Veritas NetBackup™ Appliance セキュリティガイド
- NetBackup Appliance セキュリティガイドについて
- ユーザー認証
- ユーザー権限の確認
- 侵入防止、侵入検知システム
- ログファイル
- オペレーティングシステムのセキュリティ
- データセキュリティ
- Web セキュリティ
- ネットワークセキュリティ
- コールホームセキュリティ
- リモート管理モジュール (RMM) セキュリティ
- STIG と FIPS への準拠
- 索引
NetBackup Appliance における FIPS 140-2 への準拠
FIPS (連邦情報処理標準) には米国連邦政府とカナダ政府のコンピュータシステムに対するセキュリティと相互運用性の必要条件が定義されています。米国国立標準技術研究所 (NIST) は、暗号化モジュールの検証に関する必要条件と標準をまとめた FIPS 140 文書シリーズを発行しています。FIPS 140-2 標準には、暗号化モジュールのセキュリティ要件が指定されており、ハードウェアとソフトウェアの両方のコンポーネントに適用されます。対称キー暗号化と非対称キー暗号化、メッセージ認証、ハッシュの承認済みセキュリティ機能についても説明されています。
メモ:
FIPS 140-2 標準とその検証プログラムについて詳しくは、次のリンクにアクセスしてください。
https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf
https://csrc.nist.gov/projects/cryptographic-module-validation-program
NetBackup Appliance 4.1 以降、すべての Java ベースのサービスで FIPS 140-2 標準がデフォルトで有効になっています。FIPS 検証は、SafeLogic 社の CryptoComply モジュールを使用して実行されます。
NetBackup Appliance リリース 5.0 以降では、MSDP、NetBackup、VxOS で FIPS 140-2 標準を有効にできます。MSDP、NetBackup、VxOS で使用される NetBackup 暗号化モジュールは、FIPS によって検証されています。
VxOS で FIPS を有効にすると、sshd は FIPS 認定済みの次の暗号を使用します。
aes256-ctr
aes256-gcm@openssh.com
VxOS の FIPS を有効にした後、古い SSH クライアントがアプライアンスへのアクセスを拒否する場合があります。リストされた暗号を SSH クライアントがサポートしていることを確認し、必要に応じて最新バージョンにアップグレードしてください。デフォルトの暗号設定は通常 FIPS 準拠ではないため、SSH クライアント構成でそれらを手動で選択することが必要になる場合があります。
NetBackup MSDP、NetBackup、VxOS 用の FIPS 140-2 標準は、次のコマンドを使用して有効にできます。
Main Menu > Settings > Security > FIPS Enable MSDP の後に、メンテナンスパスワードを入力します。
MSDP オプションを有効または無効にすると、その時点で進行中のすべてのジョブが終了し、NetBackup サービスが再起動します。ベストプラクティスとしては、最初にすべてのジョブを手動で停止してから、この機能を有効または無効にすることをお勧めします。
メモ:
NetBackup Appliance の以前のバージョンからアップグレードした場合は、FIPS 準拠アルゴリズムを使用するように既存のデータを変換した後にのみ MSDP を有効にしてください。データ変換の現在の状態を確認するには、crcontrol --dataconvertstate コマンドを使用します。状態が[終了 (Finished)]に設定される前に MSDP を有効にすると、データ復元エラーが発生する可能性があります。
Main Menu > Settings > Security > FIPS Enable NetBackup の後に、メンテナンスパスワードを入力します。
NetBackup オプションを有効または無効にすると、その時点で進行中のすべてのジョブが終了し、NetBackup サービスが再起動します。ベストプラクティスとしては、最初にすべてのジョブを手動で停止してから、この機能を有効または無効にすることをお勧めします。
Main Menu > Settings > Security > FIPS Enable VxOS の後に、メンテナンスパスワードを入力します。
VxOS オプションを有効または無効にすると、アプライアンスが再起動し、ログイン中のすべてのユーザーがセッションから切断されます。ベストプラクティスとしては、この機能を有効または無効にする前に、すべてのユーザーに事前に通知を送ることをお勧めします。
Main Menu > Settings > Security > FIPS Enable All の後に、メンテナンスパスワードを入力します。
All オプションを有効または無効にすると、アプライアンスが再起動し、ログイン中のすべてのユーザーがセッションから切断されます。ベストプラクティスとしては、この機能を有効または無効にする前に、すべてのユーザーに事前に通知を送ることをお勧めします。
メモ:
NetBackup Appliance の高可用性 (HA) 設定では、HA 設定が完了した後にのみ、両方のノードで FIPS 機能を有効にすることができます。FIPS 構成は両方のノードで同じである必要があります。HA 設定が完了する前にどちらかのノードで FIPS が有効になっている場合は、HA 設定を完了する前に、そのノードで FIPS を無効にする必要があります。
FIPS コマンドについて詳しくは、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
FIPS セキュリティは継続的に拡張されているため、一部の古い暗号化方式は使用できなくなりました。
FIPS が有効な場合、アプライアンスの CIFS ファイル共有機能は次のように機能します。アプライアンスは、AES 暗号を使用する Kerberos 認証付きの AD (Active Directory) 環境にドメインメンバーとして追加されます。
NTLM などの古い認証方法を使用すると、次の処理によって開かれた CIFS 共有がマウントされない場合があります。
影響を受けるシナリオを次に示します。
一般的な共有の場合:
Settings> Share General Open
Settings> LogForwarding > Share Open
Manage> OpenStorage > Share Open
Security> Certificate Import
incoming_patches の場合:
Manage> Software > Share Open
これらの制限事項を回避するには、次のいずれかを実行します。
FIPS 機能を無効にします。
アプライアンスの Active Directory 認証を構成します。これにより、AES 暗号を使用する Kerberos 認証付きの AD (Active Directory) 環境にアプライアンスがドメインメンバーとして追加されます。