From 7076011e45584deda1c08621671093867fba2145 Mon Sep 17 00:00:00 2001 From: OpenStack Proposal Bot Date: Tue, 11 Jul 2017 06:40:31 +0000 Subject: [PATCH] Imported Translations from Zanata For more information about this automatic import see: http://docs.openstack.org/developer/i18n/reviewing-translation-import.html Change-Id: I4a4f61644736c94028ba4b213cc169435f759515 --- .../locale/ja/LC_MESSAGES/security-guide.po | 2040 +---------------- 1 file changed, 1 insertion(+), 2039 deletions(-) diff --git a/security-guide/source/locale/ja/LC_MESSAGES/security-guide.po b/security-guide/source/locale/ja/LC_MESSAGES/security-guide.po index 0e22020f..473ea403 100644 --- a/security-guide/source/locale/ja/LC_MESSAGES/security-guide.po +++ b/security-guide/source/locale/ja/LC_MESSAGES/security-guide.po @@ -22,7 +22,7 @@ msgid "" msgstr "" "Project-Id-Version: Security Guide 0.0.1\n" "Report-Msgid-Bugs-To: \n" -"POT-Creation-Date: 2017-03-13 01:35+0000\n" +"POT-Creation-Date: 2017-07-11 01:30+0000\n" "MIME-Version: 1.0\n" "Content-Type: text/plain; charset=UTF-8\n" "Content-Transfer-Encoding: 8bit\n" @@ -33,36 +33,6 @@ msgstr "" "X-Generator: Zanata 3.9.6\n" "Language-Team: Japanese\n" -msgid "" -"\"The `Federal Risk and Authorization Management Program `__ (FedRAMP) is a government-wide program that provides a standardized " -"approach to security assessment, authorization, and continuous monitoring " -"for cloud products and services\". NIST 800-53 is the basis for both FISMA " -"and FedRAMP which mandates security controls specifically selected to " -"provide protection in cloud environments. FedRAMP can be extremely intensive " -"from specificity around security controls, and the volume of documentation " -"required to meet government standards." -msgstr "" -"\"`__ (FedRAMP) は米国連邦政府全体のプログラムであ" -"り、クラウド製品とサービスのセキュリティ評価、認証、および継続的モニタリング" -"の、標準化された手順を提供します\" NIST 800-53はFISMAとRedRAMPの両方の基礎で" -"あり、特にクラウド環境における保護を提供するために選択されたセキュリティ統制" -"を強制します。セキュリティ統制に関する具体性と政府標準を満たすための文書量" -"を、FedRAMPは徹底しています。" - -msgid "" -"\"any information about an individual maintained by an agency, including (1) " -"any information that can be used to distinguish or trace an individual's " -"identity, such as name, social security number, date and place of birth, " -"mother's maiden name, or biometric records; and (2) any other information " -"that is linked or linkable to an individual, such as medical, educational, " -"financial, and employment information\"" -msgstr "" -"\"政府機関が保有するあらゆる個人情報、(1)個人を特定、追跡しうるあらゆる情報、" -"たとえば氏名、社会保障番号、出生年月日、出生地、母の旧姓、生体情報など。およ" -"び、(2)個人に結びつく、結びつけられるあらゆる情報、たとえば医療、教育、金融、" -"雇用情報など\"" - msgid "**Adam Hyde**" msgstr "**Adam Hyde**" @@ -157,15 +127,6 @@ msgstr "" "合。ユーザーが root 以外に、グループが neutron 以外に設定されている可能性があ" "ります。" -msgid "" -"**Fail:** If the above commands does not return any output as the user and " -"group ownership might have set to any user other than root or any group " -"other than nova." -msgstr "" -"**失敗:** 上のコマンドが、ユーザー所有者とグループ所有者として何も返さない場" -"合。ユーザーが root 以外に、グループが nova 以外に設定されている可能性があり" -"ます。" - msgid "" "**Fail:** If the above commands does not return any output as the user or " "group ownership might have set to any user other than keystone." @@ -344,13 +305,6 @@ msgstr "" "れ root と neutron に設定されている場合。上のコマンドは root neutron を表示し" "ます。" -msgid "" -"**Pass:** If user and group ownership of all these config files is set to " -"root and nova respectively. The above commands show output of root nova." -msgstr "" -"**成功:** これらのすべての設定ファイルのユーザーおよびグループ所有者がそれぞ" -"れ root と nova に設定されている場合。上のコマンドは root nova を表示します。" - msgid "" "**Pass:** If user and group ownership of the config file is set to root and " "horizon respectively. The above commands show output of root horizon." @@ -530,13 +484,6 @@ msgstr "" "*Denial of Service (DoS)*: マイグレーションプロセス中に何かが失敗した場合、イ" "ンスタンスを失う可能性があります。" -msgid "" -"*Rule:* Use a private (V)LAN network segment for your storage nodes in the " -"data domain." -msgstr "" -"*ルール*: データドメインでストレージノードのためにプライベート (V)LAN ネット" -"ワークを使用します。" - msgid "1024, 2048, or 3072 bits" msgstr "1024、2048、3072 ビット" @@ -579,9 +526,6 @@ msgstr "6002" msgid "873" msgstr "873" -msgid ":ref:`search`" -msgstr ":ref:`search`" - msgid ":term:`Secure shell (SSH)`" msgstr ":term:`Secure shell (SSH)`" @@ -689,19 +633,6 @@ msgstr "" msgid "A domain of a security service." msgstr "セキュリティーサービスのドメイン" -msgid "" -"A lot of activity goes on within a cloud environment. It is a mix of " -"hardware, operating systems, virtual machine managers, the OpenStack " -"services, cloud-user activity such as creating instances and attaching " -"storage, the network underlying the whole, and finally end-users using the " -"applications running on the various instances." -msgstr "" -"多数の活動がクラウド環境内で行われます。これはハードウェア、オペレーティング" -"システム、仮想マシンマネージャ、OpenStackサービス群、インスタンス作成やスト" -"レージアタッチのようなクラウド⇔ユーザ活動、全体の土台であるネットワーク、最後" -"に様々なインスタンス上で実行されるアプリケーションを使用するエンドユーザの" -"ミックスです。" - msgid "" "A network topology should be provided with highlights specifically calling " "out the data flows and bridging points between the security domains. Network " @@ -745,40 +676,6 @@ msgstr "" "しています。こうすることで、人的ミスをなくし、クラウドの迅速なスケールアウト" "が可能になります。自動化により、継続的な統合やテストが行いやすくなります。" -msgid "" -"A proxy node should have at least two interfaces (physical or virtual): one " -"public and one private. Firewalls or service binding might protect the " -"public interface. The public facing service is an HTTP web server that " -"processes end-point client requests, authenticates them, and performs the " -"appropriate action. The private interface does not require any listening " -"services but is instead used to establish outgoing connections to storage " -"nodes on the private storage network." -msgstr "" -"プロキシノードは少なくとも 2 つのインターフェース (物理または仮想) を持つべき" -"です。一つはパブリック、もう一つはプライベートです。ファイアウォールやサービ" -"スバインディングは、パブリックインターフェースを保護できるかも。パブリックな" -"サービスは、エンドポイントクライアントのリクエストを処理し、それらを認証し、" -"適切なアクションを実行する HTTP ウェブサーバーです。プライベートインター" -"フェースはサービスをリッスンしませんが、代わりにプライベートストレージネット" -"ワークにあるストレージノードに接続を確立するために使用されます。" - -msgid "" -"A risk assessment framework identifies risks within an organization or " -"service, and specifies ownership of these risks, along with implementation " -"and mitigation strategies. Risks apply to all areas of the service, from " -"technical controls to environmental disaster scenarios and human elements, " -"for example a malicious insider (or rogue employee). Risks can be rated " -"using a variety of mechanisms, for example likelihood vs impact. An " -"OpenStack deployment risk assessment can include control gaps that are " -"described in this book." -msgstr "" -"リスク評価フレームワークは、組織やサービス内のリスクを特定します。また、それ" -"らのリスク、実装と緩和戦略の責任者を明確にします。リスクは全てのサービスに適" -"用され、その範囲は技術統制から環境災害、人的要因にわたります。人的要因の例" -"は、悪意ある内部監視者(や不良社員)などです。リスクは発生確率や影響度など、多" -"様な指標を使って評価されます。OpenStack環境のリスク評価はこのガイドで触れられ" -"ている統制のギャップを含みます。" - msgid "" "A separate database administrator (DBA) account should be created and " "protected that has full privileges to create/drop databases, create user " @@ -943,25 +840,6 @@ msgstr "" msgid "Additional security features" msgstr "追加のセキュリティ機能" -msgid "" -"Additionally, Bob adds strong network ACL rulesets to enforce which " -"endpoints can communicate with the message servers. This second control " -"provides some additional assurance should the other protections fail." -msgstr "" -"さらにボブは、メッセージサーバーと通信できるエンドポイントを、強力なネット" -"ワークの ACL ルールセットで制限することにしました。この2個目の制限が、他の防" -"御が失敗した場合の保険として機能します。" - -msgid "" -"Additionally, due to the risk and complexities associated with PCI " -"passthrough, it should be disabled by default. If enabled for a specific " -"need, you will need to have appropriate processes in place to ensure the " -"hardware is clean before re-issue." -msgstr "" -"加えて、PCI パススルーに関連したリスクと複雑性のため、これはデフォルトで無効" -"化されるべきです。特定の用途のために有効化する場合、ハードウェアが再発行され" -"る前に確実にクリアするために、適切なプロセスを実行する必要があります。" - msgid "Address Space Layout Randomization (ASLR)" msgstr "Address Space Layout Randomization (ASLR)" @@ -995,119 +873,6 @@ msgstr "" msgid "Algorithm" msgstr "アルゴリズム" -msgid "" -"Alice also deploys the dashboard to manage many aspects of the cloud. She " -"deploys the dashboard with HSTS to ensure that only HTTPS is used. The " -"dashboard resides within an internal subdomain of the private network domain " -"name system." -msgstr "" -"アリスはクラウドのさまざまな観点を管理するために Dashboard も導入します。必" -"ず HTTPS のみを使用するために HSTS と共に Dashboard を導入します。Dashboard " -"はプライベートネットワークの DNS の内部サブドメインの中にあります。" - -msgid "" -"Alice chooses Xen for the hypervisor in her cloud due to a strong internal " -"knowledge base and a desire to use the Xen security modules (XSM) for fine-" -"grained policy enforcement." -msgstr "" -"アリスは豊富な知識を持っている上、細かいポリシー強制のためにXen security " -"module(XSM)を採用したいため、Xenをハイパーバイザーに選択します。" - -msgid "" -"Alice decides to use SPICE instead of VNC for the virtual console. She wants " -"to take advantage of the emerging capabilities in SPICE." -msgstr "" -"アリスは仮想コンソールに VNC の代わりに SPICE を使用することを決めました。" -"SPICE の先進的な機能の利点を得ようと思います。" - -msgid "" -"Alice is building an OpenStack private cloud for the United States " -"government, specifically to provide elastic compute environments for signal " -"processing. Alice has researched government compliance requirements, and has " -"identified that her private cloud will be required to certify against FISMA " -"and follow the FedRAMP accreditation process, which is required for all " -"federal agencies, departments and contractors to become a Certified Cloud " -"Provider (CCP). In this particular scenario for signal processing, the FISMA " -"controls required will most likely be FISMA High, which indicates possible " -"\"severe or catastrophic adverse effects\" should the information system " -"become compromised. In addition to FISMA Moderate controls Alice must ensure " -"her private cloud is FedRAMP certified, as this is a requirement for all " -"agencies that currently utilize, or host federal information within a cloud " -"environment." -msgstr "" -"アリスはOpenStackプライベートクラウドを米国政府向けに構築しています。具体的に" -"は、信号処理向けの柔軟なコンピューティング環境です。アリスは政府向けコンプラ" -"イアンス要件を調査した結果、これから構築しようとしているプライベートクラウド" -"はFISMAおよびFedRAMP認定が必要であると判断しました。これは政府系機関、行政" -"部、および契約者、どのような立場であっても、認定クラウドプロバイダー" -"(Certified Cloud Provider, CCP)になるために必要な手続きです。特に信号処理は、" -"FISMAはそれを\"深刻で壊滅的な影響\"をシステムに与えうるとしているため、FISMA" -"影響度が\"高\"となりがちです。加えてFISMA Moderateレベルにおいて、アリスはそ" -"のプライベートクラウドを確実にFedRAMP認証としなければいけません。これはクラウ" -"ド内に政府の情報を保有する、全ての機関に求められてる条件です。" - -msgid "" -"Alice is willing to apply a relatively large amount of resources to software " -"packaging and maintenance. She will use these resources to build a highly " -"customized version of QEMU that has many components removed, thereby " -"reducing the attack surface. She will also ensure that all compiler " -"hardening options are enabled for QEMU. Alice accepts that these decisions " -"will increase long-term maintenance costs." -msgstr "" -"アリスはソフトウェアパッケージングとメンテナンスにそれなりのリソースを割り当" -"てる予定です。これらのリソースを活用し、QEMUから多数コンポーネントを取り除く" -"など大幅カスタマイズをします。コンポーネントを取り除くことで、攻撃可能な部分" -"は削減されます。また、QEMUのコンパイラ強化オプションがすべて有効になっている" -"ことも確認します。長期メンテナンスコストが増えてしまうことを理解した上でこれ" -"らの作業や設定を選択しています。" - -msgid "" -"Alice writes XSM policies (for Xen) and SELinux policies (for Linux domain " -"0, and device domains) to provide stronger isolation between the instances. " -"Alice also uses the Intel TXT support in Xen to measure the hypervisor " -"launch in the TPM." -msgstr "" -"インスタンス間の分離を強めるため、アリスはXSMポリシー(Xen向け)とSELinuxポリ" -"シー(Linux domain0とデバイスドメイン向け)を作成しています。また、TPMのハイ" -"パーバイザーの起動を計測するためにXenに含まれるIntel TXTサポートを採用してい" -"ます。" - -msgid "Alice's cloud running a public application" -msgstr "パブリックアプリケーションを実行しているアリスのクラウド" - -msgid "" -"Alice's enterprise has a well-established directory service with two-factor " -"authentication for all users. She configures the Identity service to support " -"an external authentication service supporting authentication with government-" -"issued access cards. She also uses an external LDAP server to provide role " -"information for the roles that are integrated with the access control " -"policy. Due to FedRAMP compliance requirements, Alice implements two-factor " -"authentication on the management network for all administrator access." -msgstr "" -"アリスの企業はすべてのユーザーに対して 2 要素認証を持つディレクトリサービスが" -"十分に確立されています。彼女は政府発行のアクセスカードを用いた認証をサポート" -"する外部認証サービスをサポートするよう Identity を設定します。アクセス制御ポ" -"リシーと統合されたロール用のロール情報を提供するために、外部 LDAP サービスも" -"使用します。FedRAMP コンプライアンス要件のため、アリスはすべての管理アクセス" -"に対して管理ネットワークで 2 要素認証を導入します。" - -# #-#-#-#-# api-endpoints.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# compliance.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# compute.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# databases.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# data-processing.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# documentation.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# identity.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# instance-management.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# management.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# messaging.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# monitoring-logging.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# networking.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# secure-communication.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# tenant-data.pot (Security Guide 0.0.1) #-#-#-#-# -msgid "Alice's private cloud" -msgstr "アリスのプライベートクラウド" - msgid "" "All SSH daemons have private host keys and, upon connection, offer a host " "key fingerprint. This host key fingerprint is the hash of an unsigned public " @@ -1151,10 +916,6 @@ msgstr "仮想化が FUSE マウントされたファイルを読み取ること msgid "Allow virt to use USB devices." msgstr "仮想化が USB デバイスを使用することを許可します。" -msgid "Allow virt to use serial/parallel communication ports." -msgstr "" -"仮想化がシリアル通信ポートとパラレル通信ポートを使用することを許可します。" - msgid "Allow virtual machine to interact with the X Window System." msgstr "仮想マシンが X Window System と通信することを許可します。" @@ -1168,18 +929,6 @@ msgstr "" "Data Execution Prevention (DEP) としても知られています。実行ファイルのデータ" "部分を必ず実行できなくします。" -msgid "" -"Although SPICE has many advantages over VNC, the spice-html5 browser " -"integration currently doesn't really allow admins to take advantage of any " -"of the benefits. To take advantage of SPICE features like multi-monitor, USB " -"pass through, etc. admins are recommended to use a standalone SPICE client " -"within the Management Network." -msgstr "" -"SPICE は VNC よりも多くの点で優れていますが、現在 spice-html5 ブラウザー統合" -"は管理者がすべての利点を利用することができません。マルチモニター、USB パスス" -"ルーなどの SPICE 機能の利点を利用するためには、管理ネットワークの中でスタンド" -"アロン SPICE クライアントを使用することが推奨されます。" - msgid "" "Although you may desire to break these domains down further (we later " "discuss where this may be appropriate), we generally refer to four distinct " @@ -1194,31 +943,6 @@ msgstr "" msgid "An IP address or host name of a security service." msgstr "セキュリティーサービスの IP アドレスまたはホスト名" -msgid "" -"An Object Storage \"account\" is not a user account or credential. The " -"following explains the relations:" -msgstr "" -"オブジェクトストレージの「アカウント」はユーザーアカウントやクレデンシャルで" -"はありません。以下に関連を説明します。" - -msgid "" -"An Object Storage installation does not have to necessarily be on the " -"Internet and could also be a private cloud with the \"Public Switch\" being " -"part of the organization's internal network infrastructure." -msgstr "" -"Object Storage 環境はインターネット環境にある必要がありません。組織の内部ネッ" -"トワークインフラストラクチャーの一部である「パブリックスイッチ」を使用してプ" -"ライベートクラウドにできます。" - -msgid "" -"An added benefit with utilizing OpenStack Networking is when new advanced " -"networking services become available, these new features can be easily " -"provided to the end customers." -msgstr "" -"OpenStack Networking 利用の追加的な利点は、新しい先進的なネットワークサービス" -"が利用可能になった場合、これらの新しい機能をエンドユーザに簡単に提供できる事" -"です。" - msgid "" "An encrypted tunnel is created between libvirtd processes on both source and " "destination hosts." @@ -1247,10 +971,6 @@ msgstr "" "すべく、変化していくでしょう。またそれは、コミュニティへの貢献によって修正さ" "れていく可能性があります。" -msgid "" -"An optional system to which a CA delegates certain management functions." -msgstr "CAが一定の管理機能を委任する追加システム。" - msgid "" "Andrew Hay is the Director of Applied Security Research at CloudPassage, " "Inc. where he leads the security research efforts for the company and its " @@ -1262,22 +982,6 @@ msgstr "" "ドクラウドのホスティング環境向けに設計されたサーバーセキュリティ製品のセキュ" "リティ研究チームを率いています。" -msgid "Another as a \"private\" interface with access to the storage nodes" -msgstr "" -"ストレージノードにアクセスする「プライベート」インターフェースとしてもう一つ" - -msgid "" -"Another thing to look into when selecting a hypervisor platform is the " -"availability of specific security features. In particular, we are referring " -"to features like Xen Server's XSM or Xen Security Modules, sVirt, Intel TXT, " -"and AppArmor. The presence of these features increase your security profile " -"as well as provide a good foundation." -msgstr "" -"ハイパーバイザー選択時に検討すべき他の事項は、特定のセキュリティ機能の利用可" -"否です。とくに、Xen Server の XSM (Xen Security Modules)、sVirt、Intel TXT、" -"AppArmor のような機能を利用しています。これらの機能の存在は、セキュリティプロ" -"ファイルを向上するだけでなく、良い基盤を提供します。" - msgid "Ansible" msgstr "Ansible" @@ -1287,13 +991,6 @@ msgstr "Apache" msgid "AppArmor" msgstr "AppArmor" -msgid "" -"AppArmor.net, AppArmor Main Page. 2011. `http://wiki.apparmor.net/index.php/" -"Main_Page `__" -msgstr "" -"AppArmor.net, AppArmor Main Page. 2011. `http://wiki.apparmor.net/index.php/" -"Main_Page `__" - msgid "" "Application events such as start or stop events that were unscheduled would " "also be events to monitor and examine for possible security implications." @@ -1301,30 +998,9 @@ msgstr "" "スケジュール外の start/stop のようなアプリケーションイベントは、潜在的なセ" "キュリティ的なウラについての監視と確認作業を行うイベントでもあるでしょう。" -msgid "" -"Appropriate logging is implemented to monitor for unauthorized use, incident " -"response and forensics. It is highly recommended that selected audit " -"subsystems be Common Criteria certified, which provides non-attestable event " -"records in most countries." -msgstr "" -"適切なロギングは、不正利用の監視や障害対応、証拠収集に役立ちます。多くの国に" -"おいて、それを再度証明する必要が無い、Common Criteria認定をうけた監査サブシス" -"テムの採用を強くおすすめします。" - msgid "Architecture" msgstr "アーキテクチャー" -msgid "" -"Artho, Yagi, Iijima, Kuniyasu Suzaki. Memory Deduplication as a Threat to " -"the Guest OS. 2011. `https://staff.aist.go.jp/c.artho/papers/EuroSec2011-" -"suzaki.pdf `__" -msgstr "" -"Artho, Yagi, Iijima, Kuniyasu Suzaki. Memory Deduplication as a Threat to " -"the Guest OS. 2011. `https://staff.aist.go.jp/c.artho/papers/EuroSec2011-" -"suzaki.pdf `__" - msgid "" "As OpenStack adoption continues to grow and the product matures, security " "has become a priority. The OpenStack Security Group has recognized the need " @@ -1341,31 +1017,6 @@ msgstr "" "推奨事項の概要について記載しています。著者らは、さまざまな環境での OpenStack " "の導入やセキュリティーの向上を行った専門知識を持ち寄っています。" -msgid "" -"As OpenStack is a popular open source project, much of the codebase and " -"architecture has been scrutinized by individual contributors, organizations " -"and enterprises. This can be advantageous from a security perspective, " -"however the need for security reviews is still a critical consideration for " -"service providers, as deployments vary, and security is not always the " -"primary concern for contributors. A comprehensive security review process " -"may include architectural review, threat modeling, source code analysis and " -"penetration testing. There are many techniques and recommendations for " -"conducting security reviews that can be found publicly posted. A well-tested " -"example is the `Microsoft SDL `__, created as part of the Microsoft Trustworthy Computing " -"Initiative." -msgstr "" -"OpenStackは人気のあるオープンソースプロジェクトです。多くのソースコードとアー" -"キテクチャはデベロッパー、組織、企業によって精査されています。これはセキュリ" -"ティの観点から大きな利点ですが、セキュリティ検査はサービスプロバイダーにとっ" -"て、それでもなお重大な懸念事項です。環境は変化しつづけますが、セキュリティは" -"必ずしも開発者の一番の関心事ではないからです。包括的なセキュリティ検査プロセ" -"スとして、アーキテクチャ検査、脅威のモデリング、ソースコード分析と侵入テスト" -"などが挙げられます。そして、セキュリティ検査には広く公開されている多くのテク" -"ニックと推奨があります。よくテストされた例として、Microsoft Trustworthy " -"Computing Initiativeのとりくみとして作成された、`Microsoft SDL `__ があります。" - msgid "" "As a cloud administrator, the dashboard provides an overall view of the size " "and state of your cloud. You can create users and tenants/projects, assign " @@ -1392,23 +1043,6 @@ msgstr "" "ションのトラフィックを専用のネットワークに分離することを推奨します。専用ネッ" "トワークにトラフィックを分離することで、露出の危険性を下げることができます。" -msgid "" -"As a public cloud provider, Bob is concerned with both the continuous " -"availability of management interfaces and the security of transactions to " -"the management interfaces. To that end Bob implements multiple redundant " -"OpenStack API endpoints for the services his cloud will run. Additionally on " -"the public network Bob uses TLS to encrypt all transactions between his " -"customers and his cloud interfaces. To isolate his cloud operations Bob has " -"physically isolated his management, instance migration, and storage networks." -msgstr "" -"パブリッククラウドのプロバイダーとして、ボブは管理インターフェースの継続的な" -"可用性と、管理インターフェースへのトランザクションのセキュリティの両方を考慮" -"しています。このように、ボブは、クラウドが実行するサービスに対して、冗長化さ" -"れた OpenStack API エンドポイントを実装します。さらに、パブリックネットワーク" -"では、TLS を使用して、顧客とクラウドインターフェースの間のトランザクションを" -"すべて暗号化します。クラウドの運用を分離するために、ボブは管理、インスタンス" -"マイグレーション、ストレージネットワークを物理的に分離しました。" - msgid "" "As a web service, OpenStack API is susceptible to familiar web site attack " "vectors such as denial of service attacks." @@ -1425,23 +1059,6 @@ msgstr "" "Environments (SPICE) プロトコルを使用した、仮想マシンへのリモートデスクトップ" "アクセスを提供します。" -msgid "" -"As both block storage and compute support LVM backed storage, we can easily " -"provide an example applicable to both systems. In deployments using LVM, " -"encryption may be performed against the backing physical volumes. An " -"encrypted block device would be created using the standard Linux tools, with " -"the LVM physical volume (PV) created on top of the decrypted block device " -"using pvcreate. Then, the vgcreate or vgmodify tool may be used to add the " -"encrypted physical volume to an LVM volume group (VG)." -msgstr "" -"Block Storage と Compute は両方、LVM ベースのストレージをサポートしているの" -"で、両システムに簡単に適用可能な例を提供します。LVM を用いたデプロイでは、暗" -"号化はベースの物理ボリュームに対して実施できます。暗号化ブロックデバイスは、" -"pvcreate を使用して復号化したブロックデバイスの上に作成した LVM 物理ボリュー" -"ム (PV) を用いて、標準の Linux ツールを使用して作成する事ができます。それか" -"ら、vgcreate 又は vgmodify ツールを使用して、暗号化した物理ボリュームを LVM " -"のボリュームグループ (VG) に追加できます。" - msgid "" "As is the case for VNC, at this time we recommend using SPICE from the " "management network in addition to limiting use to few individuals." @@ -1466,42 +1083,6 @@ msgstr "" "ハイパーバイザーの選択において、セキュリティを保証するために考慮すべき重要な" "要因がいくつかあります。特に下記の面に注目します。" -msgid "" -"As stated during the introduction to Alice's case study, data protection is " -"of an extremely high priority. She needs to ensure that a compromise of one " -"tenant's data does not cause loss of other tenant data. She also has strong " -"regulator requirements that require documentation of data destruction " -"activities. Alice does this using the following:" -msgstr "" -"アリスのケーススタディで説明したように、データ保護は非常に重要です。アリス" -"は、あるテナントのデータの情報漏洩が、他のテナントデータの損害を引き起こさな" -"いように、保証することが必要です。アリスはまた、データ破壊の文書化を必要とす" -"る強い規制上の要件を持っています。アリスは、以下の方法でこれを提供します:" - -msgid "" -"As the U.S. Department of Defense is involved, Security Technical " -"Implementation Guides (STIGs) will come into play, which are the " -"configuration standards for DOD IA and IA-enabled devices and systems. Alice " -"notices a number of complications here as there is no STIG for OpenStack, so " -"she must address several underlying requirements for each OpenStack service; " -"for example, the networking SRG and Application SRG will both be applicable " -"(list of SRGs). Other critical controls include ensuring that all identities " -"in the cloud use PKI, that SELinux is enabled, that encryption exists for " -"all wire-level communications, and that continuous monitoring is in place " -"and clearly documented. Alice is not concerned with object encryption, as " -"this will be the tenant's responsibility rather than the provider." -msgstr "" -"米国国防省が関わる場合、国防省のIA - Information AssuranceおよびIA-enabled対" -"象機器/システムの構成標準であるSecurity Technical Implementation Guides " -"(STIGs) も関係します。OpenStack向けのSTIGが無くとも、アリスはさまざまな要素を" -"考慮し、各OpenStackサービス毎に、いくつかの潜在的な要件を考慮しなければいけま" -"せん。例えば、networking SRG - Security Requirements GuidesとApplication SRG" -"はどちらも対象です。他の重要な統制として、クラウド内の全てのIDではPKIが使わ" -"れ、SELinuxが有効であり、すべての全ての通信経路が暗号化でき、持続的に監視が行" -"われ、かつ明快に文書化されていること、などが挙げられます。なお、アリスはオブ" -"ジェクトの暗号化を考慮しませんでしたが、これはプロバイダーというよりは、テナ" -"ントの責任であるからです。" - msgid "" "As with the OpenStack Operations Guide, we followed the book sprint " "methodology. The book sprint process allows for rapid development and " @@ -1517,37 +1098,6 @@ msgstr "" "ポートランドで開催されたOpenStack サミットでプロジェクトが正式に公表されまし" "た。" -msgid "" -"At each level you may have ACLs that dictate who has what type of access. " -"ACLs are interpreted based on what authentication system is in use. The two " -"most common types of authentication providers used are Identity service " -"(keystone) and TempAuth. Custom authentication providers are also possible. " -"Please see :ref:`object_storage_authentication` for more information." -msgstr "" -"各レベルに、誰がどの種類のアクセス権を持つのかを記録する ACL を持つかもしれま" -"せん。ACL はどの認証システムが使用されているのかに依存して解釈されます。最も" -"一般的に使用される 2 種類の認証プロバイダーは Identity (keystone) サービス " -"と TempAuth です。カスタム認証プロバイダーも利用できます。詳細は :ref:" -"`object_storage_authentication` を参照してください。" - -msgid "" -"At the end of the audit period Bob has arranged for an external audit team " -"to review in-scope security controls at randomly sampled points of time over " -"a 6 month period. The audit team provides Bob with an official report for " -"SOC 1 and SOC 2, and separately for ISO 27001/2. As Bob has been diligent in " -"ensuring security controls are in place for his OpenStack public cloud, " -"there are no additional gaps exposed on the report. Bob can now provide " -"these official reports to his customers under NDA, and advertise that he is " -"SOC 1, SOC 2 and ISO 27001/2 compliant on his website." -msgstr "" -"監査期間の最後にボブは外部監査人チームとの調整を行います。目的は、6ヶ月以上に" -"わたって無作為なタイミングで実施した、セキュリティ統制のレビューです。そし" -"て、監査人チームはボブにSOC 1とSOC 2、また別途ISO 27001/2向けの公式な報告書を" -"提供します。ボブのパブリッククラウド採用における勤勉な取り組みの結果、指摘さ" -"れるような追加のギャップはありませんでした。ボブは正式な報告書を彼の顧客にNDA" -"下で提供でき、また、SOC 1、SOC 2、およびISO 27001/2に準拠していることを彼の" -"ウェブサイトでアピールできるようになりました。" - msgid "" "At the time of this writing, very few clouds are using secure boot " "technologies in a production environment. As a result, these technologies " @@ -1623,18 +1173,6 @@ msgstr "認証設定例: Qpid" msgid "Authentication configuration example: RabbitMQ" msgstr "認証設定例: RabbitMQ" -msgid "" -"Authentication does not take place at the storage nodes. If someone was able " -"to connect to a storage node on one of these ports they could access or " -"modify data without authentication. In order to secure against this issue " -"you should follow the recommendations given previously about using a private " -"storage network." -msgstr "" -"認証はストレージノードに配置されていません。誰かがアクセスできるこれらのポー" -"トのどれかでストレージノードに接続できる場合、認証なしでデータを変更できま" -"す。この問題に対してセキュアにするために、プライベートストレージネットワーク" -"を使用することに関して前に説明した推奨事項に従うべきです。" - msgid "Authentication methods" msgstr "認証方式" @@ -1691,26 +1229,6 @@ msgstr "" "セスのコンパートメント化には特別の注意を払うべきです。この話題の詳細は :ref:" "`Bridging_security_domains` を参照してください。" -msgid "" -"Because Bob must support authentication for the general public, he decides " -"to use authentication based on a user name and password. He has concerns " -"about brute force attacks attempting to crack user passwords, so he also " -"uses an external authentication extension that throttles the number of " -"failed login attempts. Bob's management network is separate from the other " -"networks within his cloud, but can be reached from his corporate network " -"through ssh. As recommended earlier, Bob requires administrators to use two-" -"factor authentication on the Management network to reduce the risk of " -"compromised administrator passwords." -msgstr "" -"ボブは一般的なパブリックによる認証をサポートする必要があるため、ユーザー名と" -"パスワードによる認証を提供することを選択します。彼はユーザーのパスワードを解" -"析しようとするブルートフォース攻撃について心配します。そのため、ログイン試行" -"回数の失敗数を制限する外部認証拡張も使用します。ボブの管理ネットワークは彼の" -"クラウドの中で他のネットワークと分離しています。しかし、彼の企業ネットワーク" -"から SSH 経由でアクセスできます。これまでに推奨しているとおり、ボブは管理者の" -"パスワードが漏洩するリスクを減らすために、管理者が管理ネットワークで 2 要素認" -"証を使用することを要求します。" - msgid "" "Before an instance is created, a host for the image instantiation must be " "selected. This selection is performed by the ``nova-scheduler`` which " @@ -1781,170 +1299,9 @@ msgstr "Block Storage" msgid "Block Storage (optional)" msgstr "Block Storage (オプション)" -msgid "" -"Block Storage supports a variety of mechanisms for supplying mountable " -"volumes. The ability to encrypt volumes on the storage host depends on the " -"service back ends chosen. Some back ends may not support this at all. It is " -"outside the scope of this guide to specify recommendations for each Block " -"Storage back-end driver." -msgstr "" -"Block Storage は、マウント可能なボリュームの提供に向けた様々な機構をサポート" -"します。ストレージホストのボリュームを暗号化する機能は、バックエンドに選択し" -"たストレージに依存します。Block Storage の各バックエンドドライバ用に推奨を指" -"定する事はこのガイドの範囲外です。" - msgid "Block Storage volume data" msgstr "ブロックストレージボリュームデータ" -msgid "Block Storage volumes and instance ephemeral filesystems" -msgstr "Block Storage ボリュームとインスタンスの一時ファイルシステム" - -msgid "" -"Bob also deploys the dashboard to manage many aspects of the cloud. He " -"deploys the dashboard with HSTS to ensure that only HTTPS is used. He has " -"ensured that the dashboard is deployed on a second-level domain due to the " -"limitations of the same-origin policy. He also disables " -"``HORIZON_IMAGES_ALLOW_UPLOAD`` to prevent resource exhaustion." -msgstr "" -"ボブはクラウドのさまざまな観点を管理するために dashboard も導入します。必ず " -"HTTPS のみを使用するために HSTS と共に dashboard を導入します。dashboard が同" -"一オリジンポリシーの制限のため必ず第 2 レベルドメインに導入されるようにしまし" -"た。また、リソース枯渇を防ぐために ``HORIZON_IMAGES_ALLOW_UPLOAD`` を無効化し" -"ます。" - -msgid "" -"Bob decides to use VNC for his virtual console for its maturity and security " -"features." -msgstr "" -"ボブはその成熟度とセキュリティ機能から仮想コンソールに VNC を使用することを決" -"めました。" - -msgid "" -"Bob is architecting a public cloud and needs to ensure that the publicly " -"facing OpenStack services are using certificates issued by a major public " -"CA. Bob acquires certificates for his public OpenStack services and " -"configures the services to use PKI and TLS and includes the public CAs in " -"his trust bundle for the services. Additionally, Bob also wants to further " -"isolate the internal communications amongst the services within the " -"management security domain. Bob contacts the team within his organization " -"that is responsible for managing his organization's PKI and issuance of " -"certificates using their own internal CA. Bob obtains certificates issued by " -"this internal CA and configures the services that communicate within the " -"management security domain to use these certificates and configures the " -"services to only accept client certificates issued by his internal CA." -msgstr "" -"ボブはパブリッククラウドのアーキテクトで、インターネットに接続された " -"OpenStack サービスが主要な公的 CA から発行された証明書をちゃんと使用する必要" -"があります。ボブは彼のパブリックな OpenStack サービス用の証明書を受領し、PKI " -"と TLS を使用するようサービスを設定し、彼のサービス用の信用バンドル中に公的CA" -"が含まれるようにします。更に、ボブはセキュリティ管理ドメイン内でサービス間の" -"内部通信の更なる分断をしたいとも思っています。ボブは、彼の組織中で、内部CAを" -"使用して彼の組織の PKI 管理と証明書の発行を担当しているチームにコンタクトしま" -"す。ボブはこの内部CAが発行した証明書を入手し、これらの証明書を使用するよう管" -"理セキュリティドメイン中での通信を行うサービスを設定し、内部CAが発行したクラ" -"イアント証明書のみ許可するようサービスを設定します。" - -msgid "" -"Bob is aware that entropy will be a concern for some of his customers, such " -"as those in the financial industry. However, due to the added cost and " -"complexity, Bob has decided to forgo integrating hardware entropy into the " -"first iteration of his cloud. He adds hardware entropy as a fast-follow to " -"do for a later improvement for the second generation of his cloud " -"architecture." -msgstr "" -"ボブは、金融業界の企業ユーザの幾つかにとってエントロピーが重要となる事を理解" -"しています。しかしながら、費用と複雑さが増える為、ボブは彼のクラウドの初回導" -"入分にハードウェアエントロピーの導入を見送る事を決めました。彼は自分の2世代" -"目のクラウドアーキテクチャに向けた後の改善では、早期のフォローとしてハード" -"ウェアエントロピーを追加します。" - -msgid "" -"Bob is concerned about strong separation of his tenants' data, so he has " -"elected to use the PostgreSQL database, known for its stronger security " -"features. The database resides on the Management network and uses SSL/TLS " -"with mutual authentication with the services. Since the database is on the " -"Management network, the database uses certificates signed with the company's " -"self-signed root certificate. Bob creates separate user accounts for each " -"database user, and configures the database to use both passwords and X.509 " -"certificates for authentication. He elects not to use the nova-conductor sub-" -"service due to a desire for fine-grained access control." -msgstr "" -"ボブはプロジェクトのデータの確実な分離に関心があります。そのため、彼はより強" -"力なセキュリティ機能が知られている PostgreSQL データベースを使用することにし" -"ました。データベースは管理ネットワークに置かれ、サービス間の相互認証とともに " -"SSL/TLS を使用します。データベースは管理ネットワークにあるので、組織の自己署" -"名ルート証明書で署名した証明書を使用します。ボブは各データベースユーザーに対" -"して別々のユーザーアカウントを作成し、認証のためにパスワードと X.509 証明書の" -"両方を使用するようデータベースを設定します。高精細なアクセス制御をしたいの" -"で、nova-conductor サブサービスを使用しないことにします。" - -msgid "" -"Bob is interested in ensuring that customers receive a high quality of " -"service. He is concerned that providing excess explicit user control over " -"instance scheduling could negatively impact the quality of service. As a " -"result, he disables this feature. Bob provides images in the cloud from a " -"known trusted source for users to use. Additionally, he allows users to " -"upload their own images. However, users generally cannot share their images. " -"This helps prevent a user from sharing a malicious image, which could " -"negatively impact the security of other users in the cloud." -msgstr "" -"ボブは、顧客が高品質なサービスを受けられるようにする事に興味があります。彼" -"は、インスタンススケジューリングを超えた過剰なほど明確なユーザコントロールの" -"提供が、サービス品質(QoS)にマイナス影響を与える事を心配しています。ですの" -"で、この機能を無効化しました。ボブは使用するユーザに対して既知の信頼できる" -"ソースからのクラウド中のイメージを提供します。加えて、彼はまた、ユーザに自分" -"のイメージアップロードを許可します。しかしながら、ユーザは一般に自分のイメー" -"ジを共有できません。これは、クラウド中の他のユーザのセキュリティにマイナスイ" -"ンパクトを与えかねない、悪意あるイメージを共有する事からユーザを守る助けにな" -"ります。" - -msgid "" -"Bob is tasked with compliance for a new OpenStack public cloud deployment, " -"that is focused on providing cloud services to both small developers and " -"startups, as well as large enterprises. Bob recognizes that individual " -"developers are not necessarily concerned with compliance certifications, but " -"to larger enterprises certifications are critical. Specifically Bob desires " -"to achieve SOC 1, SOC 2 Security, as well as ISO 27001/2 as quickly as " -"possible. Bob references the Cloud Security Alliance Cloud Control Matrix " -"(CCM) to assist in identifying common controls across these three " -"certifications (such as periodic access reviews, auditable logging and " -"monitoring services, risk assessment activities, security reviews, etc). Bob " -"then engages an experienced audit team to conduct a gap analysis on the " -"public cloud deployment, reviews the results and fills any gaps identified. " -"Bob works with other team members to ensure that these security controls and " -"activities are regularly conducted for a typical audit period (~6-12 months)." -msgstr "" -"ボブは新たなOpenStackクラウド環境のコンプライアンス活動を任されています。この" -"クラウドは小規模の開発者やスタートアップだけでなく、大規模企業向けにも注力し" -"ています。ボブは個人開発者はコンプライアンス認証を意識することが多くないが、" -"いっぽうで大規模企業向けには認証が重要であることを認識しています。ボブは特に" -"SOC 1、SOC 2、およびISO 27001/2認証を早急に取得したいと考えています。そこでボ" -"ブは3つの認証に共通する統制を特定するため、Cloud Security Alliance Cloud " -"Control Matrix (CCM)を参考にしました (例えば、定期的なアクセス検査、監査可能" -"なロギングや監視サービス、リスク評価活動、セキュリティレビューなど)。それから" -"ボブは、パブリッククラウドのギャップ評価、結果のレビュー、そして特定された" -"ギャップを埋めるため、経験ある監査人チームと契約します。ボブは他のチームメン" -"バーとともに、それらのセキュリティ統制と活動が一般的な監査期間(〜6-12ヶ月)に" -"おいて、定期的に、確実に機能するようにします。" - -# #-#-#-#-# api-endpoints.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# compliance.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# compute.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# dashboard.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# databases.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# data-processing.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# documentation.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# identity.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# instance-management.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# management.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# messaging.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# monitoring-logging.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# networking.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# secure-communication.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# tenant-data.pot (Security Guide 0.0.1) #-#-#-#-# -msgid "Bob's public cloud" -msgstr "ボブのパブリッククラウド" - msgid "Booleans" msgstr "ブーリアン" @@ -1983,15 +1340,6 @@ msgstr "" "び、サービスとそのプロセスからデータベースへのアクセス権の剥奪が特に難しくな" "ります。" -msgid "" -"By default, the remote desktop traffic is not encrypted. TLS can be enabled " -"to encrypt the VNC traffic. Please refer to :doc:`../secure-communication/" -"introduction-to-ssl-and-tls` for appropriate recommendations." -msgstr "" -"リモートデスクトップ通信はデフォルトで暗号化されません。TLS は、VNC 通信の暗" -"号化を有効化できます。適切な推奨事項は :doc:`../secure-communication/" -"introduction-to-ssl-and-tls` を参照してください。" - # #-#-#-#-# compute.pot (Security Guide 0.0.1) #-#-#-#-# # #-#-#-#-# management.pot (Security Guide 0.0.1) #-#-#-#-# msgid "Capabilities" @@ -2026,44 +1374,6 @@ msgstr "" "法には、egress セキュリティグループ、アウトバウンドトラフィックの検査、顧客の" "教育・認識、詐欺や悪用軽減戦略などがあります。" -# #-#-#-#-# api-endpoints.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# compliance.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# compute.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# dashboard.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# databases.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# data-processing.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# documentation.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# identity.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# instance-management.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# management.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# messaging.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# monitoring-logging.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# networking.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# secure-communication.pot (Security Guide 0.0.1) #-#-#-#-# -# #-#-#-#-# tenant-data.pot (Security Guide 0.0.1) #-#-#-#-# -msgid "Case studies" -msgstr "ケーススタディ" - -msgid "Case study: Alice, the private cloud builder" -msgstr "事例: プライベートクラウド構築者のアリス" - -msgid "Case study: Bob, the public cloud provider" -msgstr "事例: パブリッククラウドプロバイダーのボブ" - -msgid "" -"Certificates used to support TLS on internet facing cloud endpoints (or " -"customer interfaces where the customer is not expected to have installed " -"anything other than standard operating system provided certificate bundles) " -"should be provisioned using Certificate Authorities that are installed in " -"the operating system certificate bundle. Typical well known vendors include " -"Verisign and Thawte but many others exist." -msgstr "" -"インターネットに面したクラウドのエンドポイント(あるいは証明書をバンドルした標" -"準的なOS以外の何かがインストールされていると顧客が想定していない顧客インター" -"フェース)上のTLSに対応に使用される証明書はOSの証明書バンドル中にインストール" -"されるCAを用いてプロビジョニングされるべきです。通常、有名ベンダーにはベリサ" -"インやThawteを含みますが、他の多くのベンダーもあります。" - msgid "Certification and compliance statements" msgstr "認証とコンプライアンスの報告書" @@ -2272,9 +1582,6 @@ msgstr "" msgid "Cloud admin" msgstr "クラウドの管理者" -msgid "Cloud administration" -msgstr "クラウド管理" - msgid "Cloud types" msgstr "クラウドのタイプ" @@ -2326,22 +1633,6 @@ msgstr "商業規格" msgid "Common Criteria" msgstr "Common Criteria" -msgid "" -"Common Criteria is an internationally standardized software evaluation " -"process, used by governments and commercial companies to validate software " -"technologies perform as advertised. In the government sector, NSTISSP No. 11 " -"mandates that U.S. Government agencies only procure software which has been " -"Common Criteria certified, a policy which has been in place since July 2002. " -"It should be specifically noted that OpenStack has not undergone Common " -"Criteria certification, however many of the available hypervisors have." -msgstr "" -"共通の条件は国際的に標準化されたソフトウェア評価プロセスです。これは、宣伝目" -"的でソフトウェア技術の実行を検証する為に政府や企業が使用します。政府部門で" -"は、NSTISSP No. 11 のみ政府機関にコモンクライテリア認証(2002年7月に登場した" -"ポリシー)を受けたソフトウェアの調達権限を与えます。特に、Opentack はコモンク" -"ライテリア認証を受けておらず、多くの入手可能なハイパーバイザーは受けている事" -"に注意すべきでしょう。" - msgid "Common control frameworks" msgstr "一般的なコントロールフレームワーク" @@ -2368,26 +1659,6 @@ msgstr "コンパートメント化" msgid "Compiler hardening" msgstr "コンパイラーのセキュリティ強化機能" -msgid "" -"Compiler hardening makes it more difficult to attack the QEMU process. " -"However, if an attacker does succeed, we would like to limit the impact of " -"the attack. Mandatory access controls accomplish this by restricting the " -"privileges on QEMU process to only what is needed. This can be accomplished " -"using sVirt / SELinux or AppArmor. When using sVirt, SELinux is configured " -"to run each QEMU process under a separate security context. AppArmor can be " -"configured to provide similar functionality. We provide more details on " -"sVirt and instance isolation in the section below :ref:`hardening-the-" -"virtualization-layers-svirt-selinux-and-virtualization`." -msgstr "" -"コンパイラーのセキュリティ強化機能により、QEMU プロセスへの攻撃をより難しくで" -"きます。しかし、攻撃者が成功すると、攻撃の影響範囲を抑えたいでしょう。強制ア" -"クセス制御は、各 QEMU プロセスの権限を必要な範囲に制限することにより、これを" -"実現します。これは sVirt / SELinux または AppArmor により実現できます。sVirt " -"利用時、SELinux はすべての QEMU プロセスが別々のセキュリティドメインで動作す" -"るよう設定されます。AppArmor は同様の機能を提供するよう設定できます。以下のセ" -"クション :ref:`hardening-the-virtualization-layers-svirt-selinux-and-" -"virtualization` で、sVirt とインスタンス分離の詳細を説明します。" - msgid "Compliance" msgstr "コンプライアンス" @@ -2464,17 +1735,6 @@ msgstr "Compute のソフト削除機能" msgid "Compute, storage, or other resource nodes" msgstr "コンピュート、ストレージ、他のリソースのノード" -msgid "" -"Computer Security Resource Centre. Guide to Security for Full Virtualization " -"Technologies. 2011. `http://csrc.nist.gov/publications/nistpubs/800-125/" -"SP800-125-final.pdf `__" -msgstr "" -"Computer Security Resource Centre. Guide to Security for Full Virtualization " -"Technologies. 2011. `http://csrc.nist.gov/publications/nistpubs/800-125/" -"SP800-125-final.pdf `__" - msgid "Config option" msgstr "設定オプション" @@ -2540,22 +1800,6 @@ msgstr "" "ような重要な設定ファイルのユーザー所有権が root に、グループ所有権が neutron " "に設定されている必要があります。" -msgid "" -"Configuration files contain critical parameters and information required for " -"smooth functioning of the component. If an unprivileged user, either " -"intentionally or accidentally modifies or deletes any of the parameters or " -"the file itself then it would cause severe availability issues causing a " -"denial of service to the other end users. Thus user ownership of such " -"critical configuration files must be set to root and group ownership must be " -"set to nova." -msgstr "" -"設定ファイルは、コンポーネントがスムーズに機能するために必要となる、重要なパ" -"ラメーターや情報が含まれています。権限の無いユーザーが、意図的か偶然かによら" -"ず、そのファイルの何かしらのパラメーターを変更や削除した場合、他のエンドユー" -"ザーにサービス妨害を引き起こす深刻な可用性に関する問題を引き起こします。その" -"ような重要な設定ファイルのユーザー所有権が root に、グループ所有権が nova に" -"設定されている必要があります。" - msgid "" "Configuration files contain critical parameters and information required for " "smooth functioning of the component. If an unprivileged user, either " @@ -2789,26 +2033,6 @@ msgstr "" msgid "Data" msgstr "データ" -msgid "" -"Data Classification defines a method for classifying and handling " -"information, often to protect customer information from accidental or " -"deliberate theft, loss, or inappropriate disclosure. Most commonly this " -"involves classifying information as sensitive or non-sensitive, or as " -"personally identifiable information (PII). Depending on the context of the " -"deployment various other classifying criteria may be used (government, " -"health-care etc). The underlying principle is that data classifications are " -"clearly defined and in-use. The most common protective mechanisms include " -"industry standard encryption technologies. See the data security section for " -"additional details." -msgstr "" -"データの分類作業は、多くの場合、顧客情報を事故、故意の窃盗、損失、不適切な公" -"開から保護するため、情報の分類と扱いの方法を定義します。一般的にこの作業は、" -"情報を機密性の有無、個人識別の可不可(Personally Identifiable Information, " -"PII)による分類を含みます。使用される基準はその環境、背景によって様々です(政" -"府、ヘルスケアなど)。そして根本的な原則は、そのデータ分類が明確に定義され、通" -"常利用されていることです。もっとも一般的な保護メカニズムには、業界標準の暗号" -"化技術が挙げられます。詳細はデータセキュリティの節を参照してください。" - msgid "Data classification" msgstr "データの分類" @@ -2836,9 +2060,6 @@ msgstr "Data processing は、いくつかの OpenStack サービスと直接通 msgid "Data processing service" msgstr "Data processing サービス" -msgid "Data replication and recovery" -msgstr "データの複製およびリカバリー" - msgid "Data residency" msgstr "データの所在" @@ -2869,9 +2090,6 @@ msgstr "データベース" msgid "Debug" msgstr "デバッグ" -msgid "Defines certificate policies, management, and issuance of certificates." -msgstr "証明ポリシーの定義、管理、証明書の発行。" - msgid "" "Demonstration to a neutral third-party that system security controls are " "implemented and operating effectively, in compliance with in-scope standards " @@ -2933,20 +2151,6 @@ msgstr "" "クラウドがコンプライアンスを維持し続けるために、自動テストツールを導入してく" "ださい。" -msgid "" -"Deployers or users of OpenStack with strong security requirements may want " -"to consider deploying these technologies. Not all are applicable in every " -"situation, indeed in some cases technologies may be ruled out for use in a " -"cloud because of prescriptive business requirements. Similarly some " -"technologies inspect instance data such as run state which may be " -"undesirable to the users of the system." -msgstr "" -"高いセキュリティ要件を持つOpenStackユーザーや配備者はこれらの技術の採用を検討" -"すると良いかもしれませんが、状況によっては適用できない場合があります。クラウ" -"ド運用においては、規範的なビジネス要件のために技術の選択肢が削られることがあ" -"ります。また、run stateなど、仕組みによってはインスタンス内のデータを調べる機" -"構もあり、システムのユーザーからは好まれないものもあります。" - msgid "Deploying the updates" msgstr "更新のデプロイ" @@ -2983,26 +2187,6 @@ msgstr "" "何をコントロールするのか、OpenStack環境をいかにデザイン、変更していくかを明確" "にするため、監査範囲は初期の計画段階で決定すべきです。" -msgid "" -"Direct memory access (DMA) is a feature that permits certain hardware " -"devices to access arbitrary physical memory addresses in the host computer. " -"Often video cards have this capability. However, an instance should not be " -"given arbitrary physical memory access because this would give it full view " -"of both the host system and other instances running on the same node. " -"Hardware vendors use an input/output memory management unit (IOMMU) to " -"manage DMA access in these situations. Therefore, cloud architects should " -"ensure that the hypervisor is configured to utilize this hardware feature." -msgstr "" -"ダイレクトメモリアクセス (DMA) は、特定のハードウェアがホストコンピューターで" -"任意の物理メモリアドレスにアクセスできる機能です。ビデオカードはときどきこの" -"機能を有しています。しかしながら、インスタンスは指定された任意の物理メモリア" -"クセスをすべきではありません。なぜなら、これはホストシステムと同じノードで実" -"行している他のインスタンスを完全に表示できるかもしれないからです。ハードウェ" -"アベンダーはこれらの状況で DMA アクセスを管理するために input/output memory " -"management unit (IOMMU) を使用します。そのため、クラウドアーキテクトは、ハイ" -"パーバイザーがこのハードウェア機能を使用するよう設定されていることを確実にす" -"べきです。" - msgid "Disable live migration" msgstr "ライブマイグレーションの無効化" @@ -3016,21 +2200,6 @@ msgstr "" "export 暗号アルゴリズムを無効化します。これは、設計として弱く、一般的に 40 " "ビットか 56 ビットの鍵を使用しています。" -msgid "" -"Disaster Recovery (DR) and Business Continuity Planning (BCP) plans are " -"common requirements for ISMS and compliance activities. These plans must be " -"periodically tested as well as documented. In OpenStack key areas are found " -"in the management security domain, and anywhere that single points of " -"failure (SPOFs) can be identified. See the section on secure backup and " -"recovery for additional details." -msgstr "" -"災害対策(Disaster Recovery, DR)とビジネス継続計画(Business Continuity " -"Planning, BCP)はISMSとコンプライアンス活動で共通の要件です。それらの計画は定" -"期的な検査と文書化が必要とします。OpenStackの主要領域はマネジメントセキュリ" -"ティ領域にあたり、すべての単一障害点(Single Point of Failures, SPOFs)が特定さ" -"れなければいけません。詳細は、安全なバックアップとリカバリーの節を参照してく" -"ださい。" - msgid "Discretionary Access Control" msgstr "任意アクセス制御" @@ -3131,19 +2300,6 @@ msgstr "" msgid "ESXi" msgstr "ESXi" -msgid "" -"Each KVM-based virtual machine is a process which is labeled by SELinux, " -"effectively establishing a security boundary around each virtual machine. " -"This security boundary is monitored and enforced by the Linux kernel, " -"restricting the virtual machine's access to resources outside of its " -"boundary such as host machine data files or other VMs." -msgstr "" -"各 KVM ベースの仮想マシンは SELinux によりラベル付けされているプロセスです。" -"これは各仮想マシンのセキュリティ境界を効率的に確立します。このセキュリティ境" -"界は、Linux カーネルにより監視され、強制されます。ホストマシンのデータファイ" -"ルや他の仮想マシンのような、仮想マシンの境界外のリソースへのアクセスは制限さ" -"れます。" - msgid "" "Each OpenStack deployment embraces a wide variety of technologies, spanning " "Linux distributions, database systems, messaging queues, OpenStack " @@ -3342,13 +2498,6 @@ msgstr "" msgid "Establish formal access control policies" msgstr "公式なアクセス制御ポリシーの確立" -msgid "" -"Establishing procedures to sanitize tenant data when a program or project " -"ends." -msgstr "" -"プログラムやプロジェクトが終了する際に、好ましくないテナントデータを削除する" -"ための手順を確立すること。" - msgid "" "Example of RHEL 6 CCE-26976-1 which will help implement NIST 800-53 Section " "*AC-19(d)* in Oz." @@ -3434,46 +2583,18 @@ msgstr "ファイル完全性管理 (FIM)" msgid "File permissions" msgstr "ファイルパーミッション" -msgid "" -"File system objects and memory and IPC objects are cleared before they can " -"be reused by a process belonging to a different user." -msgstr "" -"ファイルシステムのオブジェクト、メモリ、IPC オブジェクトは、他のユーザーに属" -"するプロセスにより再利用される前に、クリアされます。" - msgid "Filter schedulers fall under four main categories:" msgstr "フィルタースケジューラーは、4 つのメインカテゴリーに分かれます。" -msgid "" -"Finally, administrators must perform command and control over the cloud for " -"various operational functions. It is important these command and control " -"facilities are understood and secured." -msgstr "" -"最後に、管理者は様々なオペレーション機能に対してクラウド上で指揮統制を行う必" -"要があります。これらの指揮統制機能を理解、確保することが重要です。" - -msgid "" -"Finally, due to the time constraints around a book sprint, the team chose to " -"use KVM as the hypervisor in our example implementations and architectures." -msgstr "" -"最後に、ブックスプリントの時間的制約のため、実装例とアーキテクチャ例にハイ" -"パーバイザーとして KVM を使用することにしました。" - msgid "Firewalls" msgstr "ファイアウォール" msgid "Firewalls and other host-based security controls" msgstr "ファイア\\ウォールおよび他のホストベースのセキュリティ制御" -msgid "First thing to secure: the network" -msgstr "最初にセキュア化するもの: ネットワーク" - msgid "For SQL, in ``/etc/keystone/keystone.conf`` , set:" msgstr "SQL の場合、``/etc/keystone/keystone.conf`` に以下を設定します。" -msgid "For Volume storage:" -msgstr "ボリュームストレージ" - msgid "For ``memcached``, in ``/etc/keystone/keystone.conf``, set:" msgstr "" "``memcached`` の場合、``/etc/keystone/keystone.conf`` に以下を設定います。" @@ -3481,19 +2602,6 @@ msgstr "" msgid "For additional configuration information see:" msgstr "追加の設定情報は以下を参照してください。" -msgid "" -"For commercial deployments of OpenStack, it is recommended that SOC 1/2 " -"combined with ISO 2700 1/2 be considered as a starting point for OpenStack " -"certification activities. The required security activities mandated by these " -"certifications facilitate a foundation of security best practices and common " -"control criteria that can assist in achieving more stringent compliance " -"activities, including government attestations and certifications." -msgstr "" -"OpenStackの商用環境向けには、まずは開始点として、SOC 1/2とISO 27001/2の検討を" -"推奨します。そこで要求されるセキュリティ活動を確実に実行することで、セキュリ" -"ティのベストプラクティスと共通統制基準を導入を促進し、政府系認定などの、より" -"厳格なコンプライアンス活動の取得にも役立ちます。" - msgid "For configuration information see:" msgstr "設定情報は以下を参照してください。" @@ -3516,59 +2624,6 @@ msgstr "" "グイン、それらの頻度、アクセス元IPアドレスを警告します。ログ解析は検知をサ" "ポートします。" -msgid "" -"For more details see `ISO 27001 `__." -msgstr "" -"詳細は `ISO 27001 `__ を参照してくださ" -"い。" - -msgid "" -"For more details see `PCI security standards `__." -msgstr "" -"詳細は `PCI security standards `__ を参照してください。" - -msgid "" -"For more details see the `AICPA Report on Controls at a Service Organization " -"Relevant to Security, Availability, Processing Integrity, Confidentiality or " -"Privacy `__." -msgstr "" -"詳細は `AICPA Report on Controls at a Service Organization Relevant to " -"Security, Availability, Processing Integrity, Confidentiality or Privacy " -"`__ を参照してください。" - -msgid "" -"For more details see the `AICPA Report on Controls at a Service Organization " -"Relevant to User Entities' Internal Control over Financial Reporting `__." -msgstr "" -"詳細は `AICPA Report on Controls at a Service Organization Relevant to User " -"Entities' Internal Control over Financial Reporting `__ を" -"参照してください。" - -msgid "" -"For more details see the `AICPA Trust Services Report for Service " -"Organizations `__." -msgstr "" -"詳細は `AICPA Trust Services Report for Service Organizations `__ を参照してください。" - -msgid "" -"For more details see the `Health Insurance Portability And Accountability " -"Act `__." -msgstr "" -" `Health Insurance Portability And Accountability Act `__ を参照してください。" - msgid "" "For more information about Paste Deploy, see `Python Paste Deployment " "documentation `__." @@ -3602,12 +2657,6 @@ msgstr "" "これらや他のハイパーバイザでは、ハイパーバイザ毎のドキュメントを参照すると良" "いでしょう。" -msgid "" -"For this document the components will be grouped into the following primary " -"groups:" -msgstr "" -"このドキュメントの場合、コンポーネントは以下の主要なグループに分けています。" - msgid "Forensics and incident response" msgstr "フォレンジングとインシデント対応" @@ -3639,24 +2688,6 @@ msgstr "フロントエンドキャッシュ" msgid "Front-end caching and session back end" msgstr "フロントエンドキャッシュおよびセッションバックエンド" -msgid "" -"Further, when you evaluate a hypervisor platform, consider the " -"supportability of the hardware on which the hypervisor will run. " -"Additionally, consider the additional features available in the hardware and " -"how those features are supported by the hypervisor you chose as part of the " -"OpenStack deployment. To that end, hypervisors each have their own hardware " -"compatibility lists (HCLs). When selecting compatible hardware it is " -"important to know in advance which hardware-based virtualization " -"technologies are important from a security perspective." -msgstr "" -"さらに、ハイパーバイザープラットフォームの評価時、ハイパーバイザーを実行する" -"ハイパーバイザーを考慮すべきです。加えて、ハードウェアで利用可能な追加機能を" -"評価します。また、それらの機能が OpenStack 環境の一部として選択したハイパーバ" -"イザーによりどのようにサポートされるかを考慮します。そのためにも、ハイパーバ" -"イザーはそれぞれ自身のハードウェア互換性リスト (HCL) を持つでしょう。互換性の" -"あるハードウェアの選択時、まずどのハードウェア仮想化技術がセキュリティの観点" -"から重要であるかを理解することが重要です。" - msgid "Future" msgstr "将来" @@ -3742,27 +2773,6 @@ msgstr "ゲストネットワーク" msgid "HIPAA / HITECH" msgstr "HIPAA / HITECH" -msgid "" -"HIPAA is not a certification, rather a guide for protecting healthcare data. " -"Similar to the PCI-DSS, the most important issues with both PCI and HIPPA is " -"that a breach of credit card information, and health data, does not occur. " -"In the instance of a breach the cloud provider will be scrutinized for " -"compliance with PCI and HIPPA controls. If proven compliant, the provider " -"can be expected to immediately implement remedial controls, breach " -"notification responsibilities, and significant expenditure on additional " -"compliance activities. If not compliant, the cloud provider can expect on-" -"site audit teams, fines, potential loss of merchant ID (PCI), and massive " -"reputation impact." -msgstr "" -"HIPPAは認証ではなく、カルテ情報の保護に関するガイドラインです。PCI-DSSと似て" -"います。PCIとHIPAAの両方でもっとも重要な課題は、クレジットカード情報とカルテ" -"情報が流出しないようにすることです。クラウドプロバイダーによる流出があった場" -"合、PCIとHIPAAの統制下において検査されます。その内容が遵守に足るものであれ" -"ば、そのプロバイダーはすみやかに是正措置の実行と情報流出の通知、およびコンプ" -"ライアンス活動予算の大幅な追加を期待されます。もし足るものでなければ、現地で" -"の査察、罰金、merchant ID (PCI)の失効、および評判に大きな傷がつくことが予想さ" -"れます。" - msgid "HTTP Strict Transport Security (HSTS)" msgstr "HTTP Strict Transport Security (HSTS)" @@ -3832,20 +2842,6 @@ msgstr "非常に有能な組織" msgid "Horizon image upload" msgstr "Horizon のイメージのアップロード" -msgid "" -"Horizon is the OpenStack dashboard that provides users a self-service portal " -"to provision their own resources within the limits set by administrators. " -"These include provisioning users, defining instance flavors, uploading VM " -"images, managing networks, setting up security groups, starting instances, " -"and accessing the instances through a console." -msgstr "" -"Horizon は OpenStack のダッシュボードです。管理者により設定された制限の範囲内" -"でユーザー自身のリソースを展開できるセルフサービスポータルをユーザーに提供し" -"ます。これらには、ユーザーの管理、インスタンスのフレーバーの定義、仮想マシン" -"イメージのアップロード、ネットワークの管理、セキュリティグループのセットアッ" -"プ、インスタンスの起動、インスタンスへのコンソール経由のアクセスなどがありま" -"す。" - msgid "" "Hortonworks, Hortonworks. 2016. `Hortonworks Data Platform documentation " "`__" @@ -3969,19 +2965,6 @@ msgstr "Identity Provider (IdP)" msgid "Identity service" msgstr "Identity" -msgid "" -"If Alice has adequately scoped and executed these compliance activities, she " -"may begin the process to become FedRAMP compliant by hiring an approved " -"third-party auditor. Typically this process takes up to six months, after " -"which she will receive an Authority to Operate and can offer OpenStack cloud " -"services to the government." -msgstr "" -"もしアリスが十分な範囲を定義し、それらのコンプライアンス活動を実施できたので" -"あれば、次は認定外部監査人によるFedRAMP認証の取得プロセスに移ります。一般的に" -"このプロセスは最長6ヶ月を要します。このステップを経て、Authority to Operate " -"- 注意影響レベル認定 を取得し、OpenStackクラウドサービスを政府に提案できるよ" -"うになります。" - msgid "" "If a cloud deployment requires strong separation of tenants, as is the " "situation with public clouds and some private clouds, deployers should " @@ -4018,17 +3001,6 @@ msgstr "" "ロックなどがあります。接続数を制限するという、Keystone サーバのファイアウォー" "ルルールは、攻撃の効率を悪くし、攻撃者をあきらめさせるために使用できます。" -msgid "" -"If the option of using Apache is not feasible or for performance you wish to " -"offload your TLS work you may employ a dedicated network device load " -"balancer. This is also the common way to provide redundancy and load " -"balancing when using multiple proxy nodes." -msgstr "" -"Apache を使用するという選択肢が実現できない場合、またはパフォーマンスのため" -"に TLS 処理をオフロードしたい場合、専用のネットワークデバイスの負荷分散装置を" -"使用できます。これは、複数のプロキシノードを使用するときに、冗長性と負荷分散" -"を提供するために一般的な方法です。" - msgid "" "If you are using an HTTPS proxy in front of your web server, rather than " "using an HTTP server with HTTPS functionality, modify the " @@ -4041,21 +3013,6 @@ msgstr "" "がいいです。``SECURE_PROXY_SSL_HEADER`` の変更に関する詳細は、`Django " "documentation `_ を参照してください。" -msgid "" -"If you choose to offload your TLS, ensure that the network link between the " -"load balancer and your proxy nodes are on a private (V)LAN segment such that " -"other nodes on the network (possibly compromised) cannot wiretap (sniff) the " -"unencrypted traffic. If such a breach were to occur the attacker could gain " -"access to end-point client or cloud administrator credentials and access the " -"cloud data." -msgstr "" -"TLS をオフロードすることにした場合、ネットワーク上の他のノード (侵入されてい" -"るかもしれない) が暗号化されていない通信を盗聴できないように、負荷分散装置と" -"プロキシノード間のネットワークリンクは必ずプライベート (V)LAN セグメントに置" -"くべきです。そのようなセキュリティ侵害が発生した場合、攻撃者はエンドポイント" -"クライアントやクラウド管理者のクレデンシャルのアクセス権を取得し、クラウドの" -"データにアクセスできます。" - msgid "" "If you intend for your network to support more than 4094 tenants VLAN is " "probably not the correct option for you as multiple 'hacks' are required to " @@ -4072,20 +3029,6 @@ msgstr "" "Identity に HTTP/WSGI サーバーを使用する場合、HTTP/WSGI サーバーにおいて TLS " "を有効化すべきです。" -msgid "" -"If your architecture allows it, we recommend using ``django.contrib.sessions." -"backends.cache`` as your session back end with memcache as the cache. " -"Memcache must not be exposed publicly, and should communicate over a secured " -"private channel. If you choose to use the signed cookies back end, refer to " -"the Django documentation to understand the security trade-offs." -msgstr "" -"お使いのアーキテクチャが許容できる場合、セッションバックエンドとして " -"``django.contrib.sessions.backends.cache`` を、キャッシュとして memcache を一" -"緒に使用することを推奨します。memcache はパブリックにアクセスされてはいけませ" -"ん。セキュアなプライベートチャネル経由で通信すべきです。署名付きクッキーバッ" -"クエンドを使用することにした場合、セキュリティのトレードオフを理解するために " -"Django のドキュメントを参照してください。" - msgid "" "If your database server is configured for TLS transport, you will need to " "specify the certificate authority information for use with the initial " @@ -4149,17 +3092,6 @@ msgstr "実装標準" msgid "Improves performance of network I/O on hypervisors" msgstr "ハイパーバイザーにおけるネットワーク I/O の性能を改善します" -msgid "" -"In ``/etc/swift`` on every node there is a ``swift_hash_path_prefix`` " -"setting and a ``swift_hash_path_suffix`` setting. These are provided to " -"reduce the chance of hash collisions for objects being stored and avert one " -"user overwriting the data of another user." -msgstr "" -"すべてのサービスノードの ``/etc/swift`` に ``swift_hash_path_prefix`` 設定お" -"よび ``swift_hash_path_suffix`` 設定があります。保存されているオブジェクトに" -"対するハッシュ衝突の可能性を減らし、あるユーザーが別のユーザーのデータを上書" -"きすることを防ぐために、これが提供されます。" - msgid "In ``my.cnf``:" msgstr "``my.cnf`` の場合:" @@ -4192,16 +3124,6 @@ msgid "" "In order to select the best supporting software, consider these factors:" msgstr "以下の要素を考慮して、最適な補助ソフトウェアを選択します。" -msgid "" -"In particular, you must assure your end users that the node has been " -"properly sanitized of their data prior to re-provisioning. Additionally, " -"prior to reusing a node, you must provide assurances that the hardware has " -"not been tampered or otherwise compromised." -msgstr "" -"とくに、ノードが再配備する前にデータを適切に無害化されることをエンドユーザー" -"に保証する必要があります。加えて、ノードを再利用する前に、ハードウェアが汚染" -"されていたり、侵入されたりしていないことを保証する必要があります。" - msgid "" "In some cases deployers may want to consider securing a bridge to a higher " "standard than any of the domains in which it resides. Given the above " @@ -4227,17 +3149,6 @@ msgstr "" "による異常なアクティビティを検知することができます。IDS は管理ネットワーク上" "で警告およびログ情報を伝送すべきです。" -msgid "" -"In the United States the National Institute of Science and Technology (NIST) " -"certifies cryptographic algorithms through a process known the Cryptographic " -"Module Validation Program. NIST certifies algorithms for conformance against " -"Federal Information Processing Standard 140-2 (FIPS 140-2), which ensures:" -msgstr "" -"アメリカでは、National Institute of Science and Technology (NIST) が " -"Cryptographic Module Validation Program として知られるプロセスにより暗号アル" -"ゴリズムを認証します。NIST は、以下を保証する Federal Information Processing " -"Standard 140-2 (FIPS 140-2) に適合するアルゴリズムを認証します。" - msgid "" "In the beginning of this chapter we discuss the use of both physical and " "virtual hardware by instances, the associated security risks, and some " @@ -4259,20 +3170,6 @@ msgstr "" "ウドリソース使用量を監視する必要があります。最後は、柔軟性、ユーザの変化する" "ニーズへのスケール性への要求から生じるものです。" -msgid "" -"In the case of failure, systems should be configured to fail into a closed " -"secure state. For example, TLS certificate verification should fail closed " -"by severing the network connection if the CNAME doesn't match the server's " -"DNS name. Software often fails open in this situation, allowing the " -"connection to proceed without a CNAME match, which is less secure and not " -"recommended." -msgstr "" -"障害において、システムは独立、安全な状態で停止するように構成されているべきで" -"す。たとえば、TLS 証明書の検証は、もしその CNAME がサーバーの DNS 名と一致し" -"なければ、ネットワーク接続を切断し、停止すべきです。ソフトウェアは、CNAME が" -"一致しないのに接続の継続を許すような、それが安全性の低い、好ましくない状況で" -"あっても、開きっぱなしにしてしまうことがあります。" - msgid "" "In the initial architectural phases of designing your OpenStack Network " "infrastructure it is important to ensure appropriate expertise is available " @@ -4283,13 +3180,6 @@ msgstr "" "キュリティ管理・監査機構を確認する為、物理ネットワークインフラ設計で支援する" "適切な専門技術が間違いなく利用できる事は重要です。" -msgid "" -"In this case, Alice's controls are the same as Bob's controls, which are " -"described below." -msgstr "" -"この場合、Alice のコントロールは、ボブのコントロールと同じものです。これは以" -"下で示されます。" - msgid "" "In this chapter we explore these technologies and describe the situations " "where they can be used to enhance security for instances or underlying " @@ -4394,13 +3284,6 @@ msgstr "Intel TXT / SEM" msgid "Intel Trusted Execution Technology" msgstr "Intel Trusted Execution Technology" -msgid "" -"Intel.com, Trusted Compute Pools with Intel Trusted Execution Technology " -"(Intel TXT). `http://www.intel.com/txt `__" -msgstr "" -"Intel.com, Trusted Compute Pools with Intel Trusted Execution Technology " -"(Intel TXT). `http://www.intel.com/txt `__" - msgid "Intelligence services" msgstr "インテリジェントなサービス" @@ -4447,9 +3330,6 @@ msgstr "OpenStack の概要" msgid "Introduction to TLS and SSL" msgstr "TLS と SSL の導入" -msgid "Introduction to case studies" -msgstr "ケーススタディの概要" - msgid "Introduction to security services" msgstr "セキュリティーサービス概要" @@ -4505,15 +3385,6 @@ msgstr "" "暗号化トラフィックを調査することはできませんが、ネットワーク上の異常な非暗号" "化トラフィックを特定するメリットを提供することができます。" -msgid "" -"It is important to include Backup procedures and policies in the overall " -"System Security Plan. For a good overview of OpenStack's Backup and Recovery " -"capabilities and procedures, please refer to the OpenStack Operations Guide." -msgstr "" -"全体的なシステムセキュリティプランにバックアップ手順とポリシーを含めることは" -"重要です。OpenStack のバックアップ/リカバリー機能や手順についての適切な概要" -"は、OpenStack 運用ガイドを参照してください。" - msgid "" "It is important to note that use of the Xen memory balloon feature is likely " "to result in information disclosure. We strongly recommended to avoid use of " @@ -4522,20 +3393,6 @@ msgstr "" "Xen のメモリバルーン機能の使用は情報漏えいの結果になりかねないという事への注" "意は重要です。" -msgid "" -"It is important to recognize the difference between using LXC (Linux " -"Containers) or baremetal systems vs using a hypervisor like KVM. " -"Specifically, the focus of this security guide is largely based on having a " -"hypervisor and virtualization platform. However, should your implementation " -"require the use of a baremetal or LXC environment, you must pay attention to " -"the particular differences in regard to deployment of that environment." -msgstr "" -"LXC (Linux コンテナー) やベアメタルシステムの利用と KVM のようなハイパーバイ" -"ザーの利用の違いを思い起こすことが重要です。具体的には、このセキュリティガイ" -"ドの焦点は、大規模にハイパーバイザーと仮想化のプラットフォームを持つことを前" -"提にしています。しかしながら、お使いの環境がベアメタルや LXC 環境を使用する必" -"要があれば、その環境に関する特有の違いに注意を払いたいでしょう。" - msgid "" "It is important to understand that object storage differs from traditional " "file system storage. It is best used for static data such as media files " @@ -4606,29 +3463,9 @@ msgstr "KVM" msgid "KVM Kernel Samepage Merging" msgstr "KVM Kernel Samepage Merging" -msgid "" -"KVM-based virtual machine instances are labelled with their own SELinux data " -"type, known as svirt_image_t. Kernel level protections prevent unauthorized " -"system processes, such as malware, from manipulating the virtual machine " -"image files on disk. When virtual machines are powered off, images are " -"stored as svirt_image_t as shown below:" -msgstr "" -"KVM ベースの仮想マシンインスタンスは、svirt_image_t として知られる、独自の " -"SELinux データタイプでラベル付けされています。カーネルレベルの保護により、悪" -"意のあるソフトウェアのような権限のないシステムプロセスが、ディスクにある仮想" -"マシンのイメージファイルを操作することを防ぎます。仮想マシンが電源オフのと" -"き、イメージは以下のように svirt_image_t として保存されます。" - msgid "KVM:" msgstr "KVM:" -msgid "" -"KVM: Kernal-based Virtual Machine. Kernal Samepage Merging. 2010. `http://" -"www.linux-kvm.org/page/KSM `__" -msgstr "" -"KVM: Kernal-based Virtual Machine. Kernal Samepage Merging. 2010. `http://" -"www.linux-kvm.org/page/KSM `__" - msgid "" "Keith Basil is a Principal Product Manager for Red Hat OpenStack and is " "focused on Red Hat's OpenStack product management, development and strategy. " @@ -4644,15 +3481,6 @@ msgstr "" msgid "Kerberos" msgstr "Kerberos" -msgid "" -"Kernel.org, CGroups. 2004. `https://www.kernel.org/doc/Documentation/cgroup-" -"v1/cgroups.txt `__" -msgstr "" -"Kernel.org, CGroups. 2004. `https://www.kernel.org/doc/Documentation/cgroup-" -"v1/cgroups.txt `__" - msgid "Key length" msgstr "鍵の長さ" @@ -4711,18 +3539,6 @@ msgstr "階層防御" msgid "Least privilege" msgstr "最小権限" -msgid "" -"Likewise, it is important to protect the cloud deployment from being " -"configured or manipulated by malicious entities. With many systems in a " -"cloud employing compute and networking virtualization, there are distinct " -"challenges applicable to OpenStack which must be addressed through integrity " -"lifecycle management." -msgstr "" -"同様に、悪意のある組織により設定または操作されないように、クラウドデプロイメ" -"ントを保護することが重要です。コンピュートやネットワークの仮想化を採用するク" -"ラウド内の多くのシステムでは、OpenStack に適用される問題が明らかに存在し、整" -"合性のライフサイクル管理で対応していく必要があります。" - msgid "Limitations" msgstr "制限事項" @@ -4770,13 +3586,6 @@ msgstr "低" msgid "MAC Policy" msgstr "MAC ポリシー" -msgid "" -"MAC Policy: Mandatory Access Control; may be implemented with SELinux or " -"other operating systems" -msgstr "" -"MAC ポリシー: 強制アクセス制御は SELinux または他のオペレーティングシステムを" -"用いて実装されます" - msgid "MGMT" msgstr "管理" @@ -4846,20 +3655,6 @@ msgstr "" "るために使用されます。この機能は 2 種類のセキュリティリスクをもたらします。ダ" "イレクトメモリアクセスとハードウェア感染です。" -msgid "" -"Many hypervisors use memory optimization techniques to overcommit memory to " -"guest virtual machines. This is a useful feature that allows you to deploy " -"very dense compute clusters. One way to achieve this is through de-" -"duplication or \"sharing\" of memory pages. When two virtual machines have " -"identical data in memory, there are advantages to having them reference the " -"same memory." -msgstr "" -"多くのハイパーバイザーは、ゲスト仮想マシンのメモリオーバーコミットのために、" -"メモリ最適化技術を利用します。これにより、非常に高密度なコンピュートクラス" -"ターを導入できるため、有用な機能です。これを実現する方法の一つは、メモリペー" -"ジの重複排除や「共有」です。2 つの仮想マシンがメモリ上に同一のデータを持つ場" -"合、同じメモリを参照する利点があります。" - msgid "" "Many operating systems now provide compartmentalization support. Linux " "supports namespaces to assign processes into independent domains. Other " @@ -4869,24 +3664,6 @@ msgstr "" "したドメインを割り当てる名前空間をサポートしています。システムのコンパートメ" "ント化についてはこのマニュアルの別の部分で詳しく説明されています。" -msgid "" -"Many organizations have an established Public Key Infrastructure with their " -"own certification authority (CA), certificate policies, and management for " -"which they should use to issue certificates for internal OpenStack users or " -"services. Organizations in which the public security domain is Internet " -"facing will additionally need certificates signed by a widely recognized " -"public CA. For cryptographic communications over the management network, it " -"is recommended one not use a public CA. Instead, we expect and recommend " -"most deployments deploy their own internal CA." -msgstr "" -"多くの組織には、内部のOpenStackユーザやサービス用に証明書を発行する為に使用さ" -"れるべき場所用の自身の認証局(CA)、証明ポリシー、管理を備えたPublic Key " -"Infrastructure (PKI)が設置されています。加えて、パブリックセキュリティドメイ" -"ンがインターネットに面している所の組織は、幅広く認識された公共のCAにより署名" -"された証明書が必要になるでしょう。管理ネットワーク上の暗号化通信用には、パブ" -"リックCAを使用しない事をお勧めします。代わりに、多くのデプロイでは自身の内部" -"CAを設置していると思われますし、推奨します。" - msgid "" "MapR Technologies, Apache Hadoop for the MapR Converged Data Platform. 2016. " "`MapR project `__" -msgstr "" -"National Information Assurance Partnership, National Security " -"Telecommunications and Information Systems Security Policy. 2003. `http://" -"www.niap-ccevs.org/cc-scheme/nstissp_11_revised_factsheet.pdf `__" - msgid "Network and security models" msgstr "ネットワークおよびセキュリティーモデル" @@ -5349,9 +4086,6 @@ msgstr "オブジェクトサービス" msgid "Object Storage" msgstr "Object Storage" -msgid "Object Storage \"account\" terminology" -msgstr "Object Storage の「アカウント」という用語" - msgid "Object Storage authentication" msgstr "Object Storage 認証" @@ -5478,9 +4212,6 @@ msgstr "" "が、これらの認証や証明書は、成熟度、商利用可能、特定のハイパーバイザーが目標" "としてきたテストの徹底さを物語ります。" -msgid "One as a \"public\" interface for consumers to reach" -msgstr "利用者が到達できる「パブリック」インターフェースとして一つ" - msgid "" "One critical policy decision for a cloud architect is what to do with the " "output from a security monitoring tool. There are effectively two options. " @@ -5543,15 +4274,6 @@ msgstr "" msgid "OpenStack Identity: Management" msgstr "OpenStack Identity: 管理" -msgid "" -"OpenStack Mailing List, [OpenStack] nova-novnc SSL configuration - Havana. " -"2014. `OpenStack nova-novnc SSL Configuration `__" -msgstr "" -"OpenStack Mailing List, [OpenStack] nova-novnc SSL configuration - Havana. " -"2014. `OpenStack nova-novnc SSL Configuration `__" - msgid "" "OpenStack Networking allows cloud tenants to manage their guest network " "configurations. Security concerns with the networking service include " @@ -5566,23 +4288,6 @@ msgid "" msgstr "" "OpenStack Networking は現在 GRE と VXLAN のカプセル化をサポートします。" -msgid "" -"OpenStack Networking enables the end-user or tenant to define, utilize, and " -"consume networking resources. OpenStack Networking provides a tenant-facing " -"API for defining network connectivity and IP addressing for instances in the " -"cloud in addition to orchestrating the network configuration. With the " -"transition to an API-centric networking service, cloud architects and " -"administrators should take into consideration best practices to secure " -"physical and virtual network infrastructure and services." -msgstr "" -"OpenStack Networking により、エンドユーザーまたはテナントは、ネットワークリ" -"ソースを定義、利用、消費することが可能です。OpenStack Networking は、ネット" -"ワーク設定のオーケストレーションに加えて、クラウド内のインスタンスを対象とし" -"たネットワーク接続の定義と IP アドレス指定用の対テナント API を提供します。" -"API 中心のネットワークサービスへの移行にあたっては、クラウドのアーキテクトや" -"管理者が、物理/仮想ネットワークのインフラストラクチャーとサービスをセキュリ" -"ティ保護するためのベストプラクティスを考慮すべきです。" - msgid "OpenStack Networking has the following known limitations:" msgstr "OpenStack Networking は以下の制限があります。" @@ -5660,29 +4365,6 @@ msgstr "" "ります。関連するリスクを理解するために、以下にライブマイグレーションの際のお" "おまかな流れを紹介しています。" -msgid "" -"OpenStack architects interpret and respond to HIPAA statements, with data " -"encryption remaining a core practice. Currently this would require any " -"protected health information contained within an OpenStack deployment to be " -"encrypted with industry standard encryption algorithms. Potential future " -"OpenStack projects such as object encryption will facilitate HIPAA " -"guidelines for compliance with the act." -msgstr "" -"OpenStackアーキテクトはHIPAAの条項を解釈し、対応します。データ暗号化はその中" -"核となる活動です。現在、OpenStack環境に保存される、いかなる保護カルテ情報にも" -"暗号化を要求され、業界標準の暗号化アルゴリズムの採用が期待されます。なお、将" -"来予定されている、例えばオブジェクト暗号化などのOpenStackプロジェクトは、法令" -"遵守のためHPAAガイドラインの適用を促進するでしょう。" - -msgid "" -"OpenStack can be configured to provide remote desktop console access to " -"instances for tenants and/or administrators using the Virtual Network " -"Computer (VNC) protocol." -msgstr "" -"OpenStack は Virtual Network Computer (VNC) プロトコルを使用して、プロジェク" -"トと管理者がインスタンスのリモートデスクトップコンソールにアクセスできるよう" -"に設定できます。" - msgid "" "OpenStack components communicate with each other using various protocols and " "the communication might involve sensitive / confidential data. An attacker " @@ -5734,20 +4416,6 @@ msgstr "OpenStack Dashboard: パブリック、管理" msgid "OpenStack database access model" msgstr "OpenStack データベースアクセスモデル" -msgid "" -"OpenStack deployments which stores, processes, or transmits payment card " -"details are in scope for the PCI-DSS. All OpenStack components that are not " -"properly segmented from systems or networks that handle payment data fall " -"under the guidelines of the PCI-DSS. Segmentation in the context of PCI-DSS " -"does not support multi-tenancy, but rather physical separation (host/" -"network)." -msgstr "" -"カード情報を保存、処理、転送するOpenStack環境は、PCI-DSSの対象です。カード情" -"報を扱うシステムやネットワークが正しく分離されていないすべてのOpenStackコン" -"ポーネントは、PCI-DSSのガイドラインに適合しません。PCI-DSSでいう分離は、マル" -"チ手ナンシーを認めておらず、(サーバーおよびネットワークの)物理的な分離が必要" -"です。" - msgid "" "OpenStack does not support message-level confidence, such as message " "signing. Consequently, you must secure and authenticate the message " @@ -5786,19 +4454,6 @@ msgstr "" "nistspecialpublication800-145.pdf>`__ を取り上げ、OpenStack に適用するクラウ" "ドの異なるタイプについて説明します。" -msgid "" -"OpenStack is designed to support multitenancy and those tenants will most " -"probably have different data requirements. As a cloud builder and operator " -"you need to ensure your OpenStack environment can address various data " -"privacy concerns and regulations. In this chapter we will address data " -"residency and disposal as it pertains to OpenStack implementations." -msgstr "" -"OpenStack はマルチテナンシーをサポートするよう設計されており、これらのテナン" -"トには、まず間違いなく異なるデータ要件があるでしょう。クラウド構築者とオペ" -"レータとして、あなたは自身の OpenStack 環境が様々なデータプライバシー関連と規" -"制を扱える事を確認する必要があります。本章では、OpenStack 実装に関連するの" -"で、データの存在場所と廃棄を扱います。" - msgid "" "OpenStack management relies on out-of-band management interfaces such as the " "IPMI protocol to access into nodes running OpenStack components. IPMI is a " @@ -6088,9 +4743,6 @@ msgstr "監査フェーズ" msgid "Physical hardware (PCI passthrough)" msgstr "物理ハードウェア (PCI パススルー)" -msgid "Physical server issues" -msgstr "物理サーバーの問題" - msgid "" "Places values on the stack and verifies their presence to help prevent " "buffer overflow attacks." @@ -6335,15 +4987,6 @@ msgstr "" "Red Hat Enterprise Linux ベースの KVM 環境は以下の sVirt ブーリアンを利用しま" "す。" -msgid "" -"Redhat.com/solutions, Using SSL Encryption with OpenStack nova-novacproxy. " -"2014. `OpenStack nova-novncproxy SSL encryption `__" -msgstr "" -"Redhat.com/solutions, Using SSL Encryption with OpenStack nova-novacproxy. " -"2014. `OpenStack nova-novncproxy SSL encryption `__" - msgid "" "Referencing a table of services, protocols and ports can help in " "understanding the relationship between OpenStack components. It is highly " @@ -6363,14 +5006,6 @@ msgstr "登録局 (RA)" msgid "Relying party" msgstr "信頼機関" -msgid "" -"Remove any unnecessary software packages. This should result in a very " -"stripped down installation because a compute node has a relatively small " -"number of dependencies." -msgstr "" -"不要なソフトウェアパッケージは削除します。これにより、コンピュートノードの依" -"存関係が比較的少なくなるので、インストールを小さく絞ることができます。" - msgid "Replace RABBIT\\_PASS with a suitable password." msgstr "RABBIT\\_PASS を適切なパスワードに置き換えます。" @@ -6380,9 +5015,6 @@ msgid "" msgstr "" "``MANAGEMENT_IP`` をコントローラーノードの管理 IP アドレスに置き換えます。" -msgid "Repository" -msgstr "リポジトリ" - msgid "Require user accounts to require SSL transport" msgstr "SSL 通信利用のための必須ユーザーアカウント" @@ -6502,28 +5134,15 @@ msgstr "" "SDB サービスノード:管理、ゲスト (使用する製品によってはパブリックも可能性あ" "り)" -msgid "" -"SELinux Project, SVirt. 2011. `http://selinuxproject.org/page/SVirt `__" -msgstr "" -"SELinux Project, SVirt. 2011. `http://selinuxproject.org/page/SVirt `__" - msgid "SELinux users and roles" msgstr "SELinux ユーザーとロール" -msgid "SELinux users documentation:" -msgstr "SELinux ユーザードキュメント:" - msgid "SHA-1" msgstr "SHA-1" msgid "SHA-2 (224, 256, 384, or 512 bits)" msgstr "SHA-2 (224、256、384、512 ビット)" -msgid "SLA and security monitoring" -msgstr "SLA およびセキュリティの監視" - msgid "SOC 1 (SSAE 16) / ISAE 3402" msgstr "SOC 1 (SSAE 16) / ISAE 3402" @@ -6533,13 +5152,6 @@ msgstr "SOC 2" msgid "SOC 3" msgstr "SOC 3" -msgid "" -"SPICE is supported by the OpenStack dashboard (horizon) directly on the " -"instance web page. This requires the *nova-spicehtml5proxy* service." -msgstr "" -"SPICE は OpenStack dashboard (horizon) により直接インスタンスのウェブページで" -"サポートされます。これには *nova-spicehtml5proxy* サービスが必要です。" - msgid "SR-IOV, MR-IOV, ATS" msgstr "SR-IOV, MR-IOV, ATS" @@ -6579,9 +5191,6 @@ msgstr "スコープ付きトークン" msgid "Script kiddies" msgstr "スクリプトキディー" -msgid "Search in this guide" -msgstr "ガイド内検索" - msgid "Secret key" msgstr "シークレットキー" @@ -6615,9 +5224,6 @@ msgstr "TLS を使用したセキュア通信" msgid "Securing proxy services" msgstr "プロキシサービスのセキュア化" -msgid "Securing services: general" -msgstr "サービスのセキュア化: 一般" - msgid "Securing storage services" msgstr "ストレージサービスのセキュア化" @@ -6750,25 +5356,6 @@ msgstr "セキュリティーサービス管理" msgid "Security training" msgstr "セキュリティトレーニング" -msgid "" -"Security updates are critical to any IaaS deployment, whether private or " -"public. Vulnerable systems expand attack surfaces, and are obvious targets " -"for attackers. Common scanning technologies and vulnerability notification " -"services can help mitigate this threat. It is important that scans are " -"authenticated and that mitigation strategies extend beyond simple perimeter " -"hardening. Multi-tenant architectures such as OpenStack are particularly " -"prone to hypervisor vulnerabilities, making this a critical part of the " -"system for vulnerability management. See the section on instance isolation " -"for additional details." -msgstr "" -"セキュリティアップデートはプライベート、パブリックを問わず、あらゆるIaaS環境" -"において重要です。脆弱なシステムは攻撃面を広げ、攻撃者にターゲットをさらして" -"しまいます。一般的なスキャニング技術と脆弱性検知サービスはこの脅威を和らげる" -"のに役立ちます。スキャンが認証されたものであり、その緩和戦略が単なる境界線の" -"防御力向上にとどまらないことが重要です。OpenStackのようなマルチテナントアーキ" -"テクチャは特にハイパーバイザーの脆弱性に影響されやすく、それはシステムの脆弱" -"性管理の重点項目です。詳細はインスタンス隔離の節を参照してください。" - msgid "" "See the chapter on :doc:`../secure-communication` for more specific " "recommendations and server configurations for HTTPS configurations, " @@ -6805,9 +5392,6 @@ msgstr "" "ネゴシエーション段階で利用可能な最高のセキュリティ暗号を選択します。これらは" "一般的に 128 ビット以上の鍵を持ちます。" -msgid "Self service" -msgstr "セルフサービス" - msgid "Serious organized crime" msgstr "重大組織犯罪" @@ -6820,22 +5404,6 @@ msgstr "サーバーのセキュリティ強化" msgid "Service" msgstr "サービス" -msgid "" -"Service Organization Controls (SOC) 2 is a self attestation of controls that " -"affect the security, availability, and processing integrity of the systems a " -"service organization uses to process users' data and the confidentiality and " -"privacy of information processed by these system. Examples of users are " -"those responsible for governance of the service organization; customers of " -"the service organization; regulators; business partners; suppliers and " -"others who have an understanding of the service organization and its " -"controls." -msgstr "" -"Service Organization Controls (SOC) 2は、サービス提供組織がユーザーデータとそ" -"の情報の機密性とプライバシーを制御するために使っているシステムのセキュリ" -"ティ、可用性、および処理の完全性に関する統制の自己証明です。ユーザーの例は、" -"サービス組織を統制する人、サービス組織の顧客、監視当局、ビジネスパートナー、" -"サプライヤー、およびサービス組織の理解者やそれを統制する人です。" - msgid "" "Service Organization Controls (SOC) 3 is a trust services report for service " "organizations. These reports are designed to meet the needs of users who " @@ -6891,16 +5459,6 @@ msgstr "セッションクッキーは HTTPONLY に設定すべきです。" msgid "Setting Identity service as Identity Provider" msgstr "認証プロバイダーとしての Identity の設定" -msgid "" -"Several cryptography algorithms are available within OpenStack for " -"identification and authorization, data transfer and protection of data at " -"rest. When selecting a hypervisor, the following are recommended algorithms " -"and implementation standards to ensure the virtualization layer supports:" -msgstr "" -"いくつかの暗号アルゴリズムは、認証と識別、データ転送、保存データの保護のため" -"に、OpenStack の中で利用可能です。ハイパーバイザーの選択時、以下が推奨アルゴ" -"リズムで、仮想化層のサポートを確実にするための実装標準です。" - msgid "" "Several of the components use databases though it is not explicitly called " "out. Securing the access to the databases and their contents is yet another " @@ -7010,29 +5568,6 @@ msgstr "ソフトウェア" msgid "Software inventory" msgstr "ソフトウェアインベントリ" -msgid "" -"Solutions to the hardware infection problem are domain specific. The " -"strategy is to identify how an instance can modify hardware state then " -"determine how to reset any modifications when the instance is done using the " -"hardware. For example, one option could be to re-flash the firmware after " -"use. Clearly there is a need to balance hardware longevity with security as " -"some firmwares will fail after a large number of writes. TPM technology, " -"described in :ref:`management-secure-bootstrapping`, is a solution for " -"detecting unauthorized firmware changes. Regardless of the strategy " -"selected, it is important to understand the risks associated with this kind " -"of hardware sharing so that they can be properly mitigated for a given " -"deployment scenario." -msgstr "" -"ハードウェア感染問題の解決策はドメイン固有です。戦略はインスタンスがどのよう" -"にしてハードウェア状態を修正可能かを特定する事、その後インスタンスがハード" -"ウェアを使用している際に修正をリセットする方法を検知する事です。例えば、使用" -"後のファームウェアの再度フラッシュが挙げられます。明らかに、いくつかのファー" -"ムウェアは多数の書き込み後に故障するので、上記の作業はハードウェア寿命とセ" -"キュリティを天秤にかける必要があります。TPM 技術 (:ref:`management-secure-" -"bootstrapping` で説明) は未承認のファームウェア変更を検知する解決策を提供しま" -"す。選択した戦略に関わらず、この種のハードウェア共有に関するリスクを理解する" -"事は、与えられたデプロイシナリオ用に適切にリスクを軽減する上で重要です。" - msgid "Some important definitions:" msgstr "いくつかの重要な定義:" @@ -7079,15 +5614,6 @@ msgstr "Stud" msgid "Summary" msgstr "概要" -msgid "" -"Sunar, Eisenbarth, Inci, Gorka Irazoqui Apecechea. Fine Grain Cross-VM " -"Attacks on Xen and VMware are possible!. 2014. `https://eprint.iacr." -"org/2014/248.pfd `__" -msgstr "" -"Sunar, Eisenbarth, Inci, Gorka Irazoqui Apecechea. Fine Grain Cross-VM " -"Attacks on Xen and VMware are possible!. 2014. `https://eprint.iacr." -"org/2014/248.pfd `__" - msgid "" "Supporting components, such as load-balancers, reverse proxies, DNS or DHCP " "services" @@ -7196,34 +5722,6 @@ msgstr "" "的な初期値です。デフォルトの設定ファイルは、``/etc/stud`` ディレクトリーにあ" "ります。しかしながら、デフォルトで提供されません。" -msgid "" -"The *nova-novncproxy* and *nova-xvpvncproxy* services by default open public-" -"facing ports that are token authenticated." -msgstr "" -"デフォルトのオープンなパブリックポートによる *nova-novncproxy* サービスと " -"*nova-xvpvncproxy* サービスがトークン認証されます。" - -msgid "" -"The *nova-spicehtml5proxy* service by default opens public-facing ports that " -"are token authenticated." -msgstr "" -"デフォルトのオープンなパブリックポートによる *nova-spicehtml5proxy* サービス" -"がトークン認証されます。" - -msgid "" -"The *svirt_image_t* label uniquely identifies image files on disk, allowing " -"for the SELinux policy to restrict access. When a KVM-based Compute image is " -"powered on, sVirt appends a random numerical identifier to the image. sVirt " -"is capable of assigning numeric identifiers to a maximum of 524,288 virtual " -"machines per hypervisor node, however most OpenStack deployments are highly " -"unlikely to encounter this limitation." -msgstr "" -"*svirt_image_t* ラベルは独自にディスク上のイメージファイルを識別し、SELinux " -"ポリシーがアクセス制限できるようにします。KVM ベースの Compute イメージが電源" -"投入された際、sVirt はイメージに乱数のIDを付与します。sVirt は1ハイパーバイ" -"ザーノードあたり最大 524,288 個の仮想マシンに数字IDを付与する事ができますが、" -"ほとんどの OpenStack デプロイでこの制限に遭遇する事はまずないでしょう。" - msgid "" "The API provides a tenant interface for provisioning, managing, and " "accessing their resources." @@ -7517,18 +6015,6 @@ msgstr "" "ます。FISMA要件により、米国民かつ身元審査された人のみがアクセスできるよう、追" "加の統制で補完します。" -msgid "" -"The KVM hypervisor has been Common Criteria certified through the U.S. " -"Government and commercial distributions, which have been validated to " -"separate the runtime environment of virtual machines from each other, " -"providing foundational technology to enforce instance isolation. In addition " -"to virtual machine isolation, KVM has been Common Criteria certified to" -msgstr "" -"KVM ハイパーバイザーはアメリカ政府から Common Criteria 認証された商用ディスト" -"リビューションです。インスタンス分離を強制するための基礎的な技術を提供し、仮" -"想マシンの実行環境を分離できることが検証されました。仮想マシンの分離に加え" -"て、KVM は次のとおり Common Criteria 認証されています。" - msgid "" "The L3 router provides basic Network Address Translation (NAT) capabilities " "on *gateway* ports that uplink the router to external networks. This router " @@ -7633,24 +6119,6 @@ msgstr "" "OpenStack Security Group は、このドキュメントの作成を手助けしていただいた以下" "の組織の貢献に感謝いたします。" -msgid "" -"The OpenStack Security Guide is the result of a five day sprint of " -"collaborative work of many individuals. The purpose of this document is to " -"provide the best practice guidelines for deploying a secure OpenStack cloud. " -"It is a living document that is updated as new changes are merged into the " -"repository, and is meant to reflect the current state of security within the " -"OpenStack community and provide frameworks for decision making where listing " -"specific security controls are not feasible due to complexity or other " -"environment specific details." -msgstr "" -"OpenStack セキュリティーガイドは、多くの方々の協働による 5 日間のブックスプリ" -"ントの成果です。このドキュメントの目的は、セキュアな OpenStack クラウドを導入" -"するためのベストプラクティスを提供することです。このドキュメントは、新しい変" -"更がリポジトリーにマージされたときに更新される、生きたドキュメントです。" -"OpenStack コミュニティ内のセキュリティーに関する現状が反映されます。また、特" -"定のセキュリティーコントロールが、複雑性や他の環境固有の事情により実現できる" -"かどうかに関する、判断材料となるフレームワークを提供します。" - msgid "" "The OpenStack components are only a small fraction of the software in a " "cloud. It is important to keep up to date with all of these other " @@ -7667,17 +6135,6 @@ msgstr "" "きるようにすることが重要です。通常、Linux のアップストリームディストリビュー" "ションをチェックするのと同じくらいシンプルです。" -msgid "" -"The OpenStack dashboard (horizon) can provide a VNC console for instances " -"directly on the web page using the HTML5 noVNC client. This requires the " -"*nova-novncproxy* service to bridge from the public network to the " -"management network." -msgstr "" -"OpenStack dashboard (horizon) は HTML5 の非 VNC クライアントを使用して、ウェ" -"ブページから直接インスタンスの VNC コンソールを提供できます。これには、*nova-" -"novncproxy* サービスがパブリックネットワークから管理ネットワークにブリッジす" -"る必要があります。" - msgid "" "The OpenStack dashboard (horizon) provides administrators and tenants with a " "web-based graphical interface to provision and access cloud-based resources. " @@ -7712,36 +6169,6 @@ msgstr "" "Shared File Systems サービスにより、これらのオプションを用いて、セキュリ" "ティーサービスを設定できます。" -msgid "" -"The `Cloud Security Alliance Cloud Controls Matrix `__ (CCM) assists " -"both cloud providers and consumers in assessing the overall security of a " -"cloud provider. The CSA CMM provides a controls framework that map to many " -"industry-accepted standards and regulations including the ISO 27001/2, " -"ISACA, COBIT, PCI, NIST, Jericho Forum and NERC CIP." -msgstr "" -"`Cloud Security Alliance Cloud Controls Matrix `__ (CCM) はクラウドプ" -"ロバイダーのセキュリティを総合的に評価するにあたって、プロバイダーとユーザー" -"の両方に役立ちます。CSA CCMはISO 27001/2、ISACA、COBIT、PIC、NIST、Jericho " -"Forum、NERC CIPといった、多くの業界で認められた標準、規制をひも付けた統制フ" -"レームワークを提供します。" - -msgid "" -"The `SCAP Security Guide `__ " -"is another useful reference. This is still an emerging source, but we " -"anticipate that this will grow into a tool with controls mappings that are " -"more focused on the US federal government certifications and " -"recommendations. For example, the SCAP Security Guide currently has some " -"mappings for security technical implementation guides (STIGs) and " -"NIST-800-53." -msgstr "" -"`SCAP Security Guide `__ はも" -"うひとつの有用なリファレンスです。まだ出来たばかりですが、米国連邦政府の認" -"証、推奨への対応に重点を絞ったツールとして普及すると予想されます。例えば、" -"SCAP Security Guideは現在、security technical implementation guides (STIGs)と" -"NIST-800-53にある程度対応しています。" - msgid "" "The ``/etc/swift`` directory contains information about the ring topology " "and environment configuration. The following permissions are recommended:" @@ -7777,16 +6204,6 @@ msgstr "" "``md5`` パラメーターは認証方式をハッシュ化パスワードとして定義します。以下の" "セクションでセキュアな認証例を提供します。" -msgid "" -"The ``nova`` command-line utility can return a URL for the VNC console for " -"access by the *nova* Java VNC client. This requires the *nova-xvpvncproxy* " -"service to bridge from the public network to the management network." -msgstr "" -"``nova`` コマンドラインユーティリティは *nova* Java VNC クライアントによりア" -"クセスするための VNC の URL を返すことができます。これには、*nova-" -"xvpvncproxy* サービスがパブリックネットワークから管理ネットワークにブリッジす" -"る必要があります。" - msgid "" "The ``service apache2 restart`` command is Ubuntu-specific. For other " "distributions, replace with appropriate command." @@ -7891,19 +6308,6 @@ msgstr "" "ションにより、既存のユーザーセッションとキャッシュを無効化します。このキーを" "公開リポジトリにコミットしないでください。" -msgid "" -"The dashboard is based on the Django web framework, therefore secure " -"deployment practices for Django apply directly to horizon. This guide " -"provides a popular set of Django security recommendations. Further " -"information can be found by reading the `Django documentation `__." -msgstr "" -"ダッシュボードは Django ウェブフレームワークに基づいています。そのため、" -"Django のセキュアな導入プラクティスをそのまま Horizon に適用できます。このガ" -"イドは Django のセキュリティ推奨事項の一般的なものを提供します。さらなる情報" -"は `Django ドキュメント `__ を読むことにより" -"得られます。" - msgid "" "The dashboard provides GUI support for routers and load-balancers. For " "example, the dashboard now implements all of the main Networking features." @@ -7995,9 +6399,6 @@ msgstr "" "以下の図は、前項で説明したアクターから出される可能性のある攻撃の種類を記載し" "ています。このような図では常に例外が存在することに注意してください。" -msgid "The endpoint that is trusting that the CA is valid." -msgstr "CAが有効であると証明するエンドポイント" - msgid "" "The final option is to use an automated image builder. The following example " "uses the Oz image builder. The OpenStack community has recently created a " @@ -8183,45 +6584,6 @@ msgstr "" "その製品やプロジェクトの成熟度はセキュリティ上重要です。製品の成熟度はクラウ" "ドを配備してから大きな影響が現れます。" -msgid "" -"The message queue is a critical piece of infrastructure that supports a " -"number of OpenStack services but is most strongly associated with the " -"Compute service. Due to the nature of the message queue service, Alice and " -"Bob have similar security concerns. One of the larger concerns that remains " -"is that many systems have access to this queue and there is no way for a " -"consumer of the queue messages to verify which host or service placed the " -"messages on the queue. An attacker who is able to successfully place " -"messages on the queue is able to create and delete VM instances, attach the " -"block storage of any tenant and a myriad of other malicious actions. There " -"are a number of solutions anticipated in the near future, with several " -"proposals for message signing and encryption making their way through the " -"OpenStack development process." -msgstr "" -"メッセージキューは、多数の OpenStack サービスを支える重要なインフラストラク" -"チャであり、特にコンピュートサービスと強く結びついています。メッセージキュー" -"サービスの性質上、アリスとボブが抱えるセキュリティ上の懸念はよく似ています。" -"特に大きな残課題は、数多くのシステムがキューにアクセスしているものの、キュー" -"メッセージのコンシューマーには、キューを発行したホストやサービスを確かめる手" -"立てがないことです。攻撃者がキューの発行に成功すると、仮想マシンの作成や削除" -"をしたり、あらゆるテナントのブロックストレージに接続するなど、他にも無数の悪" -"意のある攻撃が可能になってしまいます。近い将来に予想されるソリューションがい" -"くつかあり、いくつかはメッセージへの署名と暗号化を使ったものが OpenStack の開" -"発プロセスで進んでいます。" - -msgid "" -"The method for configuring your web server to start and run as a non-root " -"user varies by web server and OS." -msgstr "" -"ウェブサーバーを root 以外のユーザーで起動して実行する設定方法はウェブサー" -"バーと OS により異なります。" - -msgid "" -"The nature of the nodes makes additional hardening possible. We recommend " -"the following additional steps for production nodes:" -msgstr "" -"ノードはその性質上、追加のセキュリティ強化が可能です。実稼働用のノードには、" -"次の追加手順に従うことを推奨します。" - msgid "" "The network authentication protocol which works on the basis of tickets to " "allow nodes communicating over a non-secure network to prove their identity " @@ -8242,21 +6604,6 @@ msgid "" msgstr "" "新しく作成されたファイルは ``/etc/shibboleth/sp-key.pem`` に保存されます。" -msgid "" -"The next step is to harden QEMU using compiler hardening options. Modern " -"compilers provide a variety of compile time options to improve the security " -"of the resulting binaries. These features, which we will describe in more " -"detail below, include relocation read-only (RELRO), stack canaries, never " -"execute (NX), position independent executable (PIE), and address space " -"layout randomization (ASLR)." -msgstr "" -"次の手順は、コンパイラーのセキュリティ強化オプションを使用して QEMU をセキュ" -"リティ強化することです。最近のコンパイラーは、出力バイナリのセキュリティを改" -"善するために、さまざまなコンパイル時オプションを提供します。これらの機能に" -"は、より詳細を以下で説明しますが、relocation read-only (RELRO)、Stack " -"Canaries、never execute (NX)、position independent executable (PIE)、address " -"space layout randomization (ASLR) があります。" - msgid "" "The nodes that run the cloud related services such as the OpenStack Identity " "service, the message queuing service, storage, networking, and other " @@ -8316,23 +6663,6 @@ msgstr "" "してクラウドオペレータは結局信用できるのか否かという事は、これまで重要な問題" "でした。" -msgid "" -"The process doesn't end with a single external audit. Most certifications " -"require continual compliance activities which means repeating the audit " -"process periodically. We recommend integrating automated compliance " -"verification tools into a cloud to ensure that it is compliant at all times. " -"This should be in done in addition to other security monitoring tools. " -"Remember that the goal is both security *and* compliance. Failing on either " -"of these fronts will significantly complicate future audits." -msgstr "" -"このプロセスは一度の外部監査で終わることがありません。多くの認証は継続的なコ" -"ンプライアンス活動、すなわち、定期的な監査を要求します。わたしたちは、常に準" -"拠を確実にするために、自動化されたコンプライアンス検証ツールをクラウド内に作" -"ることをおすすめします。これは他のセキュリティ監視ツールに加え実装されるべき" -"です。このゴールがセキュリティ *かつ* コンプライアンスであることを忘れないで" -"ください。これらのどちらかに不具合があれば、将来の監査において非常に面倒なこ" -"とになります。" - msgid "" "The public security domain is an entirely untrusted area of the cloud " "infrastructure. It can refer to the Internet as a whole or simply to " @@ -8387,13 +6717,6 @@ msgstr "" "チャーを文書化し、情報を最新の状態に維持するのあたっては、業界全体の共通課題" "があります。 " -msgid "" -"The system supports encrypted block devices to provide storage " -"confidentiality via dm_crypt." -msgstr "" -"システムは dm_crypt 経由でストレージの機密性を提供するために暗号化ブロックデ" -"バイスを提供します。" - msgid "" "The system supports the definition of trusted channels using SSH. Password " "based authentication is supported. Only a restricted number of cipher suites " @@ -8458,17 +6781,6 @@ msgstr "" "ネットワークおよびホストベースの侵入検知システムには、いくつかの重要なセキュ" "リティ課題があります。" -msgid "" -"There are a number of standard activities that will greatly assist with the " -"compliance process. In this chapter we outline some of the most common " -"compliance activities. These are not specific to OpenStack, however we " -"provide references to relevant sections in this book as useful context." -msgstr "" -"コンプライアンスのプロセスを大きく推進する、標準的な活動は数多くあります。こ" -"の章ではいくつかの代表的なコンプライアンス活動を紹介します。これらはOpenStack" -"固有ではありませんが、関係がわかるよう、このガイドの関連する節への参照も記載" -"します。" - msgid "" "There are four main services that interact with OpenStack Networking. In a " "typical OpenStack deployment these services map to the following security " @@ -8478,16 +6790,6 @@ msgstr "" "OpenStack デプロイでは、これらのサービスは以下のセキュリティドメインにマッピ" "ングされます。" -msgid "" -"There are many management, policy, and technical challenges around creating " -"and signing certificates. This is an area where cloud architects or " -"operators may wish to seek the advice of industry leaders and vendors in " -"addition to the guidance recommended here." -msgstr "" -"証明書の作成・署名については多数の管理・ポリシー・技術的ハードルがあります。" -"証明書は、ここで推奨されたガイドに加え、クラウドアーキテクトや運用者が工業" -"リーダーやベンダのアドバイスを望みうる所です。" - msgid "" "There are no general provisions for granular control of database operations " "in OpenStack. Access and privileges are granted simply based on whether a " @@ -8513,13 +6815,6 @@ msgstr "SOC 1報告書には二つの種類があります。" msgid "There are two types of SOC 2 reports:" msgstr "SOC 2報告書には二つの種類があります。" -msgid "" -"There is an OpenStack Security Note pertaining to the `Use of LXC in Compute " -"`__." -msgstr "" -"`Use of LXC in Compute `__ に関" -"する OpenStack Security Note があります。" - msgid "" "There is an `OpenStack Security Note (OSSN) regarding keystone.conf " "permissions `__." @@ -8534,16 +6829,6 @@ msgstr "" "`潜在的な DoC 攻撃に関する OpenStack Security Note (OSSN) `__ があります。" -msgid "" -"Therefore, it is important to take proactive steps to harden QEMU. Three " -"specific steps are recommended: minimizing the code base, using compiler " -"hardening, and using mandatory access controls such as sVirt, SELinux, or " -"AppArmor." -msgstr "" -"そのため、QEMU 堅牢化の率先したステップの実行が重要である事が挙げられます。3" -"つの特定のステップを推奨しています。コードベースの最小化、コンパイラーの堅牢" -"化、sVirt・SELinux・AppArmor 等の強制アクセス制御の使用です。" - msgid "" "These control mappings will help identify common control criteria across " "certifications, and provide visibility to both auditors and auditees on " @@ -8662,13 +6947,6 @@ msgstr "" "に伴う作業を支援する参考資料としてご利用いただくことができます。本ガイドは、" "クラウドのセキュリティに関心を持つ読者全般にもお奨めします。" -msgid "" -"This guide refers to two running case studies, which are introduced here and " -"referred to at the end of each chapter." -msgstr "" -"本ガイドでは、全体を通して、2 つの運用事例を参照しています。ここでは、これら" -"を概要を説明し、各章末で参照します。" - msgid "" "This is the formal audit process. Auditors will test security controls in " "scope for a specific certification, and demand evidentiary requirements to " @@ -8725,14 +7003,6 @@ msgstr "" "ダーやクラウドオペレーターに対して重大な脅威をもたらす可能性のある「ハクティ" "ビスト」タイプの組織のことを指します。" -msgid "" -"This restricts only root to be able to modify configuration files while " -"allowing the services to read them through their group membership in the " -"'swift' group." -msgstr "" -"これは、サービスが 'swift' グループメンバーに読み込むことを許可しながら、" -"root のみが設定ファイルを変更できるように制限します。" - msgid "" "This section discusses security hardening approaches for the three most " "common message queuing solutions used in OpenStack: RabbitMQ, Qpid, and " @@ -8741,17 +7011,6 @@ msgstr "" "このセクションでは、OpenStack で使用される最も一般的なメッセージキュー製品で" "ある、Rabbit MQ、Qpid、ZeroMQ の堅牢化アプローチについて説明します。" -msgid "" -"This section is a high-level overview of what processes and best practices " -"should be considered when implementing OpenStack Networking. We will talk " -"about the current state of services that are available, what future services " -"will be implemented, and the current limitations in this project." -msgstr "" -"本項には、OpenStack Networking を実装する際に検討すべきプロセスとベストプラク" -"ティスについての大まかな概要をまとめています。提供されているサービスの現在の" -"状況 、将来実装されるサービス、本プロジェクトにおける現在の制限事項などについ" -"て説明します。" - msgid "" "This table illustrates a generic approach to measuring the impact of a " "vulnerability based on where it occurs in your deployment and the effect. " @@ -8790,17 +7049,6 @@ msgstr "脅威の分類、アクター、攻撃ベクトル" msgid "Timeliness and availability of updates" msgstr "タイムラインとアップデートの入手先" -msgid "" -"To aid OpenStack architects in the protection of personal data, it is " -"recommended that OpenStack architects review the NIST publication 800-122, " -"titled \"*Guide to Protecting the Confidentiality of Personally Identifiable " -"Information (PII)*.\" This guide steps through the process of protecting:" -msgstr "" -"個人情報の保護に取り組むOpenStackアーキテクトを支援するため、OpenStackアーキ" -"テクトには、NIST刊行 800-122 \"*Guide to Protecting the Confidentiality of " -"Personally Identifiable Information (PII)*\" をおすすめします。このガイドは以" -"下を保護するプロセスについて述べています。" - msgid "" "To disable the nova-conductor, place the following into your ``nova.conf`` " "file (on your compute hosts):" @@ -8808,20 +7056,6 @@ msgstr "" "nova-conductor を無効化するために、以下を (コンピュートホストの) ``nova." "conf`` ファイルに記入します。" -msgid "" -"To ease scaling and reduce management overhead Bob implements a " -"configuration management system. For customer data assurances, Bob offers a " -"backup as a service product as requirements will vary between customers. " -"Finally, Bob does not provide a \"baremetal\" or the ability to schedule an " -"entire node, so to reduce management overhead and increase operational " -"efficiency Bob does not implement any node boot time security." -msgstr "" -"管理オーバーヘッドのスケーリングや削減を簡単にするため、構成管理システムを実" -"装します。顧客のデータ保証に対しては、顧客ごとに要件が変わるためサービス商品" -"としてバックアップを提供します。最後に、「ベアメタル」やノード全体のスケ" -"ジュール機能を提供せず、管理オーバーヘッドの削減、運用効率の向上を図るため、" -"ノードのブート時におけるセキュリティは実装しません。" - msgid "" "To ease the administrative burden of managing SELinux, many enterprise Linux " "platforms utilize SELinux Booleans to quickly change the security posture of " @@ -8866,28 +7100,11 @@ msgstr "" "用のネットワークソケットをバインドするインターフェースまたは IP アドレスを制" "限することにより、これを実現できます。" -msgid "" -"To meet these strict government regulations Alice undertakes a number of " -"activities. Scoping of requirements is particularly important due to the " -"volume of controls that must be implemented, which will be defined in NIST " -"Publication 800-53." -msgstr "" -"これらの厳しい政府規制の要件を満たすため、アリスは多くの活動を行います。範囲" -"の決定作業は、実装すべき統制の量に影響するため、特に重要です。これはNIST刊行 " -"800-53で定められています。" - msgid "" "To provide a community driven facility for knowledge capture and " "dissemination" msgstr "コミュニティ主導のナレッジ蓄積と普及の場の提供" -msgid "" -"To provide secure ephemeral instance storage, Alice implements qcow2 files " -"on an encrypted filesystem." -msgstr "" -"安全な一時ディスクを提供するために、アリスは暗号化ファイルシステム上に qcow2 " -"のファイルを実装しています。" - msgid "" "To reduce security risks from orphan instances on a user, tenant, or domain " "deletion in the Identity service there is discussion to generate " @@ -8948,29 +7165,9 @@ msgstr "" msgid "Tokens" msgstr "トークン" -msgid "" -"Track the destruction of both the tenant data and metadata through ticketing " -"in a CMDB." -msgstr "" -"CMDBのチケット発行を使用して、顧客データとメタデータの両方の破壊を追跡する。" - msgid "Track, document and verify media sanitization and disposal actions." msgstr "媒体サニタイズと破棄行為の追跡・文書化・検証を行うこと。" -msgid "" -"Traditionally, memory de-duplication systems are vulnerable to side channel " -"attacks. Both KSM and TPS have demonstrated to be vulnerable to some form of " -"attack. In academic studies attackers were able to identify software " -"packages and versions running on neighboring virtual machines as well as " -"software downloads and other sensitive information through analyzing memory " -"access times on the attacker VM." -msgstr "" -"慣習的に、メモリ重複排除システムは、サイドチャネル攻撃に脆弱です。KSM も TPS " -"も、いくつかの種類の攻撃に脆弱性を示します。学術研究によると、攻撃者は、近く" -"で動作している仮想マシンにある、いくつかの実行中のパッケージとバージョンを特" -"定できました。また、攻撃者の仮想マシンでメモリアクセス時間を解析することによ" -"り、ソフトウェアダウンロードや他の秘密情報も特定できました。" - msgid "Transfer memory" msgstr "メモリを転送" @@ -9121,15 +7318,6 @@ msgstr "" "プサーバーのログは日次で監査し、ほんの一握りの人だけがこのログにアクセスでき" "るようにしなければいけません。" -msgid "" -"Use a mandatory access control policy to contain the instances, the node " -"services, and any other critical processes and data on the node. See the " -"discussions on sVirt / SELinux and AppArmor below." -msgstr "" -"強制アクセス制御ポリシーを使用して、インスタンス、ノードサービス、その他の重" -"要なプロセスおよびノード上のデータが含まれるようにします。以下に記載の " -"sVirt / SELinux および AppArmor についての説明を参照してください。" - msgid "" "Use both mandatory access controls (MACs) and discretionary access controls " "(DACs) to restrict the configuration for processes to only those processes. " @@ -9189,28 +7377,6 @@ msgstr "リソースへのユーザーアクセス" msgid "User's \"Real Name\"" msgstr "ユーザの「実名」" -msgid "User, process, or system that is the subject of a certificate." -msgstr "証明対象のユーザ、プロセス、システム。" - -msgid "" -"Users or organizations that possess PHI must support HIPAA requirements and " -"are HIPAA covered entities. If an entity intends to use a service, or in " -"this case, an OpenStack cloud that might use, store or have access to that " -"PHI, then a Business Associate Agreement must be signed. The BAA is a " -"contract between the HIPAA covered entity and the OpenStack service provider " -"that requires the provider to handle that PHI in accordance with HIPAA " -"requirements. If the service provider does not handle the PHI, such as with " -"security controls and hardening, then they are subject to HIPAA fines and " -"penalties." -msgstr "" -"カルテ情報を所有するユーザーや組織はHIPPAの要件をサポートし、HIPAA対象事業者" -"となる必要があります。もしこの事業者がサービスを、この場合は対象のOpenStackク" -"ラウドがカルテ情報を利用、保存、アクセスしうるのであれば、HIPAA Business " -"Associate Agreement - BAAの締結が必要です。BAAはHIPAA対象事業者と、HIPAA要件" -"に従ってカルテ情報を扱っているOpenStackサービスプロバイダーの間で締結されま" -"す。もしサービスプロバイダーがセキュリティ統制、強化を怠るなど、カルテ情報を" -"要件通りに扱っていなければHIPAAの罰金や罰則が適用されることがあります。" - msgid "" "VLAN configuration complexity depends on your OpenStack design requirements. " "In order to allow OpenStack Networking to efficiently use VLANs, you must " @@ -9261,21 +7427,6 @@ msgstr "" "中の他のコンポーネントとの通信にメッセージキュー又はデータベース接続のいずれ" "かを使用します。" -msgid "" -"Various components, services, and applications within the OpenStack " -"ecosystem or dependencies of OpenStack are implemented and can be configured " -"to use TLS libraries. The TLS and HTTP services within OpenStack are " -"typically implemented using OpenSSL which has a module that has been " -"validated for FIPS 140-2. However, keep in mind that each application or " -"service can still introduce weaknesses in how they use the OpenSSL libraries." -msgstr "" -"OpenStackエコシステムやOpenStackが依存する様々なコンポーネント、サービス、ア" -"プリケーションはTLSライブラリを使用するよう実装され、設定ができるようになって" -"います。OpenStack中のTLSとHTTPサービスは通常、FIPS 140-2用に検証されてきた" -"OpenSSLを使用して実装されています。しかし、各アプリケーション又はサービスは、" -"OpenSSLライブラリをどのように使用するかという点で、未だ脆弱性を招きうるという" -"事を忘れないで下さい。" - msgid "Verified boot" msgstr "検証済みブート" @@ -9503,35 +7654,6 @@ msgstr "" "サーバー上の他のプロセスやユーザーによる権限のないアクセスを防ぐために、所有" "者がデータベースデーモンのユーザーに制限されます。" -msgid "" -"When running a virtual machine, virtual hardware is a software layer that " -"provides the hardware interface for the virtual machine. Instances use this " -"functionality to provide network, storage, video, and other devices that may " -"be needed. With this in mind, most instances in your environment will " -"exclusively use virtual hardware, with a minority that will require direct " -"hardware access. The major open source hypervisors use :term:`QEMU ` for this functionality. While QEMU fills an important need " -"for virtualization platforms, it has proven to be a very challenging " -"software project to write and maintain. Much of the functionality in QEMU is " -"implemented with low-level code that is difficult for most developers to " -"comprehend. Furthermore, the hardware virtualized by QEMU includes many " -"legacy devices that have their own set of quirks. Putting all of this " -"together, QEMU has been the source of many security problems, including " -"hypervisor breakout attacks." -msgstr "" -"仮想マシンの実行時、仮想ハードウェアは仮想マシンにハードウェアインターフェー" -"スを提供するソフトウェア層です。インスタンスは必要となるネットワーク、スト" -"レージ、ビデオ、他のデバイスを提供するためにこの機能を使用します。これで覚え" -"ておくことは、お使いのほとんどのインスタンスは排他的に仮想ハードウェアを使用" -"することです。一部はハードウェアに直接アクセスする必要があります。主要なオー" -"プンソースのハイパーバイザーはこの機能のために :term:`QEMU ` を使用します。QEMU は仮想化プラットフォームのニーズを満たしますが、" -"作成と維持することが非常に挑戦的なソフトウェアプロジェクトであるとわかってき" -"ました。QEMU の機能のほとんどは、多くの開発者が理解しにくい低レベルなコードで" -"実装されています。さらに、QEMU により仮想化されるハードウェアには、独自の癖を" -"持つレガシーデバイスが数多くあります。これを一括りにするので、QEMU はハイパー" -"バイザー突破攻撃を含む多くのセキュリティ問題の元になってきました。" - msgid "" "When scoping OpenStack deployments for compliance purposes, prioritize " "controls around sensitive services, such as command and control functions " @@ -9617,23 +7739,6 @@ msgstr "" "End Entity が証明され、証明書の廃止リストが保存・参照される場所 - 時々 *証明" "バンドル(Certificate bundle)* と呼ばれます。" -msgid "" -"While OpenStack has a baremetal project, a discussion of the particular " -"security implications of running baremetal is beyond the scope of this book." -msgstr "" -"OpenStack はベアメタルのプロジェクトを持ちますが、ベアメタル実行の具体的なセ" -"キュリティ実装に関する議論は本書の範囲外です。" - -msgid "" -"While many hypervisor vendors, such as Red Hat, Microsoft, and VMware have " -"achieved Common Criteria Certification their underlying certified feature " -"set differs. It is recommended to evaluate vendor claims to ensure they " -"minimally satisfy the following requirements:" -msgstr "" -"Red Hat、Microsoft、VMware のような多くのハイパーバイザーベンダーは、Common " -"Criteria 認証を取得していますが、基礎となる機能セットは異なります。以下の要件" -"を最低限確実に満たすために、ベンダーの請求内容を評価することを推奨します。" - msgid "" "While utilizing TLS during the PXE boot process is somewhat more " "challenging, common PXE firmware projects, such as iPXE, provide this " @@ -9736,15 +7841,6 @@ msgstr "XSM" msgid "Xen" msgstr "Xen" -msgid "" -"Xen Project, Xen Security Modules: XSM-FLASK. 2014. `http://wiki.xen.org/" -"wiki/Xen_Security_Modules_:_XSM-FLASK `__" -msgstr "" -"Xen Project, Xen Security Modules: XSM-FLASK. 2014. `http://wiki.xen.org/" -"wiki/Xen_Security_Modules_:_XSM-FLASK `__" - msgid "" "Xen explicitly assigns dedicated memory regions to instances and scrubs data " "upon the destruction of instances (or domains in Xen parlance). KVM depends " @@ -9782,36 +7878,6 @@ msgstr "" "従って、それぞれのOpenStackサービスと他サービスとの通信は明示的に適切な内部" "APIエンドポイントへアクセスするよう構成する必要があります。" -msgid "" -"You should configure your web service as a non-root (no UID 0) user such as " -"\"swift\" mentioned before. The use of a port greater than 1024 is required " -"to make this easy and avoid running any part of the web container as root. " -"Doing so is not a burden as end-point clients are not typically going to " -"type in the URL manually into a web browser to browse around in the object " -"storage. Additionally, for clients using the HTTP REST API and performing " -"authentication they will normally automatically grab the full REST API URL " -"they are to use as provided by the authentication response. OpenStack's REST " -"API allows for a client to authenticate to one URL and then be told to use a " -"completely different URL for the actual service. Example: Client " -"authenticates to https://identity.cloud.example.org:55443/v1/auth and gets a " -"response with their authentication key and Storage URL (the URL of the proxy " -"nodes or load balancer) of https://swift.cloud.example.org:44443/v1/" -"AUTH_8980." -msgstr "" -"これまでに説明したように「swift」のように非 root ユーザー (UID 0 以外) とし" -"て Web サービスを設定すべきです。これを簡単にし、何らかのウェブコンテナーの部" -"分を root として実行することを避けるために、1024 より大きいポートを使用するこ" -"とが必要です。エンドポイントのクライアントは一般的にオブジェクトストレージを" -"ブラウジングするためにウェブブラウザーに手動で URL を入力することがないため、" -"そのようにすることは大変でありません。さらに、HTTP REST API を使用して、認証" -"を実行するクライアントに対して、認証のレスポンスにより提供されるとおり、使用" -"する完全な REST API URL を通常は自動的に取ってきます。OpenStack の REST API " -"により、クライアントがある URL に認証できるようになり、実際のサービスのために" -"別の URL を使用するようにできます。例: クライアントが https://identity.cloud." -"example.org:55443/v1/auth に認証して、それらの認証キーを持つ応答とストレージ" -"の URL (プロキシノードまたは負荷分散装置の URL) https://swift.cloud.example." -"org:44443/v1/AUTH_8980 を取得します。" - msgid "" "You should isolate API endpoint processes from each other and other " "processes on a machine. The configuration for those processes should be " @@ -9868,13 +7934,6 @@ msgstr "" msgid "ZeroMQ or 0MQ" msgstr "ZeroMQ、または、0MQ" -msgid "" -"\\* Features in this table might not be applicable to all hypervisors or " -"directly mappable between hypervisors." -msgstr "" -"\\* この表にある機能はすべてのハイパーバイザーに適用できないかもしれません。" -"また、ハイパーバイザー間で直接対応付けできないかもしれません。" - msgid "`AIDE `__" msgstr "`AIDE `__" @@ -9908,13 +7967,6 @@ msgstr "" msgid "`Apache httpd `_" msgstr "`Apache httpd `_" -msgid "" -"`Cloud Security Alliance (CSA) Common Control Matrix (CCM) `__" -msgstr "" -"`Cloud Security Alliance (CSA) Common Control Matrix (CCM) `__" - msgid "" "`Cloudera CDH `_" @@ -9939,34 +7991,12 @@ msgstr "" "`Hadoop セキュアモードドキュメント `_" -msgid "" -"`Hardening Walkthrough `__" -msgstr "" -"`Hardening Walkthrough `__" - msgid "`Hive `_" msgstr "`Hive `_" msgid "`Hortonworks Data Platform `_" msgstr "`Hortonworks Data Platform `_" -msgid "" -"`How to assign devices with VT-d in KVM `__" -msgstr "" -"`How to assign devices with VT-d in KVM `__" - -msgid "" -"`How to create an RPM package `__" -msgstr "" -"`How to create an RPM package `__" - -msgid "`ISO 27001/2:2013 `__" -msgstr "`ISO 27001/2:2013 `__" - msgid "" "`MapR `_" @@ -10033,9 +8063,6 @@ msgstr "`Pig `_" msgid "`Pound `_" msgstr "`Pound `_" -msgid "`RFC 4253 `__" -msgstr "`RFC 4253 `__" - msgid "" "`RabbitMQ Access Control `__" msgstr "" @@ -10062,13 +8089,6 @@ msgstr "" msgid "`RabbitMQ SSL `__" msgstr "`RabbitMQ SSL `__" -msgid "" -"`SELinux.org Users and Roles Overview `__" -msgstr "" -"`SELinux.org Users and Roles Overview `__" - msgid "`Samhain `__" msgstr "`Samhain `__" @@ -10117,32 +8137,6 @@ msgstr "" msgid "`Tripwire `__" msgstr "`Tripwire `__" -msgid "" -"`Trusted Security Principles `__" -msgstr "" -"`Trusted Security Principles `__" - -msgid "" -"`U.S. NIST FIPS PUB 180-3 `__" -msgstr "" -"`U.S. NIST FIPS PUB 180-3 `__" - -msgid "" -"`U.S. NIST FIPS PUB 186-3 `__" -msgstr "" -"`U.S. NIST FIPS PUB 186-3 `__" - -msgid "`Xen VTd Howto `__" -msgstr "`Xen VTd Howto `__" - msgid "`Zookeeper `_" msgstr "`Zookeeper `_" @@ -10224,31 +8218,6 @@ msgstr "" "``security_group_api`` は全てのセキュリティグループ要求が OpenStack " "Networking を経由するよう、``neutron`` に設定しなければなりません。" -msgid "" -"`http://blogs.vmware.com/security/ `__" -msgstr "" -"`http://blogs.vmware.com/security/ `__" - -msgid "`http://seclists.org/oss-sec `__" -msgstr "`http://seclists.org/oss-sec `__" - -msgid "" -"`http://www.cl.cam.ac.uk/~rja14/Papers/serpent.pdf `__" -msgstr "" -"`http://www.cl.cam.ac.uk/~rja14/Papers/serpent.pdf `__" - -msgid "`http://xenbits.xen.org/xsa/ `__" -msgstr "`http://xenbits.xen.org/xsa/ `__" - -msgid "" -"`https://www.schneier.com/paper-twofish-paper.html `__" -msgstr "" -"`https://www.schneier.com/paper-twofish-paper.html `__" - msgid "allows secure login to nodes and guest VMs" msgstr "ノードおよびゲスト仮想マシンへのセキュアログインの許可" @@ -10258,13 +8227,6 @@ msgstr "apache2" msgid "beam.smp" msgstr "beam.smp" -msgid "" -"blog.malchuk.ru, OpenStack VNC Security. 2013. `Secure Connections to VNC " -"ports `__" -msgstr "" -"blog.malchuk.ru, OpenStack VNC Security. 2013. `Secure Connections to VNC " -"ports `__" - msgid "" "blog.sflow.com, sflow: Host sFlow distributed agent. 2012. http://blog.sflow." "com/2012/01/host-sflow-distributed-agent.html"