Search <book_title>...

Veritas NetBackup™ セキュリティおよび暗号化ガイド

Last Published: 2018-03-28

Product(s): NetBackup (8.1.1)

MSEO (Media Server Encryption Option) を使用する複数のデータセンター

MSEO (Media Server Encryption Option) を使用する複数のデータセンターは、中規模から大規模な (50 を超える) ホストのグループで、これらのホストは地理的に 2 か所以上の地域にまたがります。ホストは、WAN (ワイドエリアネットワーク) で接続されています。この例では、データセンターの 1 つはロンドンにあり、もう 1 つは東京にあります。両方のデータセンターは、専用の WAN 接続を介して接続されています。

この複数のデータセンターの例には、一般的に 50 を超えるホストを含むことができます。外部に接続するすべてのホストは、MSEO (Media Server Encryption Option) を使用します。この例では、一部のクライアントには暗号化されたバックアップを使用し、その他のホストには MSEO オプションを使用しています。機密性が非常に高いためにオフサイトではアーカイブできないデータは、暗号化されていない形式でその場所に格納されたままになります。

MSEO (Media Server Encryption Option) を使用する複数のデータセンターには、次の特徴があります。

NetBackup は WAN を介して地理的に 2 か所以上の地域にまたがる
NetBackup の新しいオプションである
オフサイトデータの保護に役立つ
回線の消極的な妨害は許容リスクであるため、データは暗号化されずにクライアントから送信される
単一障害点と同様、鍵の管理と暗号化は 1 か所で管理される高可用性クラスタを使用すると便利です。
同時に複数のクライアントを処理するために、堅牢なメディアサーバーが必要である
暗号化されたテープをオフサイトに送る必要があるが、CPU に負荷がかかるクライアントの暗号化処理を軽減させる場合に有効である
データを戻すには鍵が必要である。鍵を失うと、データも失われます。(暗号化の章の鍵の共有バックアップに関する情報を参照してください。)

図: MSEO (Media Server Encryption Option) を使用する複数のデータセンターに、MSEO (Media Server Encryption Option) を使用する複数のデータセンターの例を示します。

図: MSEO (Media Server Encryption Option) を使用する複数のデータセンター

次の表に、MSEO を実装した複数のデータセンターで使われる NetBackup の構成要素を示します。

表: MSEO が実装された複数のデータセンターにおける NetBackup の構成要素

構成要素	説明
ロンドンのデータセンター	マスターサーバー、メディアサーバー 1、MSEO 1、クライアント 1、2、3 および DMZ 内のクライアント 5 Web サーバーが含まれます。また、クライアント 1、2、3 の暗号化されたデータテープと、クライアント 5 の暗号化されていないデータテープが含まれます。ロンドンのデータセンターは、専用の WAN 接続を介して東京のデータセンターに接続されます。
東京のデータセンター	メディアサーバー 2、MSEO 2、クライアント 8、9 および DMZ 内のクライアント 11 Web サーバーが含まれます。また、クライアント 8、9 用の暗号化されたデータテープと、クライアント 11 用の暗号化されていないデータテープが含まれます。東京のデータセンターは、専用の WAN 接続を介してロンドンのデータセンターに接続されます。
WAN (ワイドエリアネットワーク)	東京のデータセンターにロンドンのデータセンターを接続する専用の WAN リンクです。WAN を使用することで、ロンドンのマスターサーバーを、東京のメディアサーバー 2 およびクライアント 8、9、11 に接続できます。
マスターサーバー	ロンドンのデータセンターにあるマスターサーバーは、メディアサーバー 1 およびクライアント 1、2、3、5 と通信します。また、このマスターサーバーは、WAN を使用して東京のメディアサーバー 2 およびクライアント 8、9、11 と通信します。
メディアサーバー	この複数のデータセンターは 2 つのメディアサーバーを使います。メディアサーバー 1 はロンドンのデータセンターにあり、メディアサーバー 2 は東京のデータセンターにあります。ロンドンのメディアサーバー 1 は、マスターサーバー、MSEO 1、クライアント 1、2、3、5 と通信します。メディアサーバー 1 は、クライアント 5 の暗号化されていないデータをテープに書き込みます。また、メディアサーバー 1 は、MSEO 1 を使用してクライアント 1、2、3 の暗号化されたデータもテープに書き込みます。暗号化されたテープは、ロンドンのオフサイト Vault に発送されます。東京のメディアサーバー 2 は、WAN を介してロンドンのマスターサーバーと通信し、また、東京のクライアント 8、9、11 と通信します。メディアサーバー 2 は、クライアント 11 の暗号化されていないデータをテープに書き込みます。また、メディアサーバー 2 は、MSEO 2 を使用してクライアント 8、9 の暗号化されたデータもテープに書き込みます。暗号化されたテープは、東京のオフサイト Vault に発送されます。
MSEO	2 台の MSEO ハードウェア装置により、個々のクライアントでの暗号化処理の負荷が軽減されます。MSEO 装置を使用することで、クライアント側で暗号化を行う場合と比較して、個々のクライアントの CPU パフォーマンスが向上します。MSEO 1 はロンドンのデータセンターにあり、MSEO 2 は東京のデータセンターにあります。MSEO 1 では、クライアント 1、2、3 の暗号化されたデータテープが作成され、ロンドンのオフサイトに格納されます。MSEO 2 では、クライアント 8、9 の暗号化されたデータテープが作成され、東京のオフサイトに格納されます。
テープ	暗号化されていないデータテープおよび暗号化されたデータテープの両方が、ロンドンと東京のデータセンターで作成されます。暗号化されたテープには、MSEO によって暗号化されたバックアップデータが格納されます。ロンドンでは、クライアント 5 用に、暗号化されていないテープが書き込まれ、ロンドンのデータセンターのオンサイトに格納されます。クライアント 1、2、3 用には、暗号化されたテープが書き込まれます。クライアント 1、2、3 の暗号化されたテープは、ディザスタリカバリ保護用にロンドンのオフサイト Vault に発送されます。東京では、クライアント 11 用に、暗号化されていないテープが書き込まれ、東京のデータセンターのオンサイトに格納されます。クライアント 8、9 用には、暗号化されたテープが書き込まれます。クライアント 8、9 の暗号化されたテープは、ディザスタリカバリ保護用に東京のオフサイト Vault に発送されます。メモ: データを復号化するには、そのデータの暗号化に使用した鍵が利用可能である必要があります。
トランスポート	2 つのトランスポートがあります。1 つはロンドン、もう 1 つは東京にあります。ロンドンのトランスポートトラックにより、クライアント 1、2、3 の暗号化されたテープは、セキュリティ保護されたロンドンのオフサイト Vault 施設に運ばれます。東京のトランスポートトラックにより、クライアント 8、9 の暗号化されたテープは、セキュリティ保護された東京のオフサイト Vault 施設に運ばれます。メモ: 輸送中にテープが失われた場合でも、データセンターの管理者は、データの漏洩リスクを軽減することができます。この漏洩は、データの暗号化により軽減されます。
オフサイト Vault	オフサイトに配置される Vault は 2 つあります。1 つはロンドン、もう 1 つは東京にあります。どちらの Vault も、暗号化されたテープを格納する安全な施設であり、それぞれのデータセンターとは別の場所に存在します。メモ: 優れたディザスタリカバリ保護を実現するために、暗号化されたテープはデータセンターから離れた場所に格納されます。
クライアント	クライアントは、ロンドンと東京の両方のデータセンターに配置されています。ロンドンのクライアント 1、2、3 は MSEO 形式であり、クライアント 5 は DMZ 内に配置されている Web サーバー形式 (MSEO は使用しない) です。どちらの形式のサーバーも、マスターサーバーによって管理できます。また、暗号化されたデータは、MSEO ハードウェア装置が接続されたメディアサーバー 1 によってテープにバックアップされます。クライアント 5 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信します。東京のクライアント 8、9 は MSEO の形式です。クライアント 11 は、DMZ に配置されている Web サーバー形式 (MSEO は使用しない) です。どちらの形式のサーバーも、ロンドンにあるマスターサーバーによって管理できます。また、暗号化されたデータは、MSEO ハードウェア装置が接続されたメディアサーバー 2 によってテープにバックアップされます。クライアント 11 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信します。
内部ファイアウォール	複数のデータセンターは 2 つの内部ファイアウォールを使うことができます。1 つはロンドン、もう 1 つは東京にあります。ロンドンでは、NetBackup は、内部ファイアウォールを通過して DMZ 内のクライアント 5 (Web サーバー) にアクセスできます。東京では、NetBackup は、内部ファイアウォールを通過して DMZ 内のクライアント 11 (Web サーバー) にアクセスできます。選択された NetBackup ポートおよび他のアプリケーションポート (可能な場合) のみが、DMZ とのデータ通信を行うことができます。その他の HTTP ポートは外部ファイアウォールで開くことができますが、内部ファイアウォールを通過できません。
非武装地帯 (DMZ)	複数のデータセンターは 2 つの DMZ を使うことができます。1 つはロンドン、もう 1 つは東京にあります。ロンドンでは、DMZ は、内部ファイアウォールと外部ファイアウォールとの間に存在する Web サーバークライアント 5 に対して、「安全な」操作領域を提供します。DMZ 内の Web サーバークライアント 5 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。また、Web サーバークライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。東京では、DMZ は、内部ファイアウォールと外部ファイアウォールとの間に存在する Web サーバークライアント 11 に対して、「安全な」操作領域を提供します。DMZ 内の Web サーバークライアント 11 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。また、Web サーバークライアント 11 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。
外部ファイアウォール	MSEO を使用する複数のデータセンターは 2 つの外部ファイアウォールを使うことができます。1 つはロンドン、もう 1 つは東京にあります。ロンドンでは、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 5 にアクセスできます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 5 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。東京では、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 11 にアクセスできます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 11 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。
インターネット	インターネットは 1 つしかありませんが、この複数のデータセンターの例では 2 つのインターネット接続があります。1 つはロンドン、もう 1 つは東京にあります。インターネットは、相互に接続されたコンピュータネットワークの集まりで、銅線、ファイバー光ケーブル、および無線接続によってリンクされています。ロンドンでは、Web サーバークライアント 5 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。東京では、Web サーバークライアント 11 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。