Guide de sécurité et de chiffrement NetBackup™
- Informations préliminaires pour les communications sécurisées dans NetBackup
- Scénarios d'échec de communication
- Augmentation de la sécurité dans NetBackup
- Modèles de déploiement de la sécurité
- Audit des opérations NetBackup
- Événements d'audit
- Section I. Gestion des identités et des accès
- À propos de la gestion des identités et des accès
- Domaines AD et LDAP
- Clés d'accès
- Clés d'API
- Fichier auth.conf
- Contrôle d'accès basé sur les rôles
- Carte à puce ou certificat numérique
- Authentification unique (SSO)
- Audit amélioré
- Configuration d'audit amélioré
- Sécurité de NetBackup Access Control (NBAC)
- Configuration de NBAC (NetBackup Access Control)
- Configuration des propriétés de l'hôte de contrôle d'accès pour le serveur maître et de médias
- Boîte de dialogue Propriétés d'hôte du contrôle d'accès pour le client
- Dépannage de la gestion de l'accès
- Points de vérification de Windows
- Points de vérification UNIX
- Points de vérification dans un environnement mixte avec un serveur maître UNIX
- Points de vérification dans un environnement mixte avec un serveur maître Windows
- Détermination de l'accès à NetBackup
- Affichage des autorisations d'utilisateur particulières des groupes d'utilisateurs NetBackup
- Section II. Chiffrement des données en transit
- Autorité de certification NetBackup et certificats NetBackup
- À propos des utilitaires de gestion de la sécurité
- À propos de la gestion des hôtes
- Ajout de mappages partagés ou de cluster
- Autoriser ou ne pas autoriser le renouvellement de certificat automatique
- À propos des paramètres de sécurité globale
- À propos des certificats basés sur le nom d'hôte
- À propos des certificats basés sur l'ID d'hôte
- À l'aide de l'utilitaire de gestion de certificat pour émettre et déployer des certificats basés sur l'ID d'hôte
- À propos des niveaux de sécurité de déploiement de certificats NetBackup
- Installation de la confiance avec le serveur maître (Autorité de certification)
- Renouvellement des certificats basés sur l'ID d'hôte
- À propos de la gestion des jetons pour les certificats basés sur l'ID d'hôte
- À propos de la liste de révocations des certificats basés sur l'ID d'hôte
- Révocation de certificats basés sur l'ID d'hôte
- Déploiement de certificat basé sur l'ID d'hôte dans une configuration en cluster
- Déploiement d'un certificat basé sur un ID d'hôte sur un hôte NetBackup en cluster
- Migration de l'autorité de certification NetBackup
- Configuration du chiffrement des données en transit (DTE)
- Configuration du mode DTE sur un client
- Modification du mode DTE d'une image de sauvegarde
- Fonctionnement des paramètres de configuration DTE dans différentes opérations NetBackup
- Autorité de certification externe et certificats externes
- A propos de la prise en charge d'une autorité de certification externe dans NetBackup
- Options de configuration pour les certificats signés par une autorité de certification externe
- ECA_CERT_PATH pour les serveurs et clients NetBackup
- À propos des listes de révocation des certifications pour l'autorité de certification externe
- À propos de l'inscription de certificats
- Configuration d'un certificat externe pour le serveur Web NetBackup
- À propos de la configuration de certificat externe pour un serveur maître en cluster
- Régénération de clés et de certificats
- Autorité de certification NetBackup et certificats NetBackup
- Section III. Chiffrement des données au repos
- Sécurité du chiffrement des données au repos
- A propos du chiffrement de client NetBackup
- Configuration du chiffrement standard sur des clients
- Configuration de chiffrement standard à partir du serveur
- Configuration du chiffrement hérité sur les clients
- A propos de la configuration du chiffrement hérité à partir du client
- Configuration du chiffrement hérité du serveur
- Degré de sécurité de fichier de clé hérité supplémentaire pour clients UNIX
- Service Gestion des clés NetBackup
- À propos de KMS conforme à la norme FIPS
- Installation du KMS
- Configuration de KMS
- Groupes de clés et enregistrements de clé
- Présentation des états d'enregistrement de clé
- Configuration de NetBackup pour fonctionner avec le KMS
- Utilisation de KMS pour le chiffrement
- Éléments constitutifs d'une base de données KMS
- Commandes de l'interface de ligne de commande (CLI)
- A propos de l'exportation et de l'importation de clés à partir de la base de données KMS
- Dépannage du KMS
- Service Gestion des clés externe
- Configuration des informations d'authentification du KMS
- Configuration du KMS
- Création de clés dans un KMS externe
- Utilisation de plusieurs serveurs KMS
- Sécurité du chiffrement des données au repos
- Conformité FIPS dans NetBackup
- Configuration du mode FIPS dans votre domaine NetBackup
- Pour désactiver le mode FIPS pour NetBackup
- Compte de services Web NetBackup
- Exécution de services NetBackup avec un compte utilisateur sans privilège (utilisateur du service)
- À propos d'un compte utilisateur du service NetBackup
- Immuabilité et ineffaçabilité des données dans NetBackup
- Détection d'anomalies de sauvegarde
- À propos de la détection des anomalies de sauvegarde
- Détection de malwares
- À propos de l'analyse antimalware
À propos de l'audit amélioré
Avec l'audit amélioré, les administrateurs NetBackup peuvent déléguer les droits administrateur NetBackup à d'autres utilisateurs désignés. La fonction permet ainsi aux utilisateurs non-racine de gérer NetBackup. Les journaux d'audit saisissent des informations sur l'utilisateur actif qui apporte des modifications à l'environnement NetBackup. Elles aident les sociétés à suivre les informations de clés au sujet de l'activité utilisateur qui est importante pour les exigences de conformité d'audit. En particulier, il s'agit d'une fonction que les clients des secteurs fortement réglementés trouvent utile.
L'audit amélioré n'est pas pris en charge sur les appliances NetBackup, NetBackup Flex Scale et sur les appliances Flex.
Remarque :
Tout échec d'autorisation est également audité à l'aide de l'audit amélioré.
Par défaut, seul un utilisateur racine ou un administrateur peut exécuter des opérations NetBackup par le biais de l'interface de ligne de commande. Cependant, avec NetBackup configuré pour l'audit amélioré et avec les droits administrateur NetBackup appropriés, les utilisateurs peuvent exécuter des opérations NetBackup par le biais de l'interface de ligne de commande. L'audit amélioré fournit le contrôle d'accès brut où l'utilisateur est un administrateur ou non.
Remarque :
NBAC et l'audit amélioré sont des fonctions qui s'excluent mutuellement.
Remarque :
Pour l'instant, la prise en charge de l'audit amélioré est disponible pour les opérations de l'utilisateur telles que les politiques NetBackup, les travaux, les unités de stockage, les pools de disques, les serveurs de stockage, les catalogues et les propriétés d'hôte, le déploiement de certificat et la génération de jeton.
Le tableau suivant présente les commandes où les actions de l'utilisateur sont auditées avec l'audit amélioré :
Tableau : Commandes et catégories prises en charge pour l'audit amélioré
Catégorie | Commandes |
---|---|
Politique | bpplcatdrinfo, bpplclients, bppldelete, bpplinclude, bpplinfo, bppllist, bpplsched, bpplschedrep, bpplschedwin, bpplvalid, bppolicynew |
Travaux | bpdbjobs |
Unité de stockage | bpstuadd, bpstuddel, bpsturep, bpstulist |
Pool de disques | nbdevconfig and nbdevquery |
Serveurs de stockage | nbdevconfig and nbdevquery |
Catalogues | bpexpdate, bpcatlist, bpimmedia, bpimagelist, bpverify, and nbdeployutil |
Propriétés de l'hôte | bpconfig, bpsetconfig, bpgetconfig, nbsetconfig, nbgetconfig, and nbemmcmd |
Jetons de sécurité | createToken, deleteToken, and cleanupToken |
Certificats | getCertificate, revokeCertificate, signCertificate, and renewCertificate |