Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (5.3)
Platform: NetBackup Appliance OS
  1. NetBackup Appliance セキュリティガイドについて
    1.  
      NetBackup Appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup Appliance で認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5. スマートカードとデジタル証明書を使用した認証について
      1.  
        2FA
      2.  
        NetBackup Web UI でのスマートカード認証
      3.  
        NetBackup Appliance Web UI でのスマートカード認証
      4.  
        NetBackup Appliance シェルメニューでのスマートカード認証
      5.  
        役割ベースのアクセス制御の構成
      6.  
        NetBackup Web UI でのスマートカードまたはデジタル証明書の認証の構成
    6. シングルサインオン (SSO) の認証と認可について
      1.  
        NetBackup Appliance のシングルサインオン (SSO) の構成
    7.  
      多要素認証について
    8.  
      アプライアンスのログインバナーについて
    9. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup Appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup Appliance ユーザー役割権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーの役割について
    5.  
      NetBackup でのユーザー権限の確認について
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup Appliance の Symantec Data Center Security について
    2.  
      NetBackup Appliance の侵入防止システムについて
    3.  
      NetBackup Appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup Appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup Appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup Appliance のオペレーティングシステムのセキュリティについて
    2.  
      NetBackup Appliance の OS の主要コンポーネント
    3.  
      NetBackup Appliance オペレーティングシステムへのユーザーアクセスの無効化
    4.  
      メンテナンスシェルへのサポートのアクセスの管理
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
    5.  
      マルウェア対策機能について
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      外部証明書の実装について
  9. ネットワークセキュリティ
    1.  
      ネットワークアクセス制御について
    2.  
      IPsec チャネル設定について
    3.  
      NetBackup Appliance ポートについて
    4.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        Management Information Base (MIB) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
    6.  
      外部 IPMI SSL 証明書の実装
  12. STIG と FIPS への準拠
    1.  
      NetBackup Appliance の OS STIG の強化
    2.  
      NetBackup Appliance における FIPS 140-2 への準拠
    3.  
      FIPS 準拠の暗号について
  13.  
    索引

KMS サポート

NetBackup Appliance は、NetBackup Enterprise Server 7.1 に統合されている NetBackup KMS (Key Management Service) が管理する暗号化をサポートします。KMS は、プライマリサーバーアプライアンスとメディアサーバーアプライアンスでサポートされます。データ暗号化キーを再生成することは、アプライアンスのプライマリサーバーで KMS をリカバリする場合にサポートされている唯一の方法です。

次に、KMS の主な機能について説明します。

  • 追加のライセンスは必要ありません。

  • プライマリサーバーベースの対称キーマネージメントサービスです。

  • テープデバイスがそれか別の NetBackup Appliance に接続されているプライマリサーバーとして管理できます。

  • T10 基準 (LTO4 や LTO5 など) に準拠しているテープドライブの対称暗号化キーを管理します。

  • ボリュームプールベースのテープ暗号化を使うように設計されています。

  • 組み込みのハードウェア暗号化機能のあるテープハードウェアによって使うことができます。

  • NetBackup CLI 管理者が NetBackup Appliance シェルメニューまたは KMS コマンドラインインターフェース (CLI) を使って管理できます。

KMS で使われるキーについて

KMS はパスコードからキーを生成するか、キーを自動生成します。表: KMS ファイルは、キーの情報を保持する KMS と関連付けられているファイルの一覧を示します。

表: KMS ファイル

KMS ファイル

説明

キーストアファイル

キーストアファイル (KMS_DATA)。すべてのキーグループおよびキーレコードと、一部のメタデータが含まれています。

KPK ファイル

KPK ファイル (KMS_KPKF)。キーストアファイルに格納されるキーレコードの暗号テキスト部分の暗号化に使用される KPK が含まれています。

HMK ファイル

HMK ファイル (KMS_HMKF)。キーストアファイルの内容全体の暗号化に使用される HMK が含まれています。キーストアファイルのヘッダーは例外です。キーストアファイルのヘッダーには、暗号化されない KPK ID および HMK ID のようないくつかのメタデータが含まれています。

KMS の構成

アプライアンスプライマリサーバーで KMS を構成するには、NetBackupCLI ユーザーとしてログインする必要があります。

続行する前に、KMS を構成して有効にするために必要な RBAC 権限が NetBackupCLI ユーザーに割り当てられていることを確認します。nbasecadmin などの NetBackup 管理者アカウントを使用して NetBackup Web UI にログインし、NetBackupCLI ユーザーにデフォルトのセキュリティ管理者役割を割り当てます。

役割ベースのアクセス制御の管理手順については、『NetBackup Web UI 管理者ガイド』を参照してください。

メモ:

必要に応じて、新しい NetBackupCLI ユーザーを作成して、KMS を構成および有効化できます。NetBackupCLI ユーザーの役割について詳しくは、NetBackupCLI ユーザーの役割についてを参照してください。を参照してください。

以下に、アプライアンスで KMS を構成して有効にする方法について説明します。

アプライアンスで KMS を構成して有効にするには

  1. NetBackupCLI ユーザーとしてアプライアンスプライマリサーバーにログインします。
  2. 次のように、Command コマンドを使用して制限付きシェル環境に入ります。

    [nb-appliance.NBCLIUSER>]# Command

  3. 次の手順を使用して CLI アクセスを認証します。

    • 次のコマンドを実行してアクセスコードを生成します。

      #bpnbat -login -logintype webui -requestApproval

      コマンドウィンドウに表示されるアクセスコードを書き留めます。

    • NetBackup コマンドライン (CLI) 管理者ユーザーとして NetBackup Web UI にサインインし、先ほど生成したアクセスコードを入力して CLI アクセス要求を承認します。

      要求が承認されると、制限付きシェルコマンドウィンドウに確認メッセージが表示されます。

    アクセスキーと承認要求について詳しくは、『NetBackup セキュリティおよび暗号化ガイド』を参照してください。

  4. 次のように nbkms コマンドを使用して空のデータベースを作成します。

    [nbucliuser-!>]# nbkms -createemptydb

  5. nbkms を起動します。次に例を示します。

    [nbucliuser-!>]# nbkms

  6. キーグループを作成します。次に例を示します。

    [nbucliuser-!>]# nbkmsutil -createkg -kgname KMSKeyGroupName

  7. アクティブなキーを作成します。次に例を示します。

    [nbucliuser-!>]# nbkmsutil -createkey -kgname KMSKeyGroupName -keyname KMS KeyName

MSDP の KMS 暗号化の有効化

KMS が構成され、プライマリサーバーで実行されていることを確認します。構成され、実行されている場合は、プライマリサーバーに関連付けられているすべてのメディアサーバー上の MSDP の KMS 暗号化を有効にできます。

続行する前に、KMS を構成して有効にするために必要な RBAC 権限が NetBackupCLI ユーザーに割り当てられていることを確認します。nbasecadmin などの NetBackup 管理者アカウントを使用して NetBackup Web UI にログインし、NetBackupCLI ユーザーにデフォルトのセキュリティ管理者役割を割り当てます。

役割ベースのアクセス制御の管理方法については、『NetBackup Web UI 管理者ガイド』を参照してください。

メモ:

必要に応じて、新しい NetBackupCLI ユーザーを作成して、KMS を構成および有効化できます。NetBackupCLI ユーザーの役割について詳しくは、NetBackupCLI ユーザーの役割についてを参照してください。を参照してください。

以下に、アプライアンスで MSDP に対して KMS 暗号化を有効にする方法について説明します。

MSDP に対して KMS 暗号化を有効にするには

  1. NetBackupCLI ユーザーとしてアプライアンスメディアサーバーにログインします。
  2. 次のオプションを以下の順序で変更します。

    • nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSType --value=0

    • nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSServerName --value=<primary server hostname

    • nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSKeyGroupName --value=msdp

    • nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KeyName --value=<KMS KeyName>

    • nbucliuser-!> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSEnable --value=true

    • nbucliuser-!> pdcfg --write= /msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=ContentRouter --option=ServerOptions --value=verify_so_references,fast,encrypt

      この手順をプライマリサーバーに関連付けられているすべてのメディアサーバーで繰り返します。

  3. NetBackup Web アプリケーションにログオンして、システムで自分自身を識別します。次のコマンドを実行します。

    sudo /usr/openv/netbackup/bin/bpnbat -login -loginType WEB

    Authentication Broker: ApplianceHostname

    Authentication Port: 0

    Authentication Type: unixpwd

    LoginName: Username

    Password: Password

  4. KMS が NetBackup Web サービスに登録されていることを確認します。

    sudo /usr/openv/netbackup/bin/nbkmscmd -discoverNbkms

  5. 次のコマンドを使用して、NetBackup サービスを停止して再起動します。

    • bp.kill_all

    • bp.start_all

  6. メディアサーバーで MSDP に対して KMS 暗号化が有効になっていることを確認するには、サーバーでバックアップジョブを実行してから、次のコマンドを実行します。

    crcontrol --getmode