Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
NetBackup アクセス制御 (NBAC)
NetBackup アクセス制御 (NBAC) 機能は、NetBackup に NetBackup Product Authentication and Authorization を組み込んで、マスターサーバー、メディアサーバー、およびクライアントのセキュリティを高めます。
NetBackup セキュリティおよび暗号化についてを参照してください。
次に、NBAC に関する重要事項を示します。
認証および認可は組み合わせて使用します。
NBAC は信頼できるソースからの認証 ID を使用して、関連のあるパーティを確実に識別します。これらの ID に基づき、NetBackup 操作に対するアクセスが決定されます。NetBackup Security Services が組み込まれていることに注意してください。
NetBackup Product Authentication and Authorization は、ルートブローカー、認証ブローカー、認可エンジンおよびグラフィカルユーザーインターフェースで構成されています。
Oracle、Oracle Archiver、DB2、Informix、Sybase、SQL Server、SAP および EV Migrator は NBAC でサポートされません。
NBAC はアプライアンスでサポートされません。
NetBackup カタログバックアップは NBAC でサポートされます。
次の表は、セキュリティで使われる NetBackup コンポーネントを記述したものです。
表: セキュリティで使われる NetBackup コンポーネント
コンポーネント | 説明 |
|---|---|
ルートブローカー | データセンターのインストールでは、NetBackup マスターサーバーがルートブローカーです。 別のルートブローカーを使うためのプロビジョニングは必要ありません。ルートブローカー間の信頼を許可することをお勧めします。 ルートブローカーは認証ブローカーを認証します。ルートブローカーはクライアントを認証しません。 |
認証ブローカー | マスターサーバー、メディアサーバー、GUI およびクライアントのそれぞれにクレデンシャルを設定して認証します。 認証ブローカーは、コマンドプロンプトを操作するユーザーも認証します。 データセンターのインストールでは、複数の認証ブローカーを配置できます。 認証ブローカーをルートブローカーと組み合わせて使用することもできます。 |
認可エンジン | マスターサーバーおよびメディアサーバーと通信して、認証済みユーザーの権限を決定します。これらの権限によって、指定したサーバーで利用可能な機能が決まります。また、認可エンジンには、ユーザーグループおよび権限が格納されます。データセンターのインストールには、認可エンジンが 1 つのみ必要です。 認可エンジンは WAN を介して通信し、複数のデータセンター環境にある他のメディアサーバーを認可します。 |
グラフィカルユーザーインターフェース (GUI) | 認証ブローカーからクレデンシャルを受信するリモート管理コンソールを示します。 GUI は受け取ったクレデンシャルを使用して、クライアント、メディアサーバーおよびマスターサーバーの機能へのアクセス権を取得できます。 |
MSEO | メディアサーバーによってテープに書き込まれるデータを暗号化 (格納データの暗号化) するソフトウェア装置である MSEO (Media Server Encryption Option) を指定します。MSEO ではクライアント側の暗号化が代行されるため、クライアントの CPU 処理負荷を軽減できます。 |
マスターサーバー | ルートブローカー、認証ブローカー、GUI、認可エンジン、メディアサーバーおよびクライアントと通信します。 |
NetBackup 管理者 | データセンター内部から NetBackup 機能に対してアクセスおよび管理を行う管理者権限が付与されているユーザーを示します。 |
メディアサーバー | マスターサーバー、ルートブローカー、認証ブローカー、認可エンジン、MSEO および 1 から 6 までのクライアントと通信します。メディアサーバーは、クライアント 5 の暗号化されていないデータと、クライアント 6 の暗号化されたデータをテープに書き込みます。 |
クライアント | クライアント 1 から 4 までは、標準的な NetBackup 形式です。クライアント 5 は、DMZ に配置されている Web サーバー形式です。 クライアント 6 は、クライアント側で暗号化を行う形式のクライアントで、同じく DMZ に配置されています。いずれの形式のクライアントもマスターサーバーによって管理され、クライアントのデータはメディアサーバーによってテープにバックアップされます。クライアント 5 および 6 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。また、クライアント 5 は HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットからの接続を受信します。 |
テープ | NetBackup のテープセキュリティは、次の機能を追加することによって強化できます。
暗号化されていないデータおよび暗号化されているデータのテープはデータセンターで作成されます。 1 から 5 までのクライアントの場合は、暗号化されていないテープデータが書き込まれ、データセンターのオンサイトに格納されます。 クライアント 6 の場合は、暗号化されたテープが書き込まれ、ディザスタリカバリ保護に使用するためオフサイト Vault に発送されます。 |
暗号化 | NetBackup の暗号化は、次のようにセキュリティを高めることができます。
暗号化についての詳細 暗号化セキュリティについて考慮する際の質問を参照してください。 |
回線上のデータセキュリティ | マスターサーバー、メディアサーバー、クライアント間の通信およびポートを使用してファイアウォールを通過する通信と WAN を介した通信が含まれます。 ポートについての詳細 NetBackup TCP/IP ポートについてを参照してください。 NetBackup では、次の手段を使用して、回線上のデータのセキュリティを強化することができます。
|
ファイアウォールセキュリティ | NetBackup のファイアウォールサポートはセキュリティを高めるうえで役立ちます。 ファイアウォールのセキュリティに関する重要事項を次に示します。
|
非武装地帯 (DMZ) | 非武装地帯 (DMZ) は、次のようにセキュリティを高めます。
DMZ は、内部ファイアウォールと外部ファイアウォールの間の Web サーバークライアント 5 および暗号化クライアント 6 に対して「安全な」操作領域を提供します。 DMZ 内の Web サーバークライアント 5 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。 また、Web サーバークライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。 図: ファイアウォールおよび DMZ の例 に、DMZ を持つ内部ファイアウォールと外部ファイアウォールの例を示します。 |
次の画像は DMZ を持つ内部ファイアウォールと外部ファイアウォールの例を示します。
