Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
すべての NetBackup セキュリティを使用する複数のデータセンター
すべての NetBackup セキュリティを使用する複数のデータセンターは、中規模から大規模な (50 を超える) ホストのグループとして定義されます。これらのホストは、地理的に 2 か所以上の地域にまたがり、WAN (ワイドエリアネットワーク) で接続することができます。この例では、データセンターの 1 つはロンドンにあり、もう 1 つは東京にあります。両方のデータセンターは、専用の WAN 接続を介して接続されています。
この例では、前述のすべての例が組み合わされています。これは、非常に高度な環境であり、様々なクライアントに対して要件が異なる場合があります。クライアントの要件によっては、ホスト以外での暗号化が必要になることもあります (ホストのリソースが不足している場合やデータベースのバックアップ時など)。また、クライアントの要件によっては、ホスト上のデータの機密性を確保するためにホストでの暗号化が必要になることもあります。NBAC をセキュリティ構成に追加することで、NetBackup 内で管理者、オペレータ、およびユーザーを分離することができます。
すべての NetBackup セキュリティを使用する複数のデータセンターには、次の特徴があります。
NetBackup は WAN を介して地理的に 2 か所以上の地域にまたがる
個々のオプションの特徴については、前述の複数のデータセンターに関する項を参照
最も柔軟性のある複雑な環境である
類似モデルに従って綿密に設計することで、各オプションの長所を使用できる
図: すべての NetBackup セキュリティを使用する複数のデータセンター に、すべての NetBackup セキュリティを使用する複数のデータセンターの例を示します。
次の表に、すべての NetBackup セキュリティを実装した複数のデータセンターで使われる NetBackup の構成要素を示します。
表: すべての NetBackup セキュリティを実装した複数のデータセンターにおける NetBackup の構成要素
構成要素 | 説明 |
|---|---|
ロンドンのデータセンター | ルートブローカー、認証ブローカー 1、GUI 1 が含まれます。また、認可エンジン、マスターサーバー、メディアサーバー 1、MSEO 1、クライアント 1 から 6、トランスポート、オフサイト Vault も含まれます。また、クライアント 1、2、3、6、7 の暗号化されたデータテープと、クライアント 4、5 の暗号化されていないデータテープが含まれます。ロンドンのデータセンターは、専用の WAN 接続を介して東京のデータセンターに接続されます。 |
東京のデータセンター | 認証ブローカー 2、GUI 2、メディアサーバー 2、MSEO 2、クライアント 7 から 12、トランスポート、オフサイト Vault が含まれます。また、クライアント 7、8、9、12 の暗号化されたデータテープと、クライアント 10、11 の暗号化されていないデータテープが含まれます。東京のデータセンターは、専用の WAN 接続を介してロンドンのデータセンターに接続されます。 |
WAN (ワイドエリアネットワーク) | 東京のデータセンターにロンドンのデータセンターを接続する専用の WAN リンクです。WAN によって、ルートブローカー/認証ブローカー 1 と認証ブローカー 2 が接続されます。さらに、ルートブローカー/認証ブローカー 1 と GUI 2/メディアサーバー 2 も接続されます。また、WAN によって、認可エンジンはメディアサーバー 2 に接続されます。マスターサーバーは GUI 2、メディアサーバー 2、クライアント 7 から 12 に接続されます。メディアサーバー 1 はクライアント 7 に接続されます。 |
マスターサーバー | マスターサーバーは、ロンドンのデータセンターにあり、ルートブローカー/認証ブローカー 1、GUI 1、認可エンジン、メディアサーバー 1、クライアント 1 から 6 と通信します。また、東京の GUI 2、メディアサーバー 2、クライアント 7 から 12 とも通信します。 |
メディアサーバー | この複数のデータセンターの例では、2 つのメディアサーバーを設定できます。メディアサーバー 1 はロンドンのデータセンターにあり、メディアサーバー 2 は東京のデータセンターにあります。ロンドンのメディアサーバー 1 は、マスターサーバー、ルートブローカー/認証ブローカー 1 と通信します。また、認可エンジン、MSEO 1、クライアント 1 から 6、7 とも通信します。メディアサーバー 1 は、クライアント 4、5 用に暗号化されないデータをテープに書き込み、クライアント 1 から 6 用に暗号化されたデータをテープに書き込みます。 東京のメディアサーバー 2 は、WAN を介してロンドンのマスターサーバー、ルートブローカー/認証ブローカー 1 および認可エンジンと通信します。また、東京の MSEO 2、GUI 2、クライアント 7 から 12 とも通信します。メディアサーバー 2 は、クライアント 10、11 の暗号化されていないデータをテープに書き込み、クライアント 7、8、9、12 の暗号化されたデータをテープに書き込みます。 |
GUI | この複数のデータセンターの例では、2 つの GUI を設定できます。GUI 1 はロンドン、GUI 2 は東京にあります。これらのリモート管理コンソール GUI は、認証ブローカーからクレデンシャルを受信します。GUI は受け取ったクレデンシャルを使用して、メディアサーバーおよびマスターサーバーの機能へのアクセス権を取得します。ロンドンの GUI 1 は、認証ブローカー 1 からクレデンシャルを受信します。GUI 1 には、マスターサーバーおよびメディアサーバー 1、2 の機能へのアクセス権が付与されます。東京の GUI 2 は、認証ブローカー 2 からクレデンシャルを受信します。GUI 2 には、マスターサーバーおよびメディアサーバー 1、2 の機能へのアクセス権が付与されます。 |
ルートブローカー | 複数のデータセンターのインストールには、ルートブローカーが 1 つ必要です。ルートブローカーは、認証ブローカーと組み合わせて使用することもできます。この例では、ルートブローカーと認証ブローカーは同じコンポーネントとして示され、ロンドンのデータセンターに配置されています。ロンドンにあるルートブローカーは、ロンドンの認証ブローカー 1 と、東京の認証ブローカー 2 を認証します。ルートブローカーはクライアントを認証しません。 |
認証ブローカー | データセンターのインストールでは、複数の認証ブローカーを配置できます。認証ブローカーをルートブローカーと組み合わせて使用することもできます。このデータセンターのインストールでは、2 つの認証ブローカーが使用されています。認証ブローカーは、マスターサーバー、メディアサーバー、GUI およびクライアントに対してそれぞれクレデンシャルを設定し、認証します。認証ブローカーは、コマンドプロンプトを使用するユーザーも認証します。ロンドンの認証ブローカー 1 は、マスターサーバー、メディアサーバー 1、GUI 1、クライアント 1 から 6 のクレデンシャルを認証します。東京とロンドンにあるすべての NetBackup サーバーとクライアントは、ロンドンの認証ブローカー 1 で認証が行われます。GUI 1 はロンドンの認証ブローカー 1 で認証が行われます。GUI 2 は東京の認証ブローカー 2 で認証が行われます。 |
認可エンジン | 複数のデータセンターのインストールには、認可エンジンが 1 つのみ必要です。認可エンジンは、マスターサーバーおよびメディアサーバーと通信して、認証されたユーザーの権限を決定します。これらの権限によって、ユーザーが利用できる機能が決まります。また、認可エンジンには、ユーザーグループおよび権限が格納されます。認可エンジンはロンドンに存在し、マスターサーバー、メディアサーバー 1 と通信します。また、認可エンジンは、WAN を介して通信を行い、東京のメディアサーバー 2 へのアクセス権を認可します。 メモ: 認可エンジンは、デーモンプロセスとしてマスターサーバーに存在します。この図では、例に示すために個別のイメージとして示しています。 |
テープ | 暗号化されていないデータテープおよび暗号化されたデータテープが、ロンドンと東京のデータセンターで作成されます。ロンドンでは、クライアント 4、5 用に、暗号化されていないテープが書き込まれ、ロンドンのデータセンターのオンサイトに格納されます。クライアント 1、2、3、6、7 用には、暗号化されたテープが書き込まれます。暗号化されたテープは、ディザスタリカバリに備えてロンドンのオフサイト Vault に発送されます。東京では、クライアント 10、11 用に、暗号化されていないテープが書き込まれ、東京のデータセンターのオンサイトに格納されます。クライアント 7、8、9、12 用には、暗号化されたテープが書き込まれます。暗号化されたテープは、ディザスタリカバリ保護用に東京のオフサイト Vault に発送されます。クライアント 7 は東京に存在し、東京でバックアップされますが、さらにセキュリティとバックアップの冗長性を高めるためにロンドンでもバックアップされます。 メモ: データを復号化するには、そのデータの暗号化に使用した鍵が利用可能である必要があります。 |
トランスポート | トランスポートを 2 つ設定できます。1 つはロンドン、もう 1 つは東京にあります。ロンドンのトランスポートトラックにより、クライアント 1、2、3、6、7 の暗号化されたテープは、セキュリティ保護されたロンドンのオフサイト Vault 施設に運ばれます。東京のトランスポートトラックにより、クライアント 7、8、9、12 の暗号化されたテープは、セキュリティ保護された東京のオフサイト Vault 施設に運ばれます。クライアント 7 のバックアップコピーは、ロンドンと東京の両方の Vault に格納されることに注意してください。 メモ: 輸送中にテープが失われた場合でも、データセンターの管理者は、データをクライアント側で暗号化することでデータの漏洩リスクを軽減することができます。 |
オフサイト Vault | オフサイト Vault を 2 つ配置できます。1 つはロンドン、もう 1 つは東京にあります。どちらの Vault も、暗号化されたテープを格納する安全な施設であり、それぞれのデータセンターとは別の場所に存在します。 メモ: 暗号化されたテープをデータセンターから離れた場所に格納することで、ディザスタリカバリ保護が向上します。 |
クライアント | クライアントは、ロンドンと東京の両方のデータセンターに配置されています。ロンドンの場合、クライアント 1 から 3 は、MSEO による暗号化形式です。クライアント 4 は、標準的な NetBackup 形式です。クライアント 5 は、DMZ に配置されている Web サーバー形式です。クライアント 6 は、クライアント側で暗号化を行う形式のクライアントで、同じく DMZ に配置されています。いずれの形式のクライアントもマスターサーバーによって管理され、クライアントのデータはメディアサーバー 1 によってテープにバックアップされます。クライアント 5 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。また、クライアント 5 は HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットからの接続を受信します。 東京の場合、クライアント 7 から 9 は、MSEO による暗号化形式です。クライアント 10 は、標準的な NetBackup 形式です。クライアント 11 は、DMZ に配置されている Web サーバー形式です。クライアント 12 は、クライアント側で暗号化を行う形式のクライアントで、同じく DMZ に配置されています。すべての形式のクライアントはマスターサーバーによって管理でき、クライアントのデータはメディアサーバー 2 を介してテープにバックアップされます。クライアント 7 は、メディアサーバー 1 と 2 の両方から管理できることに注意してください。クライアント 11 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。また、クライアント 11 は HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットからの接続を受信します。 |
内部ファイアウォール | この複数のデータセンターの例では、2 つの内部ファイアウォールがあります。1 つはロンドン、もう 1 つは東京にあります。ロンドンの場合、NetBackup は、内部ファイアウォールを通過して DMZ 内の Web サーバークライアント 5 と暗号化クライアント 6 にアクセスできます。東京の場合、NetBackup は、内部ファイアウォールを通過して DMZ 内の Web サーバークライアント 11 と暗号化クライアント 12 にアクセスできます。選択された NetBackup ポートおよび他のアプリケーションポート (可能な場合) のみが、内部ファイアウォールを通過して DMZ とのデータ通信を行うことができます。外部ファイアウォールで開かれている HTTP ポートは、内部ファイアウォールを通過できません。 |
非武装地帯 (DMZ) | この複数のデータセンターの例では、2 つの DMZ を設定できます。1 つはロンドン、もう 1 つは東京にあります。ロンドンの DMZ は、Web サーバークライアント 5 および暗号化クライアント 6 に対して「安全な」操作領域を提供します。これらのクライアントは、内部ファイアウォールと外部ファイアウォールの間に存在します。DMZ 内の Web サーバークライアント 5 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。また、Web サーバークライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。 東京の DMZ は、Web サーバークライアント 11 および暗号化クライアント 12 に対して「安全な」操作領域を提供します。これらのクライアントは、内部ファイアウォールと外部ファイアウォールの間に存在します。DMZ 内の Web サーバークライアント 11 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。また、Web サーバークライアント 11 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。 |
外部ファイアウォール | この複数のデータセンターの例では、2 つの外部ファイアウォールを設定できます。1 つはロンドン、もう 1 つは東京にあります。ロンドンでは、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 5 にアクセスできます。NetBackup ポートは Web サーバークライアント 5 に対して開かれており、内部ファイアウォールを通過して NetBackup と通信できます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 5 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。 東京では、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 11 にアクセスできます。NetBackup ポートは Web サーバークライアント 11 に対して開かれており、内部ファイアウォールを通過して NetBackup と通信できます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 11 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。 |
インターネット | インターネットは 1 つしかありませんが、この複数のデータセンターの例では 2 つのインターネット接続があります。1 つはロンドン、もう 1 つは東京にあります。インターネットは、相互に接続されたコンピュータネットワークの集まりで、銅線、ファイバー光ケーブル、および無線接続によってリンクされています。ロンドンでは、Web サーバークライアント 5 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。東京では、Web サーバークライアント 11 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。 |