのゼロタッチでのベアメタルハイパーバイザ展開が可能。※PXE利用無しで可能。

Firmware

アップデート• vCenterからBIOS と Firmware のUpdateが可能

ハードウェア管理 • ハードウェアの保守/保証情報の管理が可能

Dell EMCハードウェアをvRealize Operations(vROps)の管理/分析に組み込む為のvRealize Operations管理パック

95

仮想環境と物理H/Wの管理を統合

管理の複雑性を排除

日々の管理タスクに必要なConsoleを減らしてシンプルで分かりやすい運用管理環境を提供

VMware vCenter

Server

Dell OpenManage

Integration for

VMware vCenter

ESX Installer

BIOS

iDRAC with Lifecycle ControllerOMSA

vSphere

VMware vRealize

Operations Manager

96

vCenterからハードウェアの詳細情報確認が可能

管理の複雑性を排除

全てのホストのインベントリ、ヘルス状況、アラート、保守情報が確認可能で、記録とレポート出力が出来る

97

vROpsにH/Wのヘルス状況とアラート情報を提供

管理の複雑性を排除

サーバーコンポーネントをオブジェクトとして表示してアラートを確認。ヘルス状態をドリルダウン分析でトラブルシュートも可能

分析対象コンポーネントとハードウェアの関連性も確認可能

ドリルダウンでH/Wの障害箇所特定も可能

98

OMIVVはESXiベアメタル展開を可能に

迅速な展開

ESX展開の数十のステップを自動化

クラスタにServerを追加する前にOMIVVがコンプライアンス準拠の確認を実施

Serverの電源、ネットワーク、iDRACを接続

•自動構成をEnableにしていると

(CISOR), iDRAC networkに接

続された新しいDell EMC Serverが

Hostとして OMIVVに表示される

ESX Deployウィザードを起動

•定義済みのハードウェアテンプレー

トとハイパーバイザテンプレートを使

用してサーバーを構成し、ESXiのイ

ンストールします

設定を完了•追加のネットワーク/ストレー

ジの設定を完了し、ライセン

スを割り当て設定を完了

99

OMIVVがUpdateタスクを実施しリスクを最小化

リスク最小化

vCenterでクラスタ対応のファームウェアとBIOSアップデートをスケジューリングして、リスクとダウンタイムを最小限に抑えます

!

OMIVVがUpdate対象のServerをメンテナンスモードに設定し稼働しているVMを

vMotionさせる

Firmware / BIOSをUpdateし、必要に応じてHostを再起動させる

HOSTをメンテナンスモードから復帰させ、次のUpdate対象サーバーをスケジューリング

100

OMIVVがプロアクティブHAのヘルスプロバイダとして動作

リスク最小化

vSphere 6.5から対応したプロアクティブHAに対応（ファン、電源、およびSD冗長性損失時のHA挙動を自動化）

!

101

既存のセキュリティロールを活用して管理

リスク最小化

コントロールアクセスはvCenterのロールと権限に統合

OMIVVのセキュリティはリンクモードのvCenterとの競合を避けるためVM側で処理

!

102

vRealize Operationsのダッシュボード(イメージ)

Serverヘルス状態のヒートマップとどこに物理Issueが発生しているかを表示

電力消費量と温度状況のクイックビューを表示

システムアラートと深刻度をレポート

103

vRealize Operations 詳細ビュー(イメージ)

Serverヘルス状態のヒートマップとどこに物理Issueが発生しているかを表示

電力消費量と温度状況のクイックビューを表示

システムアラートと深刻度をレポート

104

OpenManage Integration for VMware vCenter scales

• 初期展開時に仮想マシンのサイジングを確立して、仮想リソースを最適化して環境のサイズを最適化する

• 1つのOMIVVインスタンスで最大1,000のホストと10のvCentersをサポートできます

• 最大15個のパラレルクラスタレベルBIOS /ファームウェアアップデートを同時にスケジューリングおよび展開できます

• 複数のPlatform Service ControllerドメインのOMIVVインスタンス間を切り替える機能

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

ESXiESXi

vCenter ServervCenter Server

vCenter ServervCenter Server

vCenter Server

vCenter ServervCenter Server

vCenter ServervCenter Server

vCenter Server

セキュリティクラウド基板に求められるH/WのSecurity保護機能

106

H/Wプラットフォームを含めた総合的なセキュリティを提供クラウドプラットフォームではサーバープラットフォームのセキュリティ設計はOSやアプリケーションと同じくらい重要に

ファームウェア（BIOS、BMC、HDDなど）

ハードウェア設計の永続保持

ハイパーバイザー/OS

アプリケーション

クラウド

セキュリティへの注目や費用が集まりやすい領域対策Toolも豊富

見落とされがちなインフラストラクチャ側のセキュリティ対策

一般Toolでの検出も困難

ファイアウォール

107

偽のファームウェアにアップデートされていた事件

http://appleinsider.com/articles/17/02/23/server-firmware-security-incident-in-2016-forced-apple-to-sever-ties-with-vendor-super-micro

108

H/Wプラットフォームを含めた総合的なセキュリティを提供クラウドプラットフォームではサーバープラットフォームのセキュリティ設計はOSやアプリケーションと同じくらい重要に

• 検出が困難 ： 悪意のあるファームウェアは、現在のアンチウイルススキャナーでは検出できない

• 永続的： 悪意のあるファームウェアは再起動後や電源の入れ直し後に再ロードされてしまう

• OS前の制御 ： BIOSのマルウェアは、OSのロード前の下位レベルでサーバの動作を制御してしまう

• 最新の状態でない ： OSセキュリティの問題に対するソフトウェアのパッチ適用は頻繁だが、ファームウェアを最新のセキュリティに対応させれているケースは少ない

• 複数の攻撃ポイント ： 一般的なサーバプラットフォームは、タイプの異なる複数のデバイス ファームウェアを持っており、そのすべてを保護する必要がある

PSU

ストレージ ドライブ

FC HBA

BMC BIOS

ストレージコントローラ

CPLD

搭載されたサーバーファームウェア

NIC

109

第14世代PowerEdge「サイバーレジリエントアーキテクチャ」

高速リカバリ信頼性の高い検知

効果的な保護

PowerEdgeセキュア ブート

認証済みのファームウェア更新

システムロックダウン

OMEドリフト検出

永続的なログ

セキュリティ アラート

BIOSリカバリ＆OSリカバリ

System Erase

Easy Restore

110

iDRAC9：信頼できるシステム管理

• 安全なパスワード：保護されていないネットワーク上で新しいiDRACが不注意にも公開されないよう防止

• 強力なパスワード ポリシーを推奨

• 2要素認証と公開鍵認証

安全な認証****

認証情報ヴォールト

• 証明書やパスワードなどの重要な情報は、iDRACフラッシュ メモリに安全に保存

• ヴォールト内のコンテンツは隠されたrootキーを使用して暗号化されるため、メモリが盗まれた場合でも読み取られない

ハードウェアルート オブ トラスト

• iDRACとBIOSのファームウェアを安全にブートするための、シリコンに埋め込まれた変更できないルート オブ トラスト

• 認証に失敗した場合、信頼できるイメージに高速リカバリ

• お客様による署名済みSSL証明書

• カスタム ログイン バナーを使って、お客様はユーザーに独自のログイン ガイダンスとポリシーを設置可能

カスタマイズ

• アクティブな直接認証とLDAP認証

• SNMP v3

• IP範囲のブロック

• TLS 1.2通信

安全なプロトコル

• IPアドレスごとにログイン失敗の上限を設定

• プロトコルごとに構成可能なIPポート

• セッション タイムアウトを構成可能

その他

111

iDRAC9から物理サーバーのセキュリティ確保

ロック可能なベゼルと検出可能なパネル

：上部パネルは誰かが開いたときやシャーシが触られたときにセンサー検出してアラートを発報

通知とアラート

：何らかの不正侵入を検出した場合に通知またはアラートを生成するようにiDRACを構成可能

個別のI/Oポート制御

：iDRACはすべてのポートを有効化/無効化でき、堅牢性と細分性に優れたすべてのサーバーハードウェアの制御を提供

例：外部USBポートをロックする等

112

サーバー ファームウェアの保護暗号で署名されたファームウェアパッケージは、攻撃対象領域を最小限に抑える

• 侵入者がサーバーインフラストラクチャの制御権を取得してデータセンターのコア基盤を侵害するために、サーバファームウェアをハッキングする脅威がある

– サーバ コンポーネントは複雑なサプライチェーンで多くのFirware/Device Driverを搭載しており、そこからのハッカーの侵入経路も多い

– サプライチェーンの複雑性から修復にかかる時間も増加

• ファームウェアをアップグレードするための安全なプロセスは、信頼できるソフトウェアアップグレードのプロセスと同等に重要である

• ファームウェアは認証が必要、かつ不正使用またはバックドアの更新が行われないようにロックしておく必要がある

• Dell EMCでは主要なサーバーコンポーネントに署名済みファームウェアアップデートを提供する。

– 例 ： 攻撃者がマルウェアのファームウェアでIntelのNIC

を更新しようとしても、そのファームウェアはDell EMCによって署名されていないことを検知し、Dellのツールが更新をブロックする

– PowerEdgeでサポートされているデバイスは、署名のないファームウェアを拒否する事が出来

– PSUなどのコンポーネントはBMC/iDRACの管理配下になっていて、アップグレードする方法はDellが許可したツールのみに限られる

• システムロックダウンを設定する事によって、管理者がプロファイルをロックして以降のシステム構成とファームウェアの変更を防止可能

• NISTの仕様（NIST SP800-147B、NIST SP800-

155）のガイドラインに準拠

14G Only

113

PowerEdgeセキュアブート

PowerEdgeセキュアブートにより、サーバーブートファームウェアをエンドツーエンドで検証

• Intel Boot Guard Technologyによって有効化するサーバーハードウェアのルートオブ トラストを確保

– システム起動時に、PowerEdge BIOSイメージの信頼性を検証

– システムは、BIOSがDellによって提供された有効な署名済みイメージと一致する場合にのみ起動

• iDRAC9チップに書き込まれたDellの公開鍵を使用して有効化する

– ファームウェアが検証できて正規のものである場合にのみiDRACが起動

サーバーのブートプロセスで検証されるコンポーネント

• オペレーティングシステムのブートローダー

• PCIeカードから読み込まれるUEFIドライバ

• 大容量ストレージデバイスからのUEFIドライバおよび実行可能プログラム

14G Only

114

セキュアブートポリシーのタイプ

標準セキュア ブート ポリシー• 信頼できないOSイメージ、または異なるブートメディアからブートできてしまう事からシステムを保護する

• 有効化すると、BIOSはプリブートイメージの認証にDell EMCからの鍵と証明書を使用する

• Dellサーバーは標準ポリシーで出荷。これには、Dellで生成された公開鍵、1つまたは複数の鍵交換鍵（OSベンダーから提供される鍵）、UEFI認証局によって生成されたホワイトリスト証明書が入ったデータベース、ブラックリスト証明書が入ったデータベースが含まれる。

• UEFIは署名済みのブートローダーをチェック。ブートローダー証明書が署名されていない場合や、ホワイトリスト証明書の中に見つからない場合、またはブラックリスト証明書の中で見つかった場合、システムはブートプロセスを停止する。

カスタム セキュア ブート モード• セキュリティを特に気にするお客様は、Microsoftなどではなく自分の組織で署名したブート ローダーを使用することを望まれる。

• PowerEdge拡張UEFIモードにより、お客様は自分の組織で署名したブート ローダーを使用してシステムのブートできる。お客様自身によるシステムのブートの完全性を制御。

• 有効化すると、BIOSはユーザーがカスタマイズした鍵と証明書を使用する。システム管理者は各自でDBとDBXに入力することを選択できる。

14G Only

115

PowerEdgeシステム ロックダウン

• システム ロックダウンは、システム ファームウェア イメージや重要な構成データの変更をDellのツールによって防止する14Gの新機能

• ロックダウンモードでは、システムコンポーネントのいずれかでコードや構成に悪意のある変更が行われないように防止/保護を提供

• ロックダウンモードはライセンスが必要な機能で、iDRAC Enterpriseライセンスの一部として提供される

• ロックダウンモードをサポート/適用するDellのツールまたはインターフェイス=> iDRAC GUI、racadm、WSMAN、Redfish、DUP、OMSA/OMSS、BIOS F2、SysConfig、IPMI

• 電力制限、電源操作など特定の操作はシステムがロック ダウンモードのときでも許可される

14G Only

116

PowerEdgeシステム ロックダウン

もしくは、Racadm, WSman, or RedfishなどからのON/OFF設定が可能

14G Only

117

構成ベースラインを継続的に検出

OME構成のドリフト検出と修復を利用すると、お客様は、次のステップに従ってエンタープライズ全体でセキュリティ関連の設定をロックダウン可能：

ベースラインを構築するために使用されるサーバー構成設定と値を定義する。お客様がセキュリティ ポリシーを確実に制御するために必要であると考える任意の設定が可能。

これらのベースラインを本番環境のサーバーに割り当てる

OMEは割り当てられたベースラインからの逸脱があるかどうかをレポートするようになる

OMEでは、次に、データセンターを確実にセキュリティで保護するためにこれらをベースラインに戻す改善タスクを実行できる。

iDRACで構成に対する変更またはファームウェアの更新に関するアラートを送信することも可能

118

iDRAC9 BIOSリカバリ機能

• BIOSは最も重要なシステムファームウェアであり、常時信頼されるものである必要がある

• BIOSが破損するか、暗号形式の整合性検証に失敗すると、PowerEdgeは自動的にBIOSを初期イメージにリカバリする

PowerEdPowerEdge geによるBIOSリカバリの実現方法

– 14Gサーバーではプライマリとリカバリの2つのBIOS ROMをシステムに保持する

– システムでは常にプライマリROMを使用。リカバリROMは常にホストに対して非表示でセキュアに確保され、リカバリROM自体を更新するかリカバリの際にプライマリROMを更新する場合にのみiDRACを介してアクセスが可能

– 14Gサーバーでは、BIOSのリカバリを開始する以下2通りの方法がある

1. iDRAC 9がBoot Guardの障害を検出し、BIOSの自動リカバリを開始

2. BIOS自体でFVの破損を検出してリカバリを開始することが可能

※これらはすべてのリカバリイベントがログに記録され、アラートの生成も可能

14G Only

119

PowerEdge組み込みOSリカバリ14G Only

• 事前構成済みでプリインストールされている冗長OSイメージコピーからお客様のシステムをリカバリする機能

• OS破損またはシステム内のプライマリOSイメージの消去を経たPDOS攻撃につながる状況に対応する

– OSイメージの冗長/リカバリ コピーはプライマリOSの通常の起動中には非表示であるため、侵害されたOSからの悪意のある攻撃からは防御される

– これまでの方式では、リカバリOS領域を完全に「非表示」にさせるハードウェアとしての対応デバイスは無かった

機能詳細：

– 冗長OSはDellがインストールするか、エンドカスタマーのIT部門でプロビジョニングすることが可能です

– OSのリカバリコピーを非表示にする。ユーザーがリカバリデバイスターゲットとして特定のデバイスを選択した場合、次回ブート時にBIOSでは、OSビューでこのリカバリ デバイスを無効化/非表示にするオプションを提供する

– 必要に応じて管理ツールから「リカバリOSに切り替え」を呼び出すとリカバリエージェント/OSが起動し、プライマリOSのリカバリを実行する、またはプライマリOSとして引き継ぐことも可能

120

PowerEdgeサーバーの“Easy”リストア14G Only

• iDRAC9とLifecycle Controllerの組み合わせによってサーバーファームウェアの高速リカバリと構成設定の高速リカバリを実現

• サーバープロファイルによってサーバーのvFlashまたはネットワーク ストレージに対する現在のファームウェア、構成、ライセンスのバックアップが可能

• マザーボードの交換を必要とする状況でもiDRACでは構成情報とライセンスを自動的にリストア。

• コンポーネント（NICなど）の交換の場合、iDRACでは構成およびファームウェアイメージを保持しており、自動的にリストアする。

121

システムの安全なリサイクル / リパーパス&破棄14G Only

PowerEdge Lifecycle Controllerはサーバーをリパーパスまたは破棄する場合に、データのセキュリティ確保に役立つ

システム消去機能ではストレージ デバイスに搭載されたISE（Instant Secure

Erase）と呼ばれる新機能を活用

ISEのメリット

• 速度：DoD 5220.22-Mなどのデータの上書き手法と比べてはるかに高速（何時間もから数秒に短縮）

• 効率性：ISEでは予約済みブロックを含む、ドライブ上のすべてのデータを消去（SSDドライブの問題の場合など）

• TCOの向上：ストレージ デバイスを破壊したりするのではなく再使用が可能

122

PowerEdgeシステム消去14G Only

仕組み

• Instant Secure Erase（別名、暗号消去）は、NIST Special

Publication 800-88「Guidelines for Media Sanitization」で示されている、ストレージ ドライブ上のデータ消去方法として広く認められた方法

• ISEを搭載したドライブはドライブの外部に公開しない内部鍵を使用して、下位レベルのメディア上のデータを継続的に暗号化する

• ドライブを消去するには、単に暗号化キーを削除し、それによりドライブ上のデータが判読不能になる仕組み（つまり「インスタント消去」）

• 管理者はLCUI（Lifecycle Controller User Interface）、RACADM、またはAPIを使用して、以下の場合を除く、キャッシュ、すべてのHDD、SSD、NVMeなど、サーバーの不揮発性ストレージを消去可能

※M.2ドライブは製品RTS時は対象外(BOSSに非対応)

※暗号消去をサポートしていないSATA SSDはサポート対象外