NetBackup ™ セキュリティおよび暗号化ガイド
- NetBackup での安全な通信 (最初にお読みください)
- 通信エラーのシナリオ
- NetBackup セキュリティの強化
- セキュリティの配置モデル
- NetBackup 操作の監査
- 第 I 部 個人情報とアクセスの管理
- 個人情報とアクセスの管理について
- AD ドメインと LDAP ドメイン
- アクセスキー
- API キー
- auth.conf ファイル
- 役割に基づくアクセス制御
- OS 管理者の NetBackup インターフェースアクセス
- スマートカードまたはデジタル証明書
- シングルサインオン (SSO)
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の構成
- プライマリおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- セキュリティ構成リスクの最小化
- 多要素認証の構成
- マルチパーソン認証の構成
- 第 II 部 移動中のデータの暗号化
- NetBackup CA および NetBackup 証明書
- セキュリティ管理ユーティリティについて
- ホスト管理について
- 共有マッピングとクラスタマッピングの追加
- 証明書の自動再発行の許可または禁止
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- NetBackup 証明書の配備のセキュリティレベルについて
- プライマリサーバー (認証局) との信頼の設定
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- クラスタ化されたセットアップでのホスト ID ベースの証明書配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- NetBackup CA の移行
- 移動中のデータの暗号化 (DTE) の構成
- 外部 CA と外部証明書
- NetBackup での外部 CA のサポートについて
- 外部 CA が署名した証明書の構成オプション
- NetBackup サーバーとクライアントの ECA_CERT_PATH
- 外部 CA の証明書失効リストについて
- 証明書の登録について
- NetBackup Web サーバー用の外部証明書の構成
- クラスタプライマリサーバー用の外部証明書の構成について
- キーと証明書の再生成
- NetBackup CA および NetBackup 証明書
- 第 III 部 格納データの暗号化
- 格納データの暗号化セキュリティ
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- NetBackup Key Management Service
- FIPS 対応 KMS について
- KMS のインストール
- KMS の構成
- キーグループとキーレコードについて
- キーレコードの状態の概要
- KMS と連携するための NetBackup の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) を使用した KMS 操作
- KMS のトラブルシューティング
- 外部のキーマネージメントサービス
- 格納データの暗号化セキュリティ
- 安全な通信のために NetBackup で使用される暗号
- NetBackup での FIPS 準拠
- NetBackup に対する FIPS モードの無効化
- NetBackup Web サービスアカウント
- 特権のないユーザー (サービスユーザー) アカウントでの NetBackup サービスの実行
- 特権のないユーザーアカウントでの NetBackup コマンドの実行
- NetBackup でのデータの変更不可と削除不可
- 異常検出
- 第 IV 部 マルウェアスキャン
マルウェアスキャンについて
NetBackup は、サポート対象のバックアップイメージからマルウェアを検出し、マルウェアなしの最新の良好なイメージを検出します。この機能は、Standard、MS-Windows、NAS-Data-Protection、Cloud、Cloud-Object-Store、Universal-Share、Kubernetes と VMware の作業負荷でサポートされます。
マルウェアスキャンには次の利点があります。
オンデマンドスキャンでサポートされているポリシー形式のバックアップイメージを 1 つ以上選択できます。スキャンホストの事前定義済みリストを使用できます。
スキャン中にマルウェアが検出されると、Web UI で通知が生成されます。
スキャナからアクセスできない、またはマルウェアスキャナからエラーが発生したためにファイルがスキップされた場合、スキップされたファイルの数とリストに関する情報とともに、次の通知が生成されます。
重要な重大度: バックアップイメージでマルウェアが検出され、スキャン中に一部のファイルがスキップされた場合。
警告の重大度: バックアップイメージでマルウェアが検出されず、スキャン中に一部のファイルがスキップされた場合。
この情報は、[処理 (Actions)]、[スキャン不可能ファイルリストをエクスポート (Export unscannable files list)]の順に選択して取得できます。
メモ:
アクティビティモニターのマルウェアスキャンジョブで、複数のバックアップイメージで実行されているスキャン操作の最終状態を反映するには数分かかります。
たとえば、スキャン操作が 1 回の要求で 5 つのバックアップイメージに対して実行される場合、アクティビティモニターのマルウェアスキャンジョブは、最後の (5 番目の) バックアップイメージスキャンジョブが完了した後の最終状態を反映するのに 5 分かかります。
メモ:
リカバリ中に、マルウェアの影響を受けたバックアップイメージからのリカバリを開始すると、警告メッセージが表示され、リカバリを続行するための確認が必要になります。マルウェアの影響を受けたイメージからリストアする権限を持つユーザーのみがリカバリを続行できます。
マルウェアスキャンのベストプラクティスについて詳しくは、NetBackup でのマルウェアスキャンのスマートな使用に関する説明を参照してください。
ユーザーは、Web UI からのリカバリフローの一部として、リカバリ対象として選択したファイルまたはフォルダのマルウェアスキャンをトリガし、マルウェアスキャン結果に基づいてリカバリ処理を決定できます。
バックアップイメージのカタログエントリは、バックアップでファイルのサブセットのみがスキャンされ、リカバリ時間のスキャン後に更新されません。マルウェアがリカバリ時間スキャンの一部として検出された場合、通知が生成されます。
リカバリ時間スキャン中に、開始日と終了日の間のすべてのイメージをスキャンしてマルウェアを検出します。バックアップイメージのマルウェアスキャンは、リカバリ用に選択されたファイルの数によっては時間がかかる場合があります。リカバリに使用するイメージのみを含むように開始日と終了日を設定することをお勧めします。
ユーザーは同じバックアップイメージの複数のリカバリ時間スキャンをトリガできます。
リカバリの一部としてのマルウェアスキャンでは、スキャンホストの可用性と進行中のスキャンジョブ数に基づいて、サイズが小さいバックアップの場合、最低 15 分から 20 分かかることがあります。ユーザーは [アクティビティモニター (Activity monitor)]、[ジョブ (Jobs)]の順に使用し、進行状況を追跡できます。スキャン結果は、マルウェアの検出ページに段階的に表示されます。開始日と終了日の間のバックアップイメージのリストは、マルウェアスキャンの増分バッチで選択されます。
リカバリ時間スキャンでサポートされているポリシー形式は、Standard、MS-Windows、Cloud-Object-Store、Universal-Share、NAS-Data-Protection です。
メモ:
リカバリ時間マルウェアスキャン操作を正常に実行するには、メディアサーバーのバージョンが 10.4 以降である必要があります。