NetBackup ™ セキュリティおよび暗号化ガイド
- NetBackup での安全な通信 (最初にお読みください)
- NetBackup での安全な通信について
- インストール時に NetBackup CA が署名した証明書 (またはホスト ID ベースの証明書) を配備する方法
- プライマリサーバーのクラスタノードでの安全な通信の方法
- クラスタ化されたアプリケーションのノードにインストールされた NetBackup クライアントについて
- アップグレード時に NetBackup 証明書をホストに配備する方法
- 証明書配備中に認証トークンが必要である場合
- ホスト名 (または IP アドレス) をホスト ID にマップする理由
- ホスト属性またはホストの通信状態をリセットする方法
- カタログリカバリの変更点
- 自動イメージレプリケーションでの変更点
- 無効化された証明書を使用するホストの動作
- NetBackup 証明書のバックアップについて
- プライマリサーバーに対する外部証明書の構成
- 外部証明書を使用するプライマリサーバーのクラスタノードでの安全な通信の方法
- 外部証明書の失効リストの仕組み
- ホストがプライマリサーバーに直接接続できないときの通信の動作
- NetBackup 8.1 のホストが NetBackup 8.0 以前のホストと通信する方法
- クラウド構成でのレガシーメディアサーバーとの通信方法
- 通信エラーのシナリオ
- NetBackup ドメイン内の他のホストに対する安全な通信のサポート
- BMR の安全な通信のサポート
- SQL Server を保護する VMware のバックアップと複数の NIC を使用する SQL Server でのバックアップの構成
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- クライアント側の暗号化セキュリティ
- プライマリ、メディアサーバー、およびグラフィカルユーザーインターフェースのセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- プライマリサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- プライマリサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- NetBackup 操作の監査
- 第 I 部 個人情報とアクセスの管理
- 個人情報とアクセスの管理について
- AD ドメインと LDAP ドメイン
- アクセスキー
- API キー
- auth.conf ファイル
- 役割に基づくアクセス制御
- OS 管理者の NetBackup インターフェースアクセス
- スマートカードまたはデジタル証明書
- シングルサインオン (SSO)
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのプライマリサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup プライマリサーバーのインストール
- クラスタ化されたプライマリサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- プライマリおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- 自動イメージレプリケーションでの NetBackup アクセス制御 (NBAC) の使用
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- 権限Vault の認可オブジェクト
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- サーバーの変更を NBAC と一緒に使った場合の構成要件
- セキュリティ構成リスクの最小化
- 多要素認証の構成
- マルチパーソン認証の構成
- 第 II 部 移動中のデータの暗号化
- NetBackup CA および NetBackup 証明書
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- 証明書の自動再発行の許可または禁止
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- NetBackup 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベース証明書の秘密鍵を暗号化するためのパスフレーズとパスフレーズキーの管理
- ホスト ID ベースの証明書の配備
- ホスト ID ベースの証明書の非同期的配備
- 証明書の有効期間に対するクロックスキューの意味
- プライマリサーバー (認証局) との信頼の設定
- 証明書の配備の強制実行または上書き
- プライマリ以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- プライマリサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化されたセットアップでのホスト ID ベースの証明書配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後のクラスタ化されたプライマリサーバーでの証明書の生成
- 非武装地帯にある NetBackup クライアントとプライマリサーバーの間の HTTP トンネルを介した通信について
- NetBackup ホストの手動での追加
- NetBackup CA の移行
- 移動中のデータの暗号化 (DTE) の構成
- 外部 CA と外部証明書
- NetBackup での外部 CA のサポートについて
- NetBackup ホスト通信で外部証明書を使用するワークフロー
- 外部 CA が署名した証明書の構成オプション
- NetBackup サーバーとクライアントの ECA_CERT_PATH
- NetBackup サーバーとクライアントの ECA_TRUST_STORE_PATH
- NetBackup サーバーとクライアントの ECA_PRIVATE_KEY_PATH
- NetBackup サーバーとクライアントの ECA_KEY_PASSPHRASEFILE
- NetBackup サーバーとクライアントの ECA_CRL_CHECK
- NetBackup サーバーとクライアントの ECA_CRL_PATH
- NetBackup サーバーとクライアントの ECA_CRL_PATH_SYNC_HOURS
- NetBackup サーバーとクライアントの ECA_CRL_REFRESH_HOURS
- NetBackup サーバーとクライアントの ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup サーバーとクライアントの ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup プライマリサーバーの MANAGE_WIN_CERT_STORE_PRIVATE_KEY オプション
- NetBackup サービスがローカルサービスアカウントのコンテキストで実行されている場合の Windows 証明書ストアの制限事項
- 外部 CA の証明書失効リストについて
- 証明書の登録について
- プライマリサーバーの登録状態の表示について
- NetBackup Web サーバー用の外部証明書の構成
- 外部 CA が署名した証明書を使用するプライマリサーバーの構成
- インストール後に外部 CA が署名した証明書を使用するための NetBackup ホスト (メディアサーバー、クライアント、クラスタノード) の構成
- リモートホストの外部証明書の登録
- NetBackup ドメインがサポートする認証局の表示
- NetBackup Web UI での外部 CA が署名した証明書の表示
- ファイルベースの外部証明書の更新
- 証明書の登録を削除
- NetBackup ドメインでの NetBackup CA の無効化
- NetBackup ドメインでの NetBackup CA の有効化
- NetBackup ドメインでの外部 CA の無効化
- 登録済み外部証明書のサブジェクト名の変更
- クラスタプライマリサーバー用の外部証明書の構成について
- キーと証明書の再生成
- NetBackup CA および NetBackup 証明書
- 第 III 部 格納データの暗号化
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 格納データの暗号化の宛先形式
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- NetBackup Key Management Service
- FIPS 対応 KMS について
- KMS のインストール
- KMS の構成
- キーデータベースの作成
- キーグループとキーレコードについて
- キーレコードの状態の概要
- KMS データベースファイルのバックアップについて
- すべてのデータファイルのリストアによる KMS のリカバリについて
- KMS データファイルのみのリストアによる KMS のリカバリ
- データ暗号化キーの再生成による KMS のリカバリ
- KMS データファイルのバックアップに関する問題
- KMS データベースファイルのバックアップソリューション
- キーレコードの作成
- 主要グループからのキーのリスト
- KMS と連携するための NetBackup の構成
- KMS Web アプリケーションを使用した NetBackup KMS の設定
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) を使用した KMS 操作
- KMS のトラブルシューティング
- 外部のキーマネージメントサービス
- 格納データの暗号化セキュリティ
- 安全な通信のために NetBackup で使用される暗号
- NetBackup での FIPS 準拠
- FIPS について
- NetBackup での FIPS のサポートについて
- 前提条件
- NetBackup でのエントロピーランダム性の指定
- NetBackup ドメインでの FIPS モードの構成
- インストール時の NetBackup での FIPS モードの有効化
- インストール後の NetBackup ホストでの FIPS モードの有効化
- NetBackup 認証ブローカーサービスに対する FIPS モードの有効化
- NetBackup 管理コンソールの FIPS モードの有効化
- NetBackup に対する FIPS モードの無効化
- NetBackup サーバーとクライアントの NB_FIPS_MODE オプション
- NetBackup サーバーとクライアントの USE_URANDOM
- NetBackup Web サービスアカウント
- 特権のないユーザー (サービスユーザー) アカウントでの NetBackup サービスの実行
- 特権のないユーザーアカウントでの NetBackup コマンドの実行
- NetBackup でのデータの変更不可と削除不可
- 異常検出
- 第 IV 部 マルウェアスキャン
インポート
インポートワークフローでは、バックアップイメージがストレージユニットから読み取られ、NetBackup カタログが作成されます。したがって、クライアントは関与しません。参加ホストは、メディアサーバーと、同じドメインのプライマリサーバーです。
メモ:
イメージに基づいて DTE 制御を保持する場合は、インポート操作を実行する前に、インポート操作に使用するメディアサーバーを NetBackup 10.0 にアップグレードする必要があります。
次の表は、フェーズ 1 のインポート、フェーズ 2 のインポート、SLP (ストレージライフサイクルポリシー) のインポートなど、すべてのインポートワークフローに適用できます。
表: イメージで DTE モードがオフになっている場合
|
グローバル DTE モード |
メディアサーバーが 9.1 以降で DTE モードが次の状態の場合 |
9.1 より前のメディアサーバー | |
|---|---|---|---|
|
オン |
オフ | ||
|
優先オフ |
データは暗号化されない |
データは暗号化されない |
データは暗号化されない |
|
優先オン |
データは暗号化される |
データは暗号化されない |
データは暗号化されない |
|
適用済み |
データは暗号化される |
操作が失敗する |
操作が失敗する |
表: イメージ DTE モードがオンで、メディアサーバー DTE 設定がオンの場合
|
グローバル DTE モード |
ホスト |
DTE_IGNORE_IMAGE_MODE 構成オプションの値 | ||
|---|---|---|---|---|
|
NEVER (デフォルト) |
WHERE_UNSUPPORTED |
ALWAYS | ||
|
優先オフ |
NetBackup メディアサーバー 9.1 以降 |
データは暗号化される |
データは暗号化される |
データは暗号化されない |
|
9.1 より前の NetBackup メディアサーバー |
データは暗号化されない |
データは暗号化されない |
データは暗号化されない | |
|
優先オン |
NetBackup メディアサーバー 9.1 以降 |
データは暗号化される |
データは暗号化される |
データは暗号化される |
|
9.1 より前の NetBackup メディアサーバー |
データは暗号化されない |
データは暗号化されない |
データは暗号化されない | |
|
適用済み |
NetBackup メディアサーバー 9.1 以降 |
データは暗号化される |
データは暗号化される |
データは暗号化される |
|
9.1 より前の NetBackup メディアサーバー |
操作が失敗する |
操作が失敗する |
操作が失敗する | |
メモ:
フェーズ 1 のインポートでは、9.1 以降のメディアサーバーのイメージの DTE モードを無視するようにメディアサーバーで DTE_IGNORE_IMAGE_MODE を設定する必要があります。
フェーズ 1 のインポートシナリオでは、9.1 より前の NetBackup メディアサーバーはイメージの DTE モードを認識しません。フェーズ 1 のインポートで DTE モードがオンに設定された状態でイメージが作成された場合、9.1 より前のバージョンのメディアサーバーではジョブは失敗せず、イメージ DTE モードがカタログでオフに設定されます。
メモ:
DTE_IGNORE_IMAGE_MODE が ALWAYS に設定されている場合、DTE の判断は 表: イメージで DTE モードがオフになっている場合 に従って行われます。
表: イメージ DTE モードがオンで、10.0 以降のメディアサーバー DTE 設定がオフの場合
|
グローバル DTE モード |
DTE_IGNORE_IMAGE_MODE 構成オプションの値 | ||
|---|---|---|---|
|
NEVER (デフォルト) |
WHERE_UNSUPPORTED |
ALWAYS | |
|
優先オフ |
操作が失敗する |
操作が失敗する |
データは暗号化されない |
|
優先オン |
操作が失敗する |
操作が失敗する |
データは暗号化されない |
|
適用済み |
操作が失敗する |
操作が失敗する |
操作が失敗する |
メモ:
DTE_IGNORE_IMAGE_MODE が ALWAYS に設定されている場合、DTE の判断は表 - 表: イメージで DTE モードがオフになっている場合 に基づきます。
この場合、イメージはすでにターゲットディスクプールにレプリケートされているため、SLP インポートポリシーを使用してそのイメージからカタログを作成することが目的になります。この操作はターゲットドメインで行われ、クロスドメイン操作は起こらないので、ターゲットの DTE グローバル設定が関与します。
レプリケートされたイメージで DTE モードがオンの場合、他の DTE 構成に関係なく、インポート操作は DTE モードがオンの状態で実行されます。
レプリケートされたイメージで DTE モードがオフの場合、DTE モードはターゲットドメインのグローバル DTE 設定に基づいて導出され、インポートは導出された DTE モードに基づいて実行されます。
このワークフローについて考慮する必要がある、次の MSDP の制限事項を確認してください。
MSDP ストレージサーバーに複数の負荷分散メディアサーバーが接続されており、選択したメディアサーバーが 10.0.0.1 以降の場合、ストレージサーバーは 10.0.0.1 以降である必要があります。そうでないと、バックアップジョブは失敗します。10.0 ストレージサーバーを 10.0.0.1 にアップグレードする必要があります。
負荷分散メディアサーバーが 10.0 以前の場合、DTE が優先される場合でも、データは平文で転送でき、ジョブは常に成功します。
理想的には、DTE が有効であれば、10.0.0.1 以降の負荷分散メディアサーバーとストレージサーバーを設ける必要があります。
ストレージサーバーまたは負荷分散メディアサーバーのいずれかが 10.0 より前のバージョンである混在環境の場合、エンドツーエンドの暗号化を実現するには次の構成が必要です。
DTE は、DTE 構成設定 (グローバル、メディアサーバー、およびクライアント DTE モード) に基づいて NetBackup 側から有効にする必要がある
pd.conf の ENCRYPTION フラグを使用して MSDP 側から暗号化を有効にする必要がある
MSDP を使用した暗号化の有効化について詳しくは、『NetBackup 重複排除ガイド』を参照してください。
メモ:
NetBackup で DTE をオンにしても、pd.conf の ENCRYPTION フラグが有効になっていない場合、負荷分散メディアサーバーからストレージサーバーへのデータパスは暗号化されません。ただし、ジョブ DTE モードとイメージ DTE モードはオンになることがあります。
DTE が NetBackup 側で有効になっており、暗号化が MSDP 側で有効になっている (pd.conf の ENCRYPTION フラグ) 場合、MSDP 暗号化が NetBackup DTE より優先されます。その結果、格納データの暗号化が行われ、移動中のデータの暗号化は行われません。