Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
NetBackup の配備設定では、特定の Web ポートのみを介して通信が行われる非武装地帯 (DMZ) にクライアントコンピュータを置くことができます。
すべての NetBackup クライアントは、セキュリティ証明書を配備し、ピアを認証して接続を保護するために、マスターサーバーの Web 管理サービスと通信できる必要があります。たとえば、NetBackup クライアントは、マスターサーバーに証明書を配備するために要求を送信します。これは、NetBackup の安全な通信のために不可欠です。DMZ 設定では、クライアントは Web サービス要求をマスターサーバーに直接送信できない場合があります。この場合、NetBackup クライアントは HTTP CONNECT プロキシ方式によって、メディアサーバー上の HTTP トンネルに接続要求と Web サービス要求を送信します。HTTP トンネルは接続要求を受け入れ、Web サービス要求をマスターサーバーに転送します。
HTTP トンネリング機能により、DMZ の NetBackup クライアントが Web サービス要求をマスターサーバーに送信できます。NetBackup メディアサーバーは、Web サービス要求を NetBackup クライアントからマスターサーバーに転送する HTTP トンネルを形成します。また、Web サービス通信では SSL (Secure Socket Layer) が使用されます。
メモ:
メディアサーバーのポート番号 1556 は、Web サービス要求を送信するために NetBackup クライアントからアクセスできる必要があります。
単一ドメインまたはマルチドメイン環境で、DMZ の NetBackup クライアントがマスターサーバーへの Web サービス接続要求の送信を試みるときは、次の特定の順序に従います。
表: 接続要求を送信するための順序
|
順序 |
説明 |
|---|---|
|
1. NetBackup クライアントが、マスターサーバーへの接続要求の直接送信を試みます。 |
DMZ では、Web サービス接続要求が成功しない可能性があります。 |
|
2. 直接接続に失敗すると、クライアントは HTTP トンネリングを使用して Web サービス接続要求をマスターサーバーに送信するようにメディアサーバーが指定されているかどうかを確認します。 |
NetBackup クライアントが Web サービス接続の送信に使用できる優先メディアサーバーを定義できます。 Windows クライアントのレジストリまたは UNIX クライアントの 詳しくは、『NetBackup 管理者ガイド Vol. 1』で NetBackup クライアントの WEB_SERVER_TUNNEL オプションに関するセクションを参照してください。 |
|
3. メディアサーバーが指定されていない場合、クライアントは NetBackup 構成で利用可能なメディアサーバーのリストを参照し、それらを使用して Web サービス接続要求を送信します。 |
NetBackup クライアントは、以前に成功した接続に基づいて自動的に更新されるメディアサーバーのリストを含む、内部キャッシュファイル ( |
HTTP トンネル機能の構成のために、次の追加オプションを使用できます。
WEB_SERVER_TUNNEL_USE: このオプションを NetBackup クライアントで使用することで、HTTP トンネルを使用してデフォルトの通信の動作を構成できます。
WEB_SERVER_TUNNEL_ENABLE: デフォルトでは、HTTP トンネルはメディアサーバーで有効になっています。このオプションをメディアサーバーで使用して、HTTP トンネル機能を無効にすることができます。
詳しくは、『NetBackup 管理者ガイド Vol. 1』を参照してください。
NetBackup クライアント構成にドメイン内のメディアサーバーに関する情報が含まれていない場合は、マスターサーバーで nbsetconfig コマンドを実行します。Windows クライアント上のレジストリまたは UNIX クライアント上の
bp.confファイルには、クライアントが接続要求および Web サービス要求を送信するために選択したマスターサーバーおよびメディアサーバーが含まれています。DMZ の NetBackup クライアントで nbcertcmd -getCertificate コマンドを使用すると、次のいずれかのエラーが表示される場合があります。
終了状態 5955: ホスト名がマスターサーバーに認識されていません。(EXIT STATUS 5955: The host name is not known to the master server.)
終了状態 5954: ホスト名を要求元ホストの IP アドレスに解決することができませんでした。(EXIT STATUS 5954: The host name could not be resolved to the requesting host's IP address.)
マスターサーバーは、HTTP トンネルの IP アドレスと証明書を要求するホストの ID を照合できないため、トークンを使用してセキュリティ証明書を配備します。
HTTP トンネルを使用して証明書要求をマスターサーバーに送信する場合、NetBackup 監査レポートはメディアサーバーをユーザーとしてリストします。