コンテンツにスキップ

Security / AAA / FIPS / Hardening

この章は、SONiC で「誰がログインできるか」「どの経路で管理できるか」「データプレーンの暗号と完全性」「起動とアップグレードの信頼チェーン」を一望するための入口です。既存ページは AAA、SSH、MACsec、FIPS、secure boot などの HLD 単位に分かれているため、ここでは管理者が「セキュリティ要件をどこに落とすか」を考える順に並べ直します。

SONiC のセキュリティは大きく三つの層に分かれます。第一は control plane で、TACACS+ / RADIUS / LDAP / local user による認証と、SSH / serial console / banner などの管理面ポリシーが該当します。第二は data plane で、MACsec / MKA とその ASIC / Gearbox サイドの実装が該当します。第三は platform で、OpenSSL FIPS、secure boot、secure upgrade、container hardening、SAI POST が該当します。本章ではこの分類で既存 HLD を再配置します。

この章で答える質問

  • AAA、TACACS+、RADIUS、LDAP、local user はどの順番で読むのか。
  • FIPS、MACsec、MKA、secure boot、secure upgrade は同じ章で扱うのか、それぞれどう違うのか。
  • password hardening、default credential、SSH / serial console policy はどの設定に入るのか。
  • container hardening、OpenSSL FIPS、SAI POST はどの層の保護で、どの章と接続するのか。

読み進め方

  1. 概念: control plane / data plane / platform security の三層分類と用語整理。
  2. アーキテクチャ: AAA login flow、hostcfgd、PAM、NSS、config-db の経路。
  3. 設定: TACACS+ / RADIUS / LDAP / local user / SSH / banner の最小構成。
  4. 運用: password policy、default credential、reset、トラブルシュート。
  5. 内部実装: MACsec / MKA、Gearbox backend、SAI POST のデータプレーン側。
  6. 発展トピック: OpenSSL FIPS、secure boot、secure upgrade、container hardening。

関連章

関連ページ

章構成と進捗

ページ 状態 verification
concept ✅ 完成 (154 行) meta
setup ✅ 完成 (211 行) meta
operations ✅ 完成 (193 行) meta
internals ✅ 完成 (132 行) meta
advanced ✅ 完成 (105 行) meta

次に読むべき記事

この章を読み進める順

関連する HLD 7 件

関連トラブルシュート 5 件

関連する章

前提として読むべき章

派生で読むべき章

補完的に読む章