NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- NetBackup 8.1 或更高版本主服务器之间的通信
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- RBAC 功能
- RBAC 设置
- 禁用操作系统 (OS) 管理员的 Web UI 访问权限
- 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
- 配置 RBAC
- 添加 AD 或 LDAP 域
- 默认 RBAC 角色
- 管理员
- 默认云管理员
- 默认 NetBackup 命令行 (CLI) 管理员
- 默认 Kubernetes 管理员
- 默认 NetBackup Kubernetes Operator 服务
- 默认 Oracle 管理员
- 默认 Microsoft SQL Server 管理员
- 默认 Resiliency 管理员
- 默认 RHV 管理员
- 默认 SaaS 管理员
- 默认 AHV 管理员
- 默认安全管理员
- 默认存储管理员
- 默认通用共享管理员
- 默认 VMware 管理员
- 添加自定义 RBAC 角色
- 编辑或删除自定义角色
- 查看 RBAC 中的用户
- 将用户添加到角色(非 SAML)
- 将智能卡用户添加到角色(非 SAML,无 AD/LDAP)
- 将用户添加到角色 (SAML)
- 从角色中删除用户
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
- 恶意软件检测
具备 NBAC 完整功能的多数据中心
具备 NBAC 完整功能的多数据中心示例是一个中到大型主机组(超过 50 台主机),这些主机可以跨越两个或更多地理区域,并且可以通过广域网 (WAN) 进行连接。在此示例中,一个数据中心位于伦敦,另一个数据中心位于东京。两个数据中心通过专用 WAN 连接进行连接。
此环境与具备 NBAC 主服务器和介质服务器的多数据中心非常类似。主要的区别在于,参与 NetBackup 环境的所有主机都是使用凭据可靠识别的,并且非 root 管理员可以根据可配置的访问权限级别管理 NetBackup 客户端。请注意,用户标识可以存在于全局存储库中,如 Windows 中的 Active Directory 或 UNIX 中的 NIS。标识也可以存在于支持身份验证代理的那些主机上的本地存储库(UNIX 密码、本地 Windows 域)中。
具备 NBAC 完整功能的多数据中心包括以下要点:
NetBackup 通过 WAN 跨越两个或更多地理区域
与具备 NBAC 主服务器和介质服务器的多数据中心类似,但客户端上的 root 用户或管理员除外。在此配置中允许客户端和服务器的非 root 管理。
在客户端系统上,可以配置非 root/管理员用户来执行本地备份和还原(默认情况下的设置)
该环境有助于可信地标识参与 NetBackup 的所有主机
要求所有主机使用 NetBackup 版本 7.7 或更高版本。
图:具备 NBAC 完整功能的多数据中心 显示了一个具备 NBAC 完整功能的多数据中心示例。
下表介绍实现了 NBAC 完整功能的多数据中心所使用的 NetBackup 部件。
表:实现了 NBAC 完整功能的多数据中心所使用的 NetBackup 部件
|
部件 |
描述 |
|---|---|
|
伦敦数据中心 |
指定伦敦数据中心包含根代理、身份验证代理 1、GUI 1、授权引擎、主服务器、介质服务器 1 以及客户端 1 和 5。伦敦数据中心还包含客户端 1、5 和 10 的未加密数据磁带。伦敦数据中心通过专用 WAN 连接连接到东京数据中心。 |
|
东京数据中心 |
指定东京数据中心包含身份验证代理 2、GUI 2、介质服务器 2 以及客户端 10 和 11。东京数据中心还包含客户端 10 和 11 的未加密数据磁带。东京数据中心通过专用 WAN 连接连接到伦敦数据中心。 |
|
广域网 (WAN) |
指定专用 WAN 链路将伦敦数据中心和东京数据中心连接起来。WAN 提供了根代理和身份验证代理 1 与身份验证代理 2 之间的连接。此外,WAN 还提供根代理和身份验证代理 1 与 GUI 2 以及介质服务器 2 之间的连接。WAN 将授权引擎连接到介质服务器 2。WAN 将主服务器连接到 GUI 2、介质服务器 2 以及客户端 10 和 11。最终,WAN 会将介质服务器 1 连接到客户端 10。 |
|
主服务器 |
指定位于伦敦数据中心的主服务器与根代理和身份验证代理 1 进行通信。它还与 GUI 1、授权引擎和介质服务器 1 进行通信。主服务器会与东京的 GUI 2、介质服务器 2 以及客户端 10 和 11 进一步进行通信。 |
|
介质服务器 |
指定在此多数据中心示例中有两个介质服务器。介质服务器 1 位于伦敦数据中心,介质服务器 2 位于东京数据中心。在伦敦,介质服务器 1 与主服务器、根代理、身份验证代理 1、授权引擎以及客户端 1、5 和 10 进行通信。介质服务器 1 针对客户端 1、5 和 10 将未加密数据写入磁带。 在东京,介质服务器 2 通过 WAN 与伦敦的主服务器、根代理、身份额验证代理 1 以及授权引擎进行通信。介质服务器 2 还与东京的 GUI 2 以及客户端 10 和 11 进行通信。介质服务器 2 针对客户端 10 和 11 将未加密数据写入磁带。 |
|
GUI |
指定在此多数据中心示例中有两个 GUI。GUI 1 在伦敦,GUI 2 在东京。这些远程管理控制台 GUI 从身份验证代理接收凭据。然后,GUI 使用凭据来访问介质服务器和主服务器上的功能。在伦敦,GUI 1 从身份验证代理 1 接收凭据。GUI 1 有权访问主服务器以及介质服务器 1 和 2 上的功能。在东京,GUI 2 从身份验证代理 2 接收凭据。GUI 2 有权访问主服务器以及介质服务器 1 和 2 上的功能。 |
|
根代理 |
指定在一个多数据中心安装中只需要一个根代理。有时根代理会与身份验证代理合二为一。在此示例中,根代理和身份验证代理显示为同一个组件且都位于伦敦数据中心。在伦敦,根代理对同样在伦敦的验证身份验证代理 1 和东京的身份验证代理 2 进行身份验证。根代理不会对客户端进行身份验证。 |
|
身份验证代理 |
指定在一个数据中心安装中可以有多个身份验证代理。有时,可以将身份验证代理与根代理组合在一起。在此数据中心安装中,有两个身份验证代理。身份验证代理通过确认主服务器、介质服务器、GUI 和客户端各自的凭据对其进行身份验证。身份验证代理还会通过命令提示符对用户进行身份验证。在伦敦,身份验证代理 1 会使用主服务器、介质服务器 1、GUI 1 以及客户端 1 和 5 来执行凭据身份验证。东京和伦敦的所有 NetBackup 服务器和客户端都会针对伦敦的身份验证代理 1 进行身份验证。GUI 1 会对伦敦的身份验证代理 1 进行身份验证。GUI 2 会对东京的身份验证代理 2 进行身份验证。 |
|
授权引擎 |
指定在一个数据中心安装中只需要一个授权引擎。授权引擎与主服务器和介质服务器通信,以确定通过身份验证的用户的权限。这些权限决定了功能是否对用户可用。授权引擎还存储用户组和权限。授权引擎驻留在伦敦并与主服务器和介质服务器 1 进行通信。授权引擎还通过 WAN 进行通信,以授予对东京的介质服务器 2 进行访问的权限。 注意: 授权引擎作为后台驻留程序进程驻留在主服务器上。在此图中,它显示为一个单独的图像(仅用于示例)。 |
|
磁带 |
指定未加密数据磁带在伦敦数据中心和东京数据中心产生。在伦敦,未加密磁带针对客户端 1、5 和 10 进行写入并在伦敦数据中心进行场内存储。在东京,未加密磁带针对客户端 10 和 11 进行写入并在东京数据中心进行场内存储。请注意,即使客户端 10 位于东京并在东京进行备份,它也还是会在伦敦进行备份。 |
|
客户端 |
指定客户端位于伦敦和东京数据中心。在伦敦,客户端 1 是标准 NetBackup 类型。客户端 5 是位于 DMZ 中的 Web 服务器类型。所有客户端类型都可以由主服务器进行管理,并通过介质服务器 1 将其数据备份到磁带。客户端 5 使用仅限于 NetBackup 的端口通过内部防火墙与 NetBackup 进行通信。此外,客户端 5 使用仅限于 HTTP 的端口通过外部防火墙从 Internet 接收连接。 在东京,客户端 10 是标准 NetBackup 类型。客户端 11 是位于 DMZ 中的 Web 服务器类型。所有客户端类型都可以由主服务器进行管理,并通过介质服务器 2 将其数据备份到磁带。客户端 11 使用仅限于 NetBackup 的端口通过内部防火墙与 NetBackup 进行通信。此外,客户端 11 使用仅限于 HTTP 的端口通过外部防火墙从 Internet 接收连接。 |
|
内部防火墙 |
指定在此多数据中心示例中可以有两个内部防火墙。一个内部防火墙位于伦敦,另一个内部防火墙位于东京。在伦敦,内部防火墙允许 NetBackup 访问 DMZ 中的 Web 服务器客户端 5。在东京,内部防火墙允许 NetBackup 访问 DMZ 中的 Web 服务器客户端 11。仅为通过内部防火墙进出 DMZ 的数据通信启用了选定的 NetBackup 端口和可能的其他应用程序端口。不允许在外部防火墙中打开的 HTTP 端口通过内部防火墙。 |
|
隔离区 (DMZ) |
指定在此多数据中心示例中可以有两个 DMZ。一个 DMZ 位于伦敦,另一个 DMZ 位于东京。在伦敦,DMZ 为存在于内部防火墙与外部防火墙之间的 Web 服务器客户端 5 提供“安全”操作区域。DMZ 中的 Web 服务器客户端 5 可以使用指定的 NetBackup 端口通过内部防火墙与 NetBackup 通信。Web 服务器客户端 5 还可以仅使用 HTTP 端口通过外部防火墙与 Internet 通信。 在东京,DMZ 为存在于内部防火墙与外部防火墙之间的 Web 服务器客户端 11 提供“安全”操作区域。DMZ 中的 Web 服务器客户端 11 可以使用指定的 NetBackup 端口通过内部防火墙与 NetBackup 通信。Web 服务器客户端 11 还可以仅使用 HTTP 端口通过外部防火墙与 Internet 通信。 |
|
外部防火墙 |
指定在此多数据中心示例中可以有两个外部防火墙。一个外部防火墙位于伦敦,另一个外部防火墙位于东京。在伦敦,外部防火墙允许外部用户通过 HTTP 端口从 Internet 访问位于 DMZ 中的 Web 服务器客户端 5。NetBackup 端口处于打开状态,以便于 Web 服务器客户端 5 通过内部防火墙与 NetBackup 进行通信。不允许 NetBackup 端口通过外部防火墙访问 Internet。只有 Web 服务器客户端 5 的 HTTP 端口可以通过外部防火墙访问 Internet。 在东京,外部防火墙允许外部用户通过 HTTP 端口从 Internet 访问位于 DMZ 中的 Web 服务器客户端 11。NetBackup 端口处于打开状态,以便于 Web 服务器客户端 11 通过内部防火墙与 NetBackup 进行通信。不允许 NetBackup 端口通过外部防火墙访问 Internet。只有 Web 服务器客户端 11 的 HTTP 端口可以通过外部防火墙访问 Internet。 |
|
Internet |
指定只能有一个 Internet,但是此多数据中心示例中有两个 Internet 连接。一个 Internet 连接位于伦敦,另一个 Internet 连接位于东京。Internet 是通过铜线、光纤电缆和无线连接链接到一起的互连计算机网络集合。在伦敦,Web 服务器客户端 5 可以通过外部防火墙使用 HTTP 端口在 Internet 上进行通信。在东京,Web 服务器客户端 11 可以通过外部防火墙使用 HTTP 端口在 Internet 上进行通信。 |