Veritas NetBackup™ Appliance セキュリティガイド

Last Published:
Product(s): Appliances (5.0)
Platform: NetBackup Appliance OS
  1. NetBackup Appliance セキュリティガイドについて
    1.  
      NetBackup Appliance セキュリティガイドについて
  2. ユーザー認証
    1. NetBackup Appliance のユーザー認証について
      1.  
        NetBackup アプライアンスで認証できるユーザーの種類
    2. ユーザー認証の設定について
      1.  
        一般的なユーザー認証ガイドライン
    3.  
      LDAP ユーザーの認証について
    4.  
      Active Directory ユーザーの認証について
    5.  
      Kerberos-NIS ユーザーの認証について
    6. スマートカードとデジタル証明書を使用した認証について
      1.  
        2FA
      2.  
        NetBackup Web UI でのスマートカード認証
      3.  
        NetBackup Appliance Web UI でのスマートカード認証
      4.  
        役割ベースのアクセス制御の構成
      5.  
        NetBackup Web UI でのスマートカードまたはデジタル証明書の認証の構成
    7.  
      アプライアンスのログインバナーについて
    8. ユーザー名とパスワードの仕様について
      1.  
        STIG 準拠パスワードポリシールールについて
  3. ユーザー権限の確認
    1.  
      NetBackup Appliance におけるユーザー認可について
    2. NetBackup Appliance ユーザーの認可について
      1.  
        NetBackup Appliance ユーザー役割権限
    3.  
      管理者ユーザーのロールについて
    4.  
      NetBackupCLI ユーザーの役割について
    5.  
      NetBackup でのユーザー権限の確認について
  4. 侵入防止、侵入検知システム
    1.  
      NetBackup Appliance の Symantec Data Center Security について
    2.  
      NetBackup Appliance の侵入防止システムについて
    3.  
      NetBackup Appliance の侵入検知システムについて
    4.  
      NetBackup アプライアンスの SDCS イベントの見直し
    5.  
      NetBackup アプライアンスでのアンマネージモードでの SDCS の実行
    6.  
      NetBackup アプライアンスでのマネージモードでの SDCS の実行
  5. ログファイル
    1.  
      NetBackup Appliance のログファイルについて
    2.  
      Support コマンドの使用によるログファイルの表示
    3.  
      Browse コマンドを使用した NetBackup Appliance ログファイルの参照場所
    4.  
      NetBackup Appliance でのデバイスログの収集
    5.  
      ログ転送機能の概要
  6. オペレーティングシステムのセキュリティ
    1.  
      NetBackup Appliance のオペレーティングシステムのセキュリティについて
    2.  
      NetBackup Appliance の OS の主要コンポーネント
    3.  
      NetBackup Appliance オペレーティングシステムへのユーザーアクセスの無効化
    4.  
      メンテナンスシェルへのサポートのアクセスの管理
  7. データセキュリティ
    1.  
      データセキュリティについて
    2.  
      データ整合性について
    3.  
      データの分類について
    4. データの暗号化について
      1.  
        KMS サポート
  8. Web セキュリティ
    1.  
      SSL の使用について
    2.  
      ECA 証明書の実装について
  9. ネットワークセキュリティ
    1.  
      IPsec チャネル設定について
    2.  
      NetBackup Appliance ポートについて
    3.  
      NetBackup Appliance ファイアウォールについて
  10. コールホームセキュリティ
    1. AutoSupport について
      1.  
        データセキュリティ基準
    2. コールホームについて
      1.  
        NetBackup Appliance シェルメニューからのコールホームの構成
      2.  
        アプライアンスシェルメニューからのコールホームの有効化と無効化
      3.  
        NetBackup Appliance シェルメニューからのコールホームプロキシサーバーの構成
      4.  
        コールホームワークフローの理解
    3. SNMP について
      1.  
        Management Information Base (MIB) について
  11. リモート管理モジュール (RMM) セキュリティ
    1.  
      IPMI 設定の紹介
    2.  
      推奨される IPMI 設定
    3.  
      RMM ポート
    4.  
      リモート管理モジュールでの SSH の有効化
    5.  
      デフォルトの IPMI SSL 証明書の置換
  12. STIG と FIPS への準拠
    1.  
      NetBackup Appliance の OS STIG の強化
    2.  
      NetBackup Appliance における FIPS 140-2 への準拠
    3.  
      FIPS 準拠の暗号について
  13. 付録 A. セキュリティのリリース内容
    1.  
      NetBackup Appliance のセキュリティリリース内容
  14.  
    索引

ECA 証明書の実装について

NetBackup Appliance の Web サービスでは、PKCS#12 標準を使用し、証明書ファイルを X.509 (.pem) 形式にする必要があります。証明書ファイルが .der.DER または .p7b 形式の場合、NetBackup Appliance はファイルを受け入れ可能な形式に自動的に変換します。

証明書の要件

証明書のインポート中にエラーを防ぐには、外部証明書ファイルが次の要件を満たしていることを確認します。

  • 証明書ファイルが .pem ファイル形式であり、"-----BEGIN CERTIFICATE-----"で始まっている 。

  • 証明書ファイルの証明書の SAN (サブジェクトの別名) フィールドにホスト名と FQDN が含まれている。証明書を HA 環境で使用する場合、SAN フィールドには VIP、ホスト名、FQDN が含まれている必要がある。

  • サブジェクト名フィールドと一般名フィールドが空ではない。

  • サブジェクトフィールドが各ホストで一意である。

  • サブジェクトフィールドに含まれる文字が最大 255 文字である。

  • サーバーとクライアントの認証属性が証明書に設定されている。

  • 証明書のサブジェクトフィールドおよび SAN フィールドで ASCII 7 文字のみが使用されている。

  • 秘密鍵ファイルが PKCS#8 PEM 形式で、-----BEGIN ENCRYPTED PRIVATE KEY----- または -----BEGIN PRIVATE KEY----- で始まっている。

証明書署名要求 (CSR)

省略可能ですが、Settings > Security > Certificate > CertificateSigningRequest > Create コマンドを使用して CSR を生成できます。CSR の内容をコマンドラインから ECA ポータルにコピーして、必要な外部証明書ファイルを取得します。

Example:
Enter specified value or use the default value.
Common Name (eg, your name or your server's hostname) [Default nbapp2ao]:
Organizational Unit Name (eg, section) []:Appliance
Organization Name (eg, company) [Default Company Ltd]:Veritas
Locality Name (eg, city) [Default City]:Beijing
State or Province Name (full name) []:Beijing
Country Name (2 letter code) [XX]:CH
Email Address []:support@veritas.com
Please enter the following 'extra' attributes
to be sent with your certificate request.
-----
A challenge password []:123456
An optional company name []:VRTS
Subject Alternative Name (DNS Names and/or IP Addresses comma separated):nbapp2ao,nbapp2ao.engba.veritas.com
Subject Alternative Name (email comma separated):
Certificate Signing Request Name [Default nbapp2ao.csr]:
Validity period (in days) [Default 365 days]:
Ensure that the Distinguished Name (DN) is specified as a string consisting of a sequence of key=value pairs separated by a comma:
Then the generated certificate signing request will be shown on the screen.
ECA の登録

バージョン 4.1 以降、Settings > Security > Certificate > Import コマンドを使用して NetBackup Appliance と NetBackup の両方に ECA を登録できます。

ホスト証明書、ホストの秘密鍵、トラストストアをインポートして、ECA を NetBackup と NetBackup Appliance に登録するには、次の手順を実行します。NetBackup 層と NetBackup Appliance 層の両方で同じホスト証明書、ホストの秘密鍵、トラストストアを使用します。

  1. 管理者ユーザーとしてアプライアンスにログインします。
  2. NetBackup Appliance シェルメニューから Settings > Security > Certificate > Import コマンドを実行します。これで次の NFS および CFS 共有の場所にアクセスできます。

    • NFS: /inst/share

    • CFS: \\<ApplianceName>\general_share

  3. 証明書ファイル、トラストストアファイル、秘密鍵ファイルを共有の場所のいずれかにアップロードし、ファイルへのパスを入力します。
  4. 証明書失効リスト (CRL) へのアクセス方法を選択します。CRL は、ECA によって失効され、信頼すべきではない外部証明書の一覧で構成されています。次のオプションのいずれかを選択します。

    • 証明書ファイルに指定されている CRL の場所を使用する。

    • ローカルネットワークの CRL ファイル (.crl) の場所を指定します。

    • CRL を使用しない。

  5. アプライアンスに登録する証明書ファイルの場所を確認します。

次に、証明書をインポートする方法の詳細な例を示します。

  • インポートする必要がある証明書を特定します。

    After certificate uploaded, /inst/share/ may look like that:
/inst/share # ls
cacerts.pem  cert_chain.pem  crl  key.pem
/inst/share # ls crl
NBAECA.crl  NBAECA_INTERMEDIATE.crl  NBRootCA.crl

  • 証明書をインポートします。

    Enter the certificate:
Enter the following details for external certificate configuration:
Enter the certificate file path: cert_chain.pem
Enter the trust store file path: cacerts.pem
Enter the private key path: key.pem
Enter the password for the passphrase file path or skip security configuration (default: NONE):
Should a CRL be honored for the external certificate?
1) Use the CRL defined in the certificate.
2) Use the specific CRL directory.
3) Do not use a CRL.
q) Skip security configuration.
CRL option (1): 2
Enter the CRL location path: crl
Then confirm input information and answer the subsequent questions.

  • 証明書ファイルは、登録後に /usr/openv/var/hostcert ディレクトリに格納されます。

Copilot のサポート

外部証明書を使用して配備されたアプライアンスで Copilot 機能を使用する前に、次のことを確認してください。

  • アプライアンスの証明書ファイル (/etc/vxos-ssl/servers/certs/) が、プライマリサーバーの証明書ファイル (/usr/openv/var/global/appliance_certificates/) と同じである。

  • アプライアンスの証明書ファイル (/etc/vxos-ssl/servers/certs/) に <FQDN_hostname>-self.cert.pem という形式の名前が付いている。

関連付けられている各アプライアンスで、次のコマンドを実行します。 

rm /etc/vxos-ssl/servers/certs/<FQDN_hostname>-self.cert.pem

cp /etc/vxos-ssl/servers/certs/server.pem 
/etc/vxos-ssl/servers/certs/<FQDN_hostname>-self.cert.pem

tpconfig -delete -nb_appliance <Short_hostname>

/opt/NBUAppliance/scripts/copilot_users.pl --add
証明書の追加と削除

Certificate コマンドを使用して、NetBackup Appliance で外部証明書を管理できます。

Settings > Security > Certificate > Add CACertificate コマンドを使用して、サーバー CA、HTTPS プロキシ CA、または LDAP CA 証明書を認証局リストに追加できます。CA 証明書の内容を PEM または P7B 形式で貼り付けます。アプライアンスは認証局リストにこの CA 証明書を追加します。CA 証明書を追加する前に、アプライアンスは CA 証明書がすでにアプライアンスで使用されているかどうかを確認します。使用されている場合、アプライアンスはその旨を示すメッセージを表示して終了します。新しく追加された CA 証明書によって、システム全体のトラストストア、Tomcat キーストア、NetBackup トラストストアが更新されます。

  • システム全体のトラストストア:

    CA 証明書はシステム全体のトラストストアに追加されます。CA 証明書を /etc/pki/ca-trust/source/anchors/ にコピーし、/etc/pki/ca-trust/extracted 以下のすべての場所に CA 証明書を追加します。これには、/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pemobjsign-ca-bundle.pem tls-ca-bundle.pem/etc/pki/ca-trust/extracted/java/cacerts が含まれます。

  • Tomcat キーストア:

    CA 証明書は Tomcat トラストストア /opt/apache-tomcat/security/keystore に追加されます。

  • NetBackup トラストストア:

    NetBackup によって ECA が有効になっている場合、CA は /usr/openv/var/hostcert/trustStorePath/cacerts.pem ファイルの最後に追加されます。configureWebServerCerts を呼び出して、NetBackup Web サービスのトラストストアを更新します。これには、/usr/openv/var/global/wsl/credentials/externalcacreds/nbwebservice.bcfks/usr/openv/var/global/wsl/credentials/tpcredentials/nbwebservice.bcfks が含まれます。

Settings > Security > Certificate > Remove CACertificate コマンドを使用して、認証局リストからサーバー CA 証明書を削除できます。利用可能な CA 証明書が一覧表示され、削除する証明書を選択できます。CA 証明書が削除され、システム全体のトラストストア、Tomcat キーストア、NetBackup トラストストアが更新されます。

  • システム全体のトラストストア:

    /etc/pki/ca-trust/source/anchors にある CA 証明書ファイルが削除され、システム全体のトラストストアが更新されます。これには、/etc/pki/ca-trust/extracted/openssl/ca-bundle.trust.crt/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pemobjsign-ca-bundle.pem tls-ca-bundle.pem/etc/pki/ca-trust/extracted/java/cacerts が含まれます。

  • Tomcat キーストア:

    CA 証明書が Tomcat キーストアから削除されます。

  • NetBackup トラストストア:

    NetBackup 関連のキーストアから CA 証明書を削除します。/usr/openv/var/hostcert/trustStorePath/cacerts.pem ファイルの CA が削除され、次に NetBackup Web サービストラストストアの CA が削除されます。これには、/usr/openv/var/global/wsl/credentials/externalcacreds/nbwebservice.bcfks/usr/openv/var/global/wsl/credentials/tpcredentials/nbwebservice.bcfks が含まれます。