NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像同步复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- 操作系统管理员的 NetBackup 界面访问权限
- 智能卡或数字证书
- 单点登录 (SSO)
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 使用带 NBAC 的更改服务器时的配置要求
- 将安全配置风险降至最低
- 配置多重身份验证
- 配置多人授权
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 管理用于对基于主机 ID 的证书私钥加密的密码和密码密钥
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中用于安全通信的密码
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- 使用非特权用户帐户运行 NetBackup 命令
- NetBackup 中数据的不可变性和不可删除性
- 异常检测
- 第 IV 部分. 恶意软件扫描
关于恶意软件扫描
NetBackup 会在支持的备份映像中查找恶意软件,并查找上一个无恶意软件的已知映像。Standard、MS-Windows、NAS-Data-Protection、Cloud、Cloud-Object-Store、Universal Share、Kubernetes、VMware 和 Nutanix AHV 工作负载支持此功能。
NetBackup 可以使用以下“搜索依据”选项之一扫描存储在 MSDP、MSDP 云、AdvancedDisk 或 OST 上的映像:
备份映像
此选项用于扫描客户端备份映像策略以查找恶意软件。
资产 (按策略类型)
NetBackup 支持对 MS-Windows、Cloud-Object-Store、NAS-Data-Protection 和 Standard 策略类型进行恶意软件扫描。以下部分介绍扫描 NAS-Data-Protection 备份映像以查找恶意软件的过程。
NAS-Data-Protection
每个 NAS 卷或共享都通过 NFS 或 SMB 进行读取,并使用配置的备份流数进行备份。每卷最大数据流数确定备份每个卷时创建的备份流数。例如,假设一个策略包含 10 个卷且最多数据流数为 4。该策略的备份将为每个卷创建 4 个备份流,总共有 40 个子备份流和 10 个父备份流。
注意:
扫描数取决于为执行扫描而创建的批处理数。UI 上仅显示父数据流备份映像。
有关多数据流备份的更多信息,请参考《NetBackup NAS 管理指南》。
资产 (按工作负载类型)
此恶意软件扫描选项用于扫描 VMware、通用共享、Kubernetes、云 VM 和 Nutanix AHV 资产以查找恶意软件。
注意:
NetBackup 仅支持对 MSDP 中的 VMware 资产进行备份映像恶意软件扫描。
确保满足以下前提条件:
备份是使用 NetBackup 10.1 或更高版本的存储服务器执行的。
备份映像仅存储在具有即时访问功能的 MSDP 存储中(仅适用于受支持的策略类型)。
上次备份必须成功。
您必须具有有权执行恶意软件扫描的 RBAC 角色。
注意:
根据选择条件,扫描最多可启动 100 个映像。
恶意软件扫描具有以下优点:
可以选择受支持策略类型的一个或多个备份映像,以进行按需扫描。可以使用预定义的扫描主机列表。
如果在扫描期间检测到恶意软件,则 Web UI 中会生成通知。
如果将文件哈希服务器配置为不受 Alta View 管理的 NetBackup 域,则在检测到恶意软件后,会定期(间隔可配置)对整个映像目录库触发恶意软件哈希的自动文件哈希搜索作业。
有关文件哈希搜索的更多信息,请参考《NetBackup Web UI 管理指南》中的“关于 NetBackup 中的文件哈希搜索”部分。
如果由于无法从扫描程序访问文件或恶意软件扫描程序出现故障而跳过文件,则会生成以下相应通知,其中包含有关已跳过文件的数量和列表的信息:
严重性级别为“严重”:如果在备份映像中发现恶意软件,并且在扫描期间跳过了某些文件。
严重性级别为“警告”:如果在备份映像中未发现恶意软件,但在扫描过程中跳过了某些文件。
可以通过单击获取此信息。
注意:
“活动监视器”中的恶意软件扫描作业需要几分钟的时间来反映针对多个备份映像运行的扫描操作的最终状态。
例如,如果在一个请求中针对 5 个备份映像运行扫描操作,则“活动监视器”中的恶意软件扫描作业将需要 5 分钟才能反映完成最后一个(第五个)备份映像扫描作业后的最终状态。
注意:
在恢复期间,如果用户从受恶意软件影响的备份映像启动恢复,则会显示一条警告消息,需要确认才能继续恢复。只有有权从受恶意软件影响的映像还原的用户才能继续恢复。
有关恶意软件扫描最佳做法的更多信息,请参考 Smart use of Malware Scanning in NetBackup(《在 NetBackup 中智能使用恶意软件扫描》)。
在恢复流程中,用户可以从 Web UI 触发对所选文件/文件夹的恶意软件扫描以进行恢复,并根据恶意软件扫描结果决定恢复操作。
在恢复时间扫描后,备份映像的目录库条目不会更新,因为在备份中仅扫描部分文件。如果在恢复时间扫描过程中发现恶意软件,则会生成通知。
在恢复时间扫描期间,将扫描开始日期和结束日期范围内的所有映像以查找恶意软件。备份映像恶意软件扫描可能需要很长时间,具体取决于选择进行恢复的文件数。建议将开始/结束日期设置为仅包括要用于恢复的映像。
用户可以为同一备份映像触发多个恢复时间扫描。
在恢复过程中,对小型备份进行恶意软件扫描可能需要至少 15-20 分钟,具体取决于扫描主机的可用性和正在进行的扫描作业数。用户可以使用跟踪进度。扫描结果将以增量方式显示在恶意软件检测页面中。将以增量方式批量选择开始日期和结束日期范围内的备份映像列表进行恶意软件扫描。
恢复时间扫描支持的策略类型:Standard、MS-Windows、Cloud-Object-Store、Universal Share 和 NAS-Data-Protection。
注意:
要成功执行恢复时间恶意软件扫描操作,介质服务器版本必须为 10.4 或更高版本。