Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
Windows マスターサーバーでの検証項目
この項では、次の手順について説明します。
Windows マスターサーバー設定を検証します。
認可の照合が許可されているコンピュータを検証します。
データベースが正しく構成されていることを検証します。
nbatd および nbazd プロセスが実行されていることを検証します。
ホストプロパティが正しく構成されていることを検証します。
次の表に、Windows マスターサーバーでの検証手順を示します。
表: Windows マスターサーバーでの検証手順
手順 | 説明 |
|---|---|
Windows マスターサーバー設定の検証 | ホストが登録されているドメイン (プライマリ認証ブローカーが存在する場所) を判断できます。 または、証明書に示されているコンピュータの名前を判別することもできます。bpnbat に -whoami を指定して実行し、ホストのクレデンシャルファイルを指定します。サーバークレデンシャルは、 例: bpnbat -whoami -cf
"c:\Program
Files\Veritas\Netbackup\var\vxss\credentials\
win_master"
Name: win_master.company.com
Domain: NBU_Machines@win_master.company.com
Issued by: /CN=broker/OU=root@win_master.company.com/
O=vx
Expiry Date: Oct 31 20:17:51 2007 GMT
Authentication method: Veritas Private Security
Operation completed successfully.表示されたドメインが NBU_Machines@win_master.company.com でない場合、対象の名前 (win_master) に対して bpnbat -addmachine を実行することを検討してください。 このコマンドは、NBU_Machines ドメインとして機能する認証ブローカーのコンピュータ (win_master) で実行します。 次に、証明書を配置するコンピュータ (win_master) 上で、次のコマンドを実行します。 bpnbat -loginmachine メモ: ユーザーのクレデンシャルの期限を判断する場合、有効期限がローカル時間ではなく GMT で表示されることに注意してください。 メモ: この検証の残りの手順では、コンソールウィンドウからコマンドを実行することを想定しています。また、そのウィンドウから、対象のユーザー識別情報で bpnbat -login が実行されていることを想定しています。このユーザーは、NBU_Security Admin のメンバーであると識別されます。この識別情報は、通常、セキュリティが設定された最初の識別情報です。 |
認証ブローカーに存在するコンピュータの検証 | 認証ブローカーに存在するコンピュータを検証するには、管理者グループのメンバーでログオンし、次のコマンドを実行します。 bpnbat -ShowMachines このコマンドを実行すると、bpnbat -AddMachine を実行したコンピュータが示されます。 メモ: ホストがリストに表示されない場合、マスターから bpnbat -AddMachine を実行します。その後、対象のホストから bpnbat -loginMachine を実行します。 |
認可の照合が許可されているコンピュータの検証 | 認可の照合が許可されているコンピュータを検証するには、管理者グループのメンバーでログオンし、次のコマンドを実行します。 bpnbaz -ShowAuthorizers このコマンドを実行すると、win_master および win_media (マスターサーバーおよびメディアサーバー) が認可を照合する権限を所有していることが示されます。両方のサーバーが、同じプライベートドメイン (ドメイン形式 vx)、NBU_Machines@win_master.company.com に対して認証されていることに注意してください。 メモ: このコマンドは、ローカル管理者または root ユーザーで実行します。ローカル管理者は、NBU_Security Admin ユーザーグループのメンバーである必要があります。 bpnbaz -ShowAuthorizers
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@win_master.company.com
Name: win_master.company.com
==========
Type: User
Domain Type: vx
Domain:NBU_Machines@win_master.company.com
Name: win_media.company.com
Operation completed successfully.認可済みコンピュータのリストにマスターサーバーまたはメディアサーバーが表示されない場合、bpnbaz -allowauthorization server_name を実行して、表示されていないコンピュータを追加します。 |
データベースが正しく構成されていることの検証 | データベースが正しく構成されていることを検証するには、bpnbaz -listgroups を実行します。 bpnbaz -listgroups
NBU_Operator
NBU_Admin
NBU_SAN Admin
NBU_User
NBU_Security Admin
Vault_Operator
Operation completed successfully.グループが表示されない場合または bpnbaz -listmainobjects を実行してもデータが戻されない場合は、bpnbaz -SetupSecurity の実行が必要になる場合があります。 |
nbatd および nbazd プロセスが実行されていることの検証 | Windows のタスクマネージャを使用して、指定したホスト上で nbatd.exe および nbazd.exe が実行されていることを確認します。必要に応じて、これらのプロセスを起動します。 |
ホストプロパティが正しく構成されていることの検証 | [アクセス制御 (Access Control)]ホストプロパティで、[NetBackup Product Authentication and Authorization]プロパティが正しく設定されていることを検証します。 この設定は、すべてのコンピュータが NetBackup Authentication and Authorization を使うかどうかによって[自動 (Automatic)]または[必須 (Required)]のいずれかにする必要があります。 すべてのコンピュータで NetBackup Authentication and Authorization が使用されているわけではない場合は、[自動 (Automatic)]に設定します。 また、ホストプロパティは、次のレジストリで USE_VXSS を参照して確認することもできます。 HKEY_LOCAL_MACHINE\Software\Veritas\NetBackup\ CurrentVersion\config. 図: ホストプロパティの設定に、[認証 (Authentication)]ドメインタブのホストプロパティの設定例を示します。 [アクセス制御 (Access Control)]ホストプロパティで、表示された認証ドメインの綴りが正しいこと、およびドメインが適切なサーバー (有効な認証ブローカー) を示していることを確認します。 すべてのドメインが Windows ベースである場合、ドメインは、認証ブローカーを実行している Windows コンピュータを示している必要があります。 |
次の図に、[認証 (Authentication)]ドメインタブのホストプロパティの設定を示します。
