Guide de sécurité et de chiffrement NetBackup™
- Informations préliminaires pour les communications sécurisées dans NetBackup
- À propos de la communication sécurisée dans NetBackup
- Déploiement de certificats signés par l'autorité de certification NetBackup (ou de certificats basés sur l'ID d'hôte) pendant l'installation
- Fonctionnement de la communication sécurisée avec les nœuds d'un cluster d'un serveur maître
- À propos des clients NetBackup installés sur les nœuds d'une application en cluster
- Déploiement de certificats NetBackup sur les hôtes pendant les mises à niveau
- Quand un jeton d'autorisation est requis lors du déploiement de certificats
- Pourquoi il faut associer les noms d'hôte (ou adresses IP) aux ID d'hôte
- Réinitialisation des attributs d'hôte ou de l'état de la communication d'hôte
- Modifications apportées à la récupération de catalogue
- Modifications apportées à Auto Image Replication
- Fonctionnement des hôtes avec des certificats révoqués
- Les certificats NetBackup sont-ils sauvegardés ?
- Configuration de certificats externes pour le serveur maître
- Fonctionnement de la communication sécurisée avec les nœuds de cluster d'un serveur maître lorsque des certificats externes sont utilisés
- Fonctionnement des listes de révocation pour les certificats externes
- Processus de communication lorsqu'un hôte ne peut pas se connecter directement au serveur maître
- Communication des hôtes NetBackup 8.1 ou version ultérieure avec les hôtes NetBackup 8.0 et versions antérieures
- Processus de communication avec les serveurs de médias hérités dans le cadre d'une configuration en cloud
- Scénarios d'échec de communication
- Prise en charge de la communication sécurisée pour d'autres hôtes dans le domaine NetBackup
- Communication avec un serveur principal NetBackup 8.1 ou version ultérieure
- Prise en charge de la communication sécurisée pour BMR
- Configuration des sauvegardes VMware qui protègent SQL Server et des sauvegardes avec SQL Server utilisant plusieurs cartes réseau
- Augmentation de la sécurité dans NetBackup
- Sécurité et chiffrement NetBackup
- Niveaux de mise en place de sécurité de NetBackup
- Sécurité de niveau mondial
- Sécurité de niveau d'entreprise
- présentation de sécurité de Centre de données-Niveau
- NetBackup Access Control (NBAC)
- Niveaux mondial, de l'entrerprise et de data center combinés
- Types d'implémentation de sécurité NetBackup
- Sécurité du système d'exploitation
- Failles de sécurité dans NetBackup
- Sécurité standard de NetBackup
- Sécurité du chiffrement côté client
- NBAC sur le serveur maître, le serveur de médias et la sécurité d'interface utilisateur graphique
- Sécurité complète NBAC
- Modèles de déploiement de la sécurité
- Groupes de travail
- Data centers uniques
- Data centers multiples
- Groupe de travail avec NetBackup
- Data center unique avec logiciel NetBackup standard
- Data center unique avec chiffrement côté client
- Data center unique avec NetBackup Access Control sur les serveurs maîtres et de médias
- Data center unique avec transport NetBackup Access Control
- Data center multiple avec NetBackup standard
- Centre de données multiple avec chiffrement côté client
- Data center multiple avec NetBackup Access Control sur les serveurs maîtres et de médias
- Data center multiple avec NBAC complet
- Audit des opérations NetBackup
- À propos de l'audit de NetBackup
- Affichage des paramètres d'audit actuels
- Événements d'audit
- Période de conservation d'audit et sauvegardes de catalogue des enregistrements d'audit
- Affichage du rapport d'audit détaillé NetBackup
- Identité d'utilisateur dans le rapport d'audit
- Désactivation de l'audit
- Notification d'alerte en cas de problème d'audit (console d'administration NetBackup)
- Envoyer des événements d'audit dans les journaux système
- Section I. Gestion des identités et des accès
- À propos de la gestion des identités et des accès
- Domaines AD et LDAP
- Clés d'accès
- Clés d'accès
- Codes d'accès
- Obtention d'un accès par interface de ligne de commande via l'authentification sur l'interface utilisateur Web
- Approbation d'une demande d'accès par interface de ligne de commande
- Approbation des demandes d'accès par interface de ligne de commande d'autres utilisateurs
- Modification des paramètres d'accès
- Clés d'API
- Fichier auth.conf
- Contrôle d'accès basé sur les rôles
- Fonctions RBAC
- Paramètres RBAC
- Désactivation de l'accès à l'interface utilisateur Web pour l'administrateur du système d'exploitation
- Désactivation de l'accès à l'interface de ligne de commande des administrateurs du système d'exploitation
- Configuration de RBAC
- Ajouter des domaines AD ou LDAP
- Rôles RBAC par défaut
- Administrateur
- Administrateur cloud par défaut
- Administrateur de la ligne de commande (CLI) NetBackup par défaut
- Administrateur Kubernetes par défaut
- Service d'opérateur NetBackup Kubernetes par défaut
- Administrateur Oracle par défaut
- Administrateur Microsoft SQL Server par défaut
- Administrateur Resiliency par défaut
- Administrateur RHV par défaut
- Administrateur SaaS par défaut
- Administrateur AHV par défaut
- Administrateur de sécurité par défaut
- Administrateur de stockage par défaut
- Administrateur de partage universel par défaut
- Administrateur VMware par défaut
- Ajout d'un rôle RBAC personnalisé
- Modifier ou supprimer un rôle personnalisé
- Afficher les utilisateurs dans RBAC
- Ajouter un utilisateur à un rôle (non-SAML)
- Ajout d'un utilisateur de carte à puce à un rôle (non-SAML, sans AD/LDAP)
- Ajouter un utilisateur à un rôle (SAML)
- Supprimer un utilisateur d'un rôle
- Carte à puce ou certificat numérique
- Configuration de l'authentification utilisateur avec des cartes à puce ou des certificats numériques
- Configuration de l'authentification par carte à puce avec domaine
- Configuration de l'authentification par carte à puce sans domaine
- Modifier la configuration pour l'authentification par carte à puce
- Ajout ou suppression d'un certificat de l'autorité de certification utilisé pour l'authentification par carte à puce
- Désactivation ou désactivation temporaire de l'authentification par carte à puce
- Authentification unique (SSO)
- Audit amélioré
- À propos de l'audit amélioré
- Activation de l'audit amélioré
- Configuration d'audit amélioré
- Désactivation de l'audit amélioré
- Gestion des utilisateurs avec l'audit amélioré
- Authentification utilisateur avec l'audit amélioré
- Impact de l'audit amélioré sur l'autorisation de la console d'administration NetBackup
- Sécurité de NetBackup Access Control (NBAC)
- À propos de l'utilisation de NBAC (NetBackup Access Control)
- Administration de la gestion de l'accès NetBackup
- A propose de la configuration de NetBackup Access Control (NBAC)
- Configuration de NBAC (NetBackup Access Control)
- Présentation générale de la configuration de NBAC
- Configuration de NBAC (NetBackup Access Control) sur les serveurs maîtres autonomes
- Installation du serveur maître NetBackup hautement disponible sur un cluster
- Configuration de NBAC (NetBackup Access Control) sur un serveur maître faisant partie d'un cluster
- Configuration de NBAC (NetBackup Access Control) sur des serveurs de médias
- Installation et configuration du contrôle d'accès sur des clients
- Ajout de bases de données d'authentification et d'autorisation dans les sauvegardes automatiques de catalogue NetBackup
- Résumé des commandes de configuration de NBAC
- Unification des infrastructures de gestion NetBackup à l'aide de la commande setuptrust
- Utilisation de la commande setuptrust
- Configuration des propriétés de l'hôte de contrôle d'accès pour le serveur maître et de médias
- Boîte de dialogue Propriétés d'hôte du contrôle d'accès pour le client
- Utilisation du contrôle d'accès NetBackup (NBAC) avec Auto Image Replication
- Dépannage de la gestion de l'accès
- Résolution des problèmes NBAC
- Astuces de configuration et de résolution de problèmes pour NetBackup Authentication and Authorization
- Points de vérification de Windows
- Points de vérification UNIX
- Points de vérification dans un environnement mixte avec un serveur maître UNIX
- Points de vérification dans un environnement mixte avec un serveur maître Windows
- A propos de l'utilitaire nbac_cron
- Utilisation de l'utilitaire nbac_cron
- Utilisation de l'utilitaire Gestion de l'accès
- Détermination de l'accès à NetBackup
- Affichage des autorisations d'utilisateur particulières des groupes d'utilisateurs NetBackup
- Octroi des autorisations
- Objets d'autorisation
- Autorisations de l'objet d'autorisation Politique
- Autorisations de l'objet d'autorisation Lecteur
- Autorisations de l'objet d'autorisation Rapport
- Autorisations de l'objet d'autorisation Rapport
- Autorisations de l'objet d'autorisation NBU_Catalog
- Autorisations de l'objet d'autorisation Robot
- Autorisations d'objet d'autorisation d'unité de stockage
- Autorisations de l'objet d'autorisation DiskPool
- Autorisations de l'objet d'autorisation BuAndRest (Sauvegarde et restauration)
- Autorisations de l'objet d'autorisation Travail
- Autorisations de l'objet d'autorisation Service
- Autorisations de l'objet d'autorisation Propriétés d'hôte
- Autorisations de l'objet d'autorisation Licence
- Autorisations de l'objet d'autorisation Groupe de volumes
- Autorisations de l'objet d'autorisation Pool de volumes
- Autorisations de l'objet d'autorisation DevHost (Hôte de périphérique)
- Autorisations de l'objet d'autorisation Sécurité
- Autorisations de l'objet d'autorisation Serveur FAT
- Autorisations de l'objet d'autorisation Client FAT
- Autorisations de l'objet d'autorisation Centre de sauvegarde
- Autorisations de l'objet d'autorisation Groupe de serveurs
- Autorisations de l'objet d'autorisation du groupe de système de gestion des clés (Kms)
- Mise à niveau de NBAC (NetBackup Access Control)
- Section II. Chiffrement des données en transit
- Autorité de certification NetBackup et certificats NetBackup
- Présentation des certificats de sécurité dans NetBackup
- Communication sécurisée dans NetBackup
- À propos des utilitaires de gestion de la sécurité
- À propos de la gestion des hôtes
- Onglet Hôtes
- Ajout de mappages d'ID d'hôte vers le nom d'hôte
- Boîte de dialogue Ajouter ou supprimer des mappages d'hôtes
- Suppression de mappages d'ID d'hôte vers le nom d'hôte
- Onglet Mappages pour approbation
- Affichage des mappages découverts automatiquement
- Boîte de dialogue Détails des mappages
- Approbation des mappages d'ID d'hôte vers le nom d'hôte
- Rejet des mappages d'ID d'hôte vers le nom d'hôte
- Ajout de mappages partagés ou de cluster
- Boîte de dialogue Ajouter des mappages partagés ou de cluster
- Réinitialisation des attributs d'hôte NetBackup
- Autoriser ou ne pas autoriser le renouvellement de certificat automatique
- Ajout ou suppression d'un commentaire pour un hôte
- À propos des paramètres de sécurité globale
- À propos des paramètres de communication sécurisée
- Désactivation de la communication non sécurisée
- À propos de la communication non sécurisée avec les hôtes 8.0 et versions antérieures
- Communication avec un hôte 8.0 ou une version antérieure dans plusieurs domaines NetBackup
- Mappage automatique des ID d'hôte vers les noms d'hôte et adresses IP
- À propos des paramètres de reprise après incident
- Définition d'une phrase de passe pour chiffrer des packages de reprise après incident
- Packages de reprise après incident
- À propos des certificats basés sur le nom d'hôte
- À propos des certificats basés sur l'ID d'hôte
- Conditions requises de connexion web pour les options de commande nbcertcmd
- À l'aide de l'utilitaire de gestion de certificat pour émettre et déployer des certificats basés sur l'ID d'hôte
- À propos des niveaux de sécurité de déploiement de certificats NetBackup
- Déploiement automatique du certificat basé sur l'ID de l'hôte
- Déploiement des certificats basés sur l'ID de l'hôte
- Déploiement asynchrone de certificats basés sur l'ID de l'hôte
- Implication du décalage d'horaire sur la validité du certificat
- Installation de la confiance avec le serveur maître (Autorité de certification)
- Forcer ou remplacer le déploiement d'un certificat
- Conservation des certificats basés sur l'ID d'hôte lors de la réinstallation de NetBackup sur des hôtes non maîtres
- Déploiement de certificats sur un client qui n'a aucune connectivité avec le serveur maître
- À propos de l'expiration et du renouvellement des certificats basés sur l'ID d'hôte
- Suppression des certificats sensibles et des clés des serveurs de médias et des clients
- Nettoyage des informations de certificat basé sur un ID d'hôte à partir d'un hôte avant de cloner une machine virtuelle
- Renouvellement des certificats basés sur l'ID d'hôte
- À propos de la gestion des jetons pour les certificats basés sur l'ID d'hôte
- À propos de la liste de révocations des certificats basés sur l'ID d'hôte
- Révocation de certificats basés sur l'ID d'hôte
- Suppression de certificats basés sur l'ID d'hôte
- Déploiement de certificat basé sur l'ID d'hôte dans une configuration en cluster
- Déploiement d'un certificat basé sur un ID d'hôte sur un hôte NetBackup en cluster
- Déploiement de certificats basés sur un hôte sur des nœuds de cluster
- Révocation d'un certificat basé sur un ID d'hôte pour une configuration NetBackup en cluster
- Déploiement d'un certificat basé sur un ID d'hôte dans une configuration NetBackup en cluster à l'aide d'un jeton de renouvellement
- Création d'un jeton de renouvellement pour un programme d'installation de NetBackup en cluster
- Renouvellement d'un certificat basé sur un ID d'hôte dans une configuration NetBackup en cluster
- Affichage des informations de certificat pour une configuration NetBackup en cluster
- Suppression des certificats de l'autorité de certification à partir de l'installation d'un NetBackup en cluster
- Génération d'un certificat sur un serveur maître en cluster après une installation de reprise après incident
- Communication entre un client NetBackup situé dans une zone démilitarisée et un serveur maître, via un tunnel HTTP
- Ajout manuel d'un hôte NetBackup
- Migration de l'autorité de certification NetBackup
- Définition de la puissance de clé requise avant l'installation ou la mise à niveau à l'aide de la variable d'environnement NB_KEYSIZE
- Migration de l'autorité de certification NetBackup lorsque l'ensemble du domaine NetBackup est mis à niveau
- Migration manuelle de l'autorité de certification NetBackup après l'installation ou la mise à niveau
- Établissement de la communication avec les clients ne disposant pas de certificats d'autorité de certification après la migration de l'autorité de certification
- Affichage d'une liste des autorités de certification NetBackup dans le domaine
- Affichage du résumé de migration de l'autorité de certification
- Mise hors service de l'autorité de certification NetBackup inactive
- Configuration du chiffrement des données en transit (DTE)
- À propos du canal de données
- Prise en charge du chiffrement des données en transit
- Workflow de configuration du chiffrement des données en transit
- Configuration du paramètre global de chiffrement des données en transit
- Configuration du mode DTE sur un client
- Affichage du mode DTE d'un travail NetBackup
- Affichage des attributs DTE d'une image NetBackup et d'une copie d'image
- Configuration du mode DTE sur le serveur de médias
- Modification du mode DTE d'une image de sauvegarde
- Sélection des périphériques de médias (MDS) et allocation des ressources
- Fonctionnement des paramètres de configuration DTE dans différentes opérations NetBackup
- Autorité de certification externe et certificats externes
- A propos de la prise en charge d'une autorité de certification externe dans NetBackup
- Workflow d'utilisation de certificats externes pour la communication avec l'hôte NetBackup
- Options de configuration pour les certificats signés par une autorité de certification externe
- ECA_CERT_PATH pour les serveurs et clients NetBackup
- ECA_TRUST_STORE_PATH pour les serveurs et les clients NetBackup
- ECA_PRIVATE_KEY_PATH pour les serveurs et les clients NetBackup
- ECA_KEY_PASSPHRASEFILE pour les serveurs et les clients NetBackup
- ECA_CRL_CHECK pour les serveurs et les clients NetBackup
- ECA_CRL_PATH pour les serveurs et les clients NetBackup
- ECA_CRL_PATH_SYNC_HOURS pour les serveurs et les clients NetBackup
- ECA_CRL_REFRESH_HOURS pour les serveurs et les clients NetBackup
- ECA_DISABLE_AUTO_ENROLLMENT pour serveurs et clients NetBackup
- ECA_DR_BKUP_WIN_CERT_STORE pour les serveurs et les clients NetBackup
- Option MANAGE_WIN_CERT_STORE_PRIVATE_KEY pour les serveurs maîtres NetBackup
- Limitations de la prise en charge du magasin de certificats Windows lorsque les services NetBackup s'exécutent avec un compte de service local
- À propos des listes de révocation des certifications pour l'autorité de certification externe
- À propos de l'inscription de certificats
- A propos de l'affichage de l'état d'inscription des serveurs maîtres
- Configuration d'un certificat externe pour le serveur Web NetBackup
- Configuration du serveur maître pour utiliser un certificat signé par une autorité de certification externe
- Configuration d'un hôte NetBackup (serveur de médias, client ou nœud de cluster) de sorte à utiliser un certificat signé par une autorité de certification externe après l'installation
- Inscription d'un certificat externe pour un hôte distant
- Affichage des autorités de certification prises en charge par votre domaine NetBackup
- Affichage des certificats signés par une autorité de certification externe dans l'interface utilisateur Web NetBackup
- Renouvellement d'un certificat externe basé sur fichier
- Suppression de l'inscription de certificats
- Désactivation de l'autorité de certification NetBackup dans un domaine NetBackup
- Activation de l'autorité de certification NetBackup dans un domaine NetBackup
- Désactivation d'une autorité de certification externe dans un domaine NetBackup
- Modification du nom d'objet d'un certificat externe inscrit
- À propos de la configuration de certificat externe pour un serveur maître en cluster
- Régénération de clés et de certificats
- Régénération des clés et des certificats
- Régénération des clés et des certificats du courtier d'authentification NetBackup
- Régénération des clés et des certificats d'identité d'hôte
- Régénération des clés et des certificats de service web
- Régénération des clés et des certificats nbcertservice
- Régénération des clés et des certificats tomcat
- Régénération des clés JWT
- Régénération de certificats de passerelle NetBackup
- Régénération de certificats de magasin d'approbation Web
- Régénération des certificats de plug-in vCenter VMware
- Régénération des certificats de session de la console d'administration NetBackup
- Régénération du fichier de clé de chiffrement NetBackup
- Autorité de certification NetBackup et certificats NetBackup
- Section III. Chiffrement des données au repos
- Sécurité du chiffrement des données au repos
- Terminologie de chiffrement de données au repos
- Considérations de chiffrement des données au repos
- Types de destination pour le chiffrement des données au repos
- Questions importantes sur la sécurité du chiffrement
- Comparaison des options de chiffrement
- A propos du chiffrement de client NetBackup
- Configuration du chiffrement standard sur des clients
- Gestion des options standard de chiffrement
- Gestion du fichier de clé de chiffrement de NetBackup
- Configuration de chiffrement standard à partir du serveur
- Restaurer un fichier de sauvegarde chiffré sur un autre client
- Configuration du chiffrement standard directement sur les clients
- Définition de l'attribut standard de chiffrement dans les politiques
- Modification des paramètres de chiffrement client à partir du serveur NetBackup
- Configuration du chiffrement hérité sur les clients
- A propos de la configuration du chiffrement hérité à partir du client
- Configuration du chiffrement hérité du serveur
- Restauration d'une sauvegarde chiffrée héritée créée sur un autre client
- Définition d'un attribut de chiffrement hérité dans des politiques
- Modifier les paramètres client de chiffrement hérités du serveur
- Degré de sécurité de fichier de clé hérité supplémentaire pour clients UNIX
- Service Gestion des clés NetBackup
- À propos de KMS conforme à la norme FIPS
- Installation du KMS
- Configuration de KMS
- Création de la base de données de clés
- Groupes de clés et enregistrements de clé
- Présentation des états d'enregistrement de clé
- Sauvegarde des fichiers de base de données KMS
- Récupération de KMS en restaurant tous les fichiers de données
- Récupération de KMS en restaurant seulement le fichier de données de KMS
- Récupération de KMS en régénérant la clé de chiffrement des données
- Problèmes de sauvegarde des fichiers de données KMS
- Solutions pour sauvegarder les fichiers de données KMS
- Création d'un enregistrement de clé
- Liste des clés d'un groupe de clés
- Configuration de NetBackup pour fonctionner avec le KMS
- Configuration du KMS NetBackup à l'aide de l'application Web KMS
- Utilisation de KMS pour le chiffrement
- Éléments constitutifs d'une base de données KMS
- Commandes de l'interface de ligne de commande (CLI)
- Aide pour l'utilisation de l'interface de ligne de commande
- Créer un nouveau groupe de clés
- Créer une clé
- Modifier les attributs du groupe de clés
- Modifier les attributs de clé
- Obtenir les informations des groupes de clés
- Obtenir les informations des clés
- Suppression d'un groupe de clés
- Supprimer une clé
- Récupérer une clé
- A propos de l'exportation et de l'importation de clés à partir de la base de données KMS
- Modifier la clé machine d'hôte (HMK)
- Obtention de l'ID de clé machine d'hôte (HMK)
- Obtention de l'ID de clé de protection de clé (KPK)
- Modifier la clé de protection de clé (KPK)
- Obtention des statistiques du fichier keystore
- Suspension de la base de données KMS
- Annulation de la suspension de la base de données KMS
- Options de création de clé
- Dépannage du KMS
- Service Gestion des clés externe
- À propos du KMS externe
- Configuration des certificats et autorisations
- Workflow pour configurer le KMS externe
- Validation des informations d'authentification du KMS
- Configuration des informations d'authentification du KMS
- Configuration du KMS
- Configuration des clés dans un KMS externe pour une utilisation par NetBackup
- Création de clés dans un KMS externe
- Détermination d'un nom de groupe de clés lors de la configuration du stockage
- Utilisation de plusieurs serveurs KMS
- Utilisation du KMS externe lors de la sauvegarde et de la restauration
- Rotation des clés
- Reprise après incident lorsque la sauvegarde de catalogue est chiffrée à l'aide d'un serveur KMS externe
- Alerte d'expiration des informations d'authentification du KMS
- Sécurité du chiffrement des données au repos
- Conformité FIPS dans NetBackup
- À propos de la norme FIPS
- À propos de la prise en charge de la norme FIPS dans NetBackup
- Conditions préalables
- Spécification du caractère aléatoire de l'entropie dans NetBackup
- Configuration du mode FIPS dans votre domaine NetBackup
- Pour désactiver le mode FIPS pour NetBackup
- Option NB_FIPS_MODE pour les serveurs et les clients NetBackup
- USE_URANDOM pour les serveurs et les clients NetBackup
- Compte de services Web NetBackup
- Exécution de services NetBackup avec un compte utilisateur sans privilège (utilisateur du service)
- À propos d'un compte utilisateur du service NetBackup
- Configuration d'un compte utilisateur du service
- Modification d'un compte utilisateur du service après une installation ou une mise à niveau
- Octroi d'autorisations d'accès aux chemins externes pour le compte utilisateur du service
- Services NetBackup exécutés avec le compte d'utilisateur du service
- Immuabilité et ineffaçabilité des données dans NetBackup
- Détection d'anomalies de sauvegarde
- À propos de la détection des anomalies de sauvegarde
- Détection d'anomalies de sauvegarde sur le serveur principal
- Détection d'anomalies de sauvegarde sur le serveur de médias
- Configuration des paramètres de détection d'anomalies
- Affichage des anomalies
- Configuration de la détection automatique d'anomalies
- Détection de malwares
- À propos de l'analyse antimalware
- Procédure de configuration de la détection de malware
- Conditions préalables pour un hôte d'analyse
- Conditions préalables pour le pool d'hôtes d'analyse
- Outils de détection de malwares pris en charge et leurs configurations
- Configuration d'un nouveau pool d'hôtes d'analyse
- Ajout d'un nouvel hôte à un pool d'hôtes d'analyse
- Ajout d'un hôte d'analyse existant
- Gestion des informations d'authentification
- Suppression de l'hôte d'analyse
- Désactivation de l'hôte d'analyse
- Analyse de malware sur les images de sauvegarde d'un client de politique
- Analyse antimalware
- Analyse antimalware des biens VMware
- Affichage de l'état de l'analyse antimalware
- Actions suivant l'analyse de malware des images
- Récupération à partir d'images affectées par des malwares (clients protégés par des politiques)
- Récupération d'un bien VMware affecté par un malware
- Configuration du délai d'expiration de l'analyse anti-malware pour le serveur NetBackup
- Configuration du nettoyage automatique de l'analyse antimalware pour le serveur NetBackup
À propos de l'audit de NetBackup
L'audit est activé par défaut sur les nouvelles installations. L'audit de NetBackup peut être configuré directement sur un serveur maître NetBackup .
L'audit des opérations de NetBackup présente les avantages suivants :
En exploitant les journaux d'audit, les utilisateurs peuvent obtenir une idée globale de l'administration en analysant les changements inattendus dans un environnement NetBackup.
Conformité réglementaire.
L'enregistrement est conforme aux directives telles que celles définies par le SOX (Sarbanes-Oxley Act).
Méthode permettant aux clients d'appliquer les politiques internes de gestion des changements.
Aide pour le support de NetBackup lors du processus de résolution des problèmes pour les clients.
Le gestionnaire d'audit NetBackup (nbaudit) s'exécute sur le serveur maître et les enregistrements d'audit sont mis à jour dans la base de données EMM (Enterprise Media Manager).
L'administrateur peut rechercher les informations suivantes :
Quand une action s'est produite
Actions ayant échoué dans certaines situations
Les actions exécutées par un utilisateur spécifique
Les actions qui ont été exécutées dans une zone de contenu spécifique
Modifications de la configuration d'audit
Tenez compte des points suivants :
L'enregistrement d'audit tronque toutes les entrées qui incluent plus de 4 096 caractères. (Par exemple, le nom de la politique.)
L'enregistrement d'audit tronque les ID d'image de restauration de plus de 1 024 caractères.
NetBackup enregistre les actions suivantes lancées par l'utilisateur.
|
Actions du moniteur d'activité |
Annuler, interrompre, reprendre, redémarrer ou supprimer n'importe quel type de travail crée un enregistrement d'audit. |
|
Alertes et notifications par e-mail |
Si aucune alerte ou notification par e-mail ne peut être envoyée pour les paramètres de configuration NetBackup. Par exemple, la configuration du serveur SMTP et la liste des codes d'état exclus des alertes. |
|
Anomalies |
Quand un utilisateur signale une anomalie comme un faux positif, l'action est auditée et consignée pour cet utilisateur. |
|
Actions sur les biens |
La suppression d'un bien, tel qu'un serveur vCenter, lors du processus de nettoyage des biens est auditée et consignée. La création, la modification et la suppression d'un groupe de biens, ainsi que toute action effectuée sur un groupe de biens pour lequel un utilisateur ne dispose pas des autorisations nécessaires sont auditées et consignées. |
|
Échec de l'autorisation |
L'échec de l'autorisation est audité lorsque vous utilisez l'interface utilisateur web NetBackup, les API NetBackup ou l'audit amélioré. Se reporter à À propos de l'audit amélioré. |
|
Informations de catalogue |
Ces informations sont les suivantes :
|
|
Gestion des certificats |
Création, révocation, renouvellement et déploiement de certificats NetBackup et défaillances de certificats NetBackup spécifiques. |
|
Échecs de vérification de certificat (CVF) |
Tentatives de connexion ayant échoué impliquant des erreurs de handshake SSL, des certificats révoqués ou des échecs de validation de nom d'hôte. Pour les échecs de validation de certificat (CVF) qui impliquent des liaisons handshake SSL et des certificats révoqués, l'horodatage indique quand l'enregistrement d'audit est publié sur le serveur maître Un enregistrement d'audit de CVF est un groupe d'événements CVF sur une période de temps. Les détails de l'enregistrement indiquent les heures de début et de fin de la période ainsi que le nombre total de CVF qui se sont produits pendant cette période. |
|
Pools de disques et actions de pools de volume |
Ajout, suppression ou mise à jour de pools de disques ou de volumes. |
|
Opérations de mise en suspens |
Création, modification et suppression d'opérations de mise en suspens. |
|
Base de données hôte |
Opérations NetBackup liées à la base de données hôte. |
|
Tentatives de connexion |
Toute tentative de connexion ayant abouti ou échoué pour la console d'administration de NetBackup, l'interface utilisateur web de NetBackup ou les API NetBackup. |
|
Actions Politiques |
Ajout, suppression ou mise à jour d'attributs de politique, de clients, de planifications et de listes de sélection de sauvegarde. |
|
Actions utilisateur de restauration et de navigation sur les images |
Toutes les opérations de restauration et de navigation sur le contenu des images (bplist) qu'un utilisateur effectue sont auditées avec l'identité de l'utilisateur. Pour définir un intervalle pour ajouter périodiquement les enregistrements d'audit des opérations de recherche d'images (bplist) du cache à la base de données NetBackup, utilisez l'option de configuration DATAACCESS_AUDIT_INTERVAL_HOURS. La définition de cette option de configuration empêche l'augmentation exponentielle de la taille de la base de données NetBackup en raison des enregistrements d'audit bplist. Consultez le Guide de l'administrateur NetBackup, volume I. Pour ajouter tous les enregistrements d'audit bplist du cache à la base de données NetBackup, exécutez la commande suivante sur le serveur maître : nbcertcmd -postAudit -dataAccess |
|
Configuration de la sécurité |
Informations relatives aux modifications apportées aux paramètres de configuration de sécurité. |
|
Démarrage d'un travail de restauration |
NetBackup n'effectue pas d'audit quand d'autres types de travaux commencent. Par exemple, NetBackup n'effectue pas d'audit quand un travail de sauvegarde commence. |
|
Démarrage et arrêt du gestionnaire d'audit NetBackup (nbaudit). |
Le démarrage et l'arrêt du gestionnaire nbaudit font toujours l'objet d'un audit, même si l'audit est désactivé. |
|
Actions de politique de cycle de vie du stockage |
Les tentatives de création, de modification ou de suppression d'une politique de cycle de vie du stockage (SLP) sont auditées et consignées. Cependant, l'activation et l'interruption d'une SLP à l'aide de la commande nbstlutil ne sont pas auditées. Ces opérations ne sont auditées que lorsqu'elles sont lancées à partir d'une API ou de l'interface utilisateur graphique NetBackup. |
|
Actions de serveurs de stockage |
Ajout, suppression ou mise à jour de serveurs de stockage. |
|
Actions d'unités de stockage |
Ajouter, supprimer ou mettre à jour les unités de stockage. Remarque : Les actions liées aux politiques de cycle de vie du stockage ne sont pas auditées. |
|
Gestion de jeton |
Création, suppression et nettoyage de jetons et défaillances d'émission de jeton spécifiques. |
|
Gestion des utilisateurs |
Ajout et suppression d'utilisateurs d'audit amélioré dans le mode correspondant. |
|
Action de l'utilisateur qui ne parvient pas à créer un enregistrement d'audit |
Si l'audit est activé mais que l'utilisateur ne parvient pas à créer un enregistrement d'audit, l'échec du service d'audit est enregistré dans le journal |
Les actions suivantes ne sont pas enregistrées et ne s'affichent pas dans le rapport d'audit :
|
Toute action qui a échoué. |
NetBackup consigne les actions en échec dans les journaux d'erreurs NetBackup. Les actions qui ont échoué ne s'affichent pas dans les rapports d'audit parce qu'elles ne contribuent pas à modifier l'état du système NetBackup. |
|
Effet d'un changement de configuration |
Les résultats d'une modification apportée à la configuration de NetBackup ne sont pas contrôlés. Par exemple, la création d'une politique est enregistrée dans le rapport d'audit, mais les travaux qui résultent de cette création ne le sont pas. |
|
L'état d'achèvement d'un travail de restauration lancé manuellement |
Tandis que l'acte de lancer un travail de restauration est audité, l'état d'achèvement du travail ne l'est pas, ni celui de n'importe quel autre type de travail, qu'il soit lancé manuellement ou pas. L'état d'achèvement est affiché dans le moniteur d'activité. |
|
Actions lancées en interne |
NetBackup-des actions internes lancées ne sont pas auditées. Par exemple les actions comme la suppression planifiée d'images expirées, les sauvegardes planifiées ou le nettoyage périodique de base de données d'images ne sont pas enregistrées. |
|
Opérations de restauration |
Certaines opérations sont exécutées en plusieurs étapes. Par exemple, la création d'un serveur de stockage MSDP se déroule en plusieurs étapes. Chaque étape correctement exécutée est auditée. L'échec de l'une des étapes produit une restauration ou, autrement dit, les étapes correctement exécutées peuvent avoir besoin d'être annulées. L'enregistrement d'audit ne contient pas les détails des opérations de restauration. |
|
Actions de propriétés d'hôte |
Les modifications apportées à l'aide des commandes bpsetconfig ou nbsetconfig, ou la propriété équivalente dans les propriétés d'hôte, ne sont pas auditées. Les modifications apportées directement au fichier bp.conf ou au registre ne sont pas auditées. |