NetBackup ™ セキュリティおよび暗号化ガイド
- NetBackup での安全な通信 (最初にお読みください)
- NetBackup での安全な通信について
- インストール時に NetBackup CA が署名した証明書 (またはホスト ID ベースの証明書) を配備する方法
- マスターサーバーのクラスタノードでの安全な通信の方法
- クラスタ化されたアプリケーションのノードにインストールされた NetBackup クライアントについて
- アップグレード時に NetBackup 証明書をホストに配備する方法
- 証明書配備中に認証トークンが必要である場合
- ホスト名 (または IP アドレス) をホスト ID にマップする理由
- ホスト属性またはホストの通信状態をリセットする方法
- カタログリカバリの変更点
- 自動イメージレプリケーションでの変更点
- 無効化された証明書を使用するホストの動作
- NetBackup 証明書のバックアップについて
- マスターサーバーの外部証明書の設定
- 外部証明書を使用するマスターサーバーのクラスタノードでの安全な通信の方法
- 外部証明書の失効リストの仕組み
- ホストがマスターサーバーに直接接続できないときの通信の動作
- NetBackup 8.1 のホストが NetBackup 8.0 以前のホストと通信する方法
- クラウド構成でのレガシーメディアサーバーとの通信方法
- 通信エラーのシナリオ
- NetBackup ドメイン内の他のホストに対する安全な通信のサポート
- NetBackup 8.1 以降のマスターサーバーとの通信
- BMR の安全な通信のサポート
- SQL Server を保護する VMware のバックアップと複数の NIC を使用する SQL Server でのバックアップの構成
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- セキュリティの配置モデル
- NetBackup 操作の監査
- 第 I 部 個人情報とアクセスの管理
- 個人情報とアクセスの管理について
- AD ドメインと LDAP ドメイン
- アクセスキー
- API キー
- auth.conf ファイル
- 役割に基づくアクセス制御
- RBAC の機能
- RBAC 設定
- OS (オペレーティングシステム) 管理者の Web UI アクセス権の無効化
- OS (オペレーティングシステム) 管理者のコマンドライン (CLI) アクセス権の無効化
- RBAC の構成
- AD または LDAP ドメインの追加
- デフォルトの RBAC の役割
- 管理者
- デフォルトのクラウド管理者
- デフォルトの NetBackup コマンドライン (CLI) 管理者
- デフォルトの Kubernetes 管理者
- デフォルトの NetBackup Kubernetes Operator サービス
- デフォルトの Oracle 管理者
- デフォルトの Microsoft SQL Server 管理者
- デフォルトの Resiliency 管理者
- デフォルトの RHV 管理者
- デフォルトの SaaS 管理者
- デフォルトの AHV 管理者
- デフォルトのセキュリティ管理者
- デフォルトのストレージ管理者
- デフォルトのユニバーサル共有管理者
- デフォルトの VMware 管理者
- カスタムの RBAC 役割の追加
- カスタム役割の編集または削除
- RBAC でのユーザーの表示
- 役割へのユーザーの追加 (非 SAML)
- 役割へのスマートカードユーザーの追加 (非 SAML、AD/LDAP なし)
- 役割へのユーザーの追加 (SAML)
- 役割からのユーザーの削除
- スマートカードまたはデジタル証明書
- シングルサインオン (SSO)
- 拡張監査
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- 自動イメージレプリケーションでの NetBackup アクセス制御 (NBAC) の使用
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- 権限Vault の認可オブジェクト
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- 第 II 部 移動中のデータの暗号化
- NetBackup CA および NetBackup 証明書
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- 証明書の自動再発行の許可または禁止
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- NetBackup 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- ホスト ID ベースの証明書の非同期的配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化されたセットアップでのホスト ID ベースの証明書配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- NetBackup ホストの手動での追加
- NetBackup CA の移行
- 移動中のデータの暗号化 (DTE) の構成
- 外部 CA と外部証明書
- NetBackup での外部 CA のサポートについて
- NetBackup ホスト通信で外部証明書を使用するワークフロー
- 外部 CA が署名した証明書の構成オプション
- NetBackup サーバーとクライアントの ECA_CERT_PATH
- NetBackup サーバーとクライアントの ECA_TRUST_STORE_PATH
- NetBackup サーバーとクライアントの ECA_PRIVATE_KEY_PATH
- NetBackup サーバーとクライアントの ECA_KEY_PASSPHRASEFILE
- NetBackup サーバーとクライアントの ECA_CRL_CHECK
- NetBackup サーバーとクライアントの ECA_CRL_PATH
- NetBackup サーバーとクライアントの ECA_CRL_PATH_SYNC_HOURS
- NetBackup サーバーとクライアントの ECA_CRL_REFRESH_HOURS
- NetBackup サーバーとクライアントの ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup サーバーとクライアントの ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup マスターサーバーの MANAGE_WIN_CERT_STORE_PRIVATE_KEY オプション
- NetBackup サービスがローカルサービスアカウントのコンテキストで実行されている場合の Windows 証明書ストアの制限事項
- 外部 CA の証明書失効リストについて
- 証明書の登録について
- マスターサーバーの登録状態の表示について
- NetBackup Web サーバーで外部証明書を使用するための構成
- 外部 CA が署名した証明書を使用するマスターサーバーの構成
- インストール後に外部 CA が署名した証明書を使用するための NetBackup ホスト (メディアサーバー、クライアント、クラスタノード) の構成
- リモートホストの外部証明書の登録
- NetBackup ドメインがサポートする認証局の表示
- NetBackup Web UI での外部 CA が署名した証明書の表示
- ファイルベースの外部証明書の更新
- 証明書の登録を削除
- NetBackup ドメインでの NetBackup CA の無効化
- NetBackup ドメインでの NetBackup CA の有効化
- NetBackup ドメインでの外部 CA の無効化
- 登録済み外部証明書のサブジェクト名の変更
- クラスタマスターサーバー用の外部証明書の構成について
- キーと証明書の再生成
- NetBackup CA および NetBackup 証明書
- 第 III 部 格納データの暗号化
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 格納データの暗号化の宛先形式
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- NetBackup Key Management Service
- FIPS 対応 KMS について
- KMS のインストール
- KMS の構成
- キーデータベースの作成
- キーグループとキーレコードについて
- キーレコードの状態の概要
- KMS データベースファイルのバックアップについて
- すべてのデータファイルのリストアによる KMS のリカバリについて
- KMS データファイルのみのリストアによる KMS のリカバリ
- データ暗号化キーの再生成による KMS のリカバリ
- KMS データファイルのバックアップに関する問題
- KMS データベースファイルのバックアップソリューション
- キーレコードの作成
- 主要グループからのキーのリスト
- KMS と連携するための NetBackup の構成
- KMS Web アプリケーションを使用した NetBackup KMS の設定
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- 外部のキーマネージメントサービス
- 格納データの暗号化セキュリティ
- NetBackup での FIPS 準拠
- NetBackup Web サービスアカウント
- 特権のないユーザー (サービスユーザー) アカウントでの NetBackup サービスの実行
- NetBackup でのデータの変更不可と削除不可
- バックアップの異常の検出
- マルウェアの検出
- マルウェアの検出について
- マルウェア検出の構成手順
- スキャンホストの前提条件
- スキャンホストプールの前提条件
- サポートされているマルウェアツールとその構成
- 新しいスキャンホストプールの構成
- スキャンホストプールへの新しいホストの追加
- 既存のスキャンホストの追加
- クレデンシャルの管理
- スキャンホストの削除
- スキャンホストの無効化
- ポリシークライアントバックアップイメージのマルウェアスキャン
- マルウェアスキャンの実行
- VMware 資産のマルウェアのスキャン
- マルウェアスキャンの状態の表示
- マルウェアスキャンイメージの処理
- マルウェアに感染したイメージ (ポリシーによって保護されているクライアント) からのリカバリ
- マルウェアに感染した VMware 資産のリカバリ
- NetBackup サーバーのマルウェアスキャンのタイムアウトの構成
- NetBackup サーバー向けのマルウェアスキャンの自動クリーンアップの構成
クライアント側の暗号化を使用する複数のデータセンター
クライアント側の暗号化オプションを使用する複数のデータセンターは、中規模から大規模な (50 を超える) ホストのグループとして定義されます。これらのホストは、地理的に 2 か所以上の地域にまたがり、WAN (ワイドエリアネットワーク) で接続することができます。この例では、データセンターの 1 つはロンドンにあり、もう 1 つは東京にあります。両方のデータセンターは、専用の WAN 接続を介して接続されています。
この複数のデータセンターの例では、クライアント側の暗号化を利用して、テープだけでなく回線におけるデータの機密性も確保できます。この暗号化によって、組織内での回線の消極的な盗聴の危険性を軽減できます。テープをオフサイトに移動する際のデータ流出の危険性が軽減されます。このデータセンターモデルでは、中規模から大規模 (50 を超える) の管理対象ホストに対応できます。データセンター内および DMZ 内のクライアントは、ホストおよびユーザー識別情報に中央集中型ネーミングサービスを使うことができます。
クライアント側の暗号化を使用する複数のデータセンターには、次の特徴があります。
NetBackup は WAN を介して地理的に 2 か所以上の地域にまたがる
オフサイトデータの保護に役立つ
クライアントからのデータが暗号化されるため、回線でのデータの消極的な妨害が防止される
鍵の管理はクライアントに分散される
NetBackup 独自の暗号化オプションが使用される
暗号化処理にはクライアントの CPU が使用される
データを戻すには鍵が必要である。鍵を失うと、データも失われます。
オフサイトでテープをスキャンする必要がある場合または回線上での機密性が必要な場合に有効である
図: クライアント側の暗号化を使用する複数のデータセンター に、クライアント側の暗号化を使用する複数のデータセンターの例を示します。
次の表に、クライアント側の暗号化を実装した複数のデータセンターで使われる NetBackup の構成要素を示します。
表: クライアント側の暗号化を実装した複数のデータセンターにおける NetBackup の構成要素
|
構成要素 |
説明 |
|---|---|
|
ロンドンのデータセンター |
マスターサーバー、メディアサーバー 1、クライアント 4、5、6 が含まれます。また、クライアント 6、7 の暗号化されたデータテープと、クライアント 4、5 の暗号化されていないデータテープが含まれます。ロンドンのデータセンターは、専用の WAN 接続を介して東京のデータセンターに接続されます。 |
|
東京のデータセンター |
メディアサーバー 2、クライアント 7、10、11、12 が含まれます。また、クライアント 7、12 の暗号化されたデータテープと、クライアント 10、11 の暗号化されていないデータテープが含まれます。東京のデータセンターは、専用の WAN 接続を介してロンドンのデータセンターに接続されます。 |
|
WAN (ワイドエリアネットワーク) |
東京のデータセンターにロンドンのデータセンターを接続する専用の WAN リンクです。WAN を使用することで、ロンドンのマスターサーバーを、東京のメディアサーバー 2 およびクライアント 7、10、11、12 に接続できます。また、WAN を使用して、ロンドンのメディアサーバー 1 を、東京のクライアント 7 に接続することもできます。 |
|
マスターサーバー |
マスターサーバーはロンドンのデータセンターにあり、メディアサーバー 1 およびクライアント 4、5、6 と通信します。また、このマスターサーバーは、WAN を使用して東京のメディアサーバー 2 およびクライアント 7、10、11、12 と通信します。 |
|
メディアサーバー |
複数のデータセンターは 2 つのメディアサーバーを使います。メディアサーバー 1 はロンドンのデータセンターにあり、メディアサーバー 2 は東京のデータセンターにあります。ロンドンのメディアサーバー 1 は、マスターサーバーおよびクライアント 4、5、6 と通信します。メディアサーバー 1 は、クライアント 4、5 の暗号化されていないデータをテープに書き込みます。また、クライアント 6、7 の暗号化されたデータもテープに書き込みます。クライアント 7 は東京に存在しますが、このテープバックアップはロンドンに存在することに注意してください。クライアント 6、7 の暗号化されたテープは、ロンドンのオフサイト Vault に発送されます。 東京のメディアサーバー 2 は、WAN を介してロンドンのマスターサーバーと通信し、また、東京のクライアント 7、10、11、12 と通信します。メディアサーバー 2 は、クライアント 10、11 の暗号化されていないデータをテープに書き込みます。また、クライアント 7、12 の暗号化されたデータもテープに書き込みます。クライアント 7 は東京に存在し、ロンドンでバックアップされますが、東京でもバックアップされることに注意してください。クライアント 7、12 の暗号化されたテープは、東京のオフサイト Vault に発送されます。 |
|
クライアント側の暗号化 |
クライアント側の暗号化 (図には示されていない) によって、テープだけでなく回線におけるデータの機密性も確保されます。 |
|
テープ |
暗号化されていないデータテープおよび暗号化されたデータテープの両方が、ロンドンと東京のデータセンターで作成されます。暗号化されたテープには、クライアント側で暗号化されたバックアップデータが格納されます。ロンドンでは、クライアント 4、5 用に、暗号化されていないテープが書き込まれ、ロンドンのデータセンターのオンサイトに格納されます。クライアント 6、7 用には、暗号化されたテープが書き込まれます。暗号化されたテープは、ディザスタリカバリ保護用にロンドンのオフサイト Vault に発送されます。 東京では、クライアント 10、11 用に、暗号化されていないテープが書き込まれ、東京のデータセンターのオンサイトに格納されます。クライアント 7、12 用には、暗号化されたテープが書き込まれます。クライアント 7 は東京に存在し、東京でバックアップされますが、ロンドンでもバックアップされることに注意してください。暗号化されたテープは、ディザスタリカバリ保護用に東京のオフサイト Vault に発送されます。 メモ: データを復号化するには、そのデータの暗号化に使用した鍵が利用可能である必要があります。 |
|
トランスポート |
複数のデータセンターは 2 つのトランスポートを使います。1 つはロンドン、もう 1 つは東京にあります。ロンドンのトランスポートトラックにより、クライアント 6、7 の暗号化されたテープは、セキュリティ保護されたロンドンのオフサイト Vault 施設に運ばれます。東京のトランスポートトラックにより、クライアント 7、12 の暗号化されたテープは、セキュリティ保護された東京のオフサイト Vault 施設に運ばれます。クライアント 7 のバックアップコピーは、ロンドンと東京の両方の Vault に格納されることに注意してください。 メモ: 輸送中に遠隔の場所でテープが失われた場合でも、データセンターの管理者は、データの漏洩リスクを軽減することができます。漏洩はクライアント側でのデータの暗号化の使用により軽減されます。 |
|
オフサイト Vault |
複数のデータセンターは 2 つのオフサイト Vault を使います。1 つはロンドン、もう 1 つは東京にあります。どちらの Vault も、暗号化されたテープを格納する安全な施設であり、それぞれのデータセンターとは別の場所に存在します。 メモ: 暗号化されたテープをデータセンターから離れた場所に格納することで、ディザスタリカバリ保護が向上します。 |
|
クライアント |
クライアントは、ロンドンと東京の両方のデータセンターに配置されています。ロンドンの場合、クライアント 4 は標準的な NetBackup 形式です。クライアント 5 は、DMZ に配置されている Web サーバー形式です。クライアント 6 はクライアント側で暗号化を行うクライアントで、同じく DMZ に配置されています。いずれの形式のクライアントもマスターサーバーによって管理され、クライアントのデータはメディアサーバー 1 によってテープにバックアップされます。クライアント 5 と 6 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 6 は、HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信します。 東京の場合、クライアント 7 はクライアント側で暗号化を行うクライアントですが、DMZ の外に配置されています。クライアント 10 は、標準的な NetBackup 形式です。クライアント 11 は、DMZ に配置されている Web サーバー形式です。クライアント 12 はクライアント側で暗号化を行うクライアントで、同じく DMZ に配置されています。すべての形式のクライアントは、ロンドンのマスターサーバーによって管理できます。クライアント 7 のデータは、メディアサーバー 1 および 2 によってテープにバックアップされます。クライアント 10、11、12 のデータは、メディアサーバー 2 によってテープにバックアップされます。クライアント 11、12 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 12 は、HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信します。 |
|
内部ファイアウォール |
複数のデータセンターは 2 つの内部ファイアウォールを使います。1 つはロンドン、もう 1 つは東京にあります。ロンドンの場合、NetBackup は、内部ファイアウォールを通過して DMZ 内の Web サーバークライアント 5 とクライアント側で暗号化を行うクライアント 6 にアクセスできます。東京の場合、NetBackup は、内部ファイアウォールを通過して DMZ 内の Web サーバークライアント 11 とクライアント側で暗号化を行うクライアント 12 にアクセスできます。選択された NetBackup ポートおよび他のアプリケーションポート (可能な場合) のみが、DMZ とのデータ通信を行うことができます。外部ファイアウォールで開かれている HTTP ポートは、内部ファイアウォールを通過できません。 |
|
非武装地帯 (DMZ) |
複数のデータセンターは 2 つの DMZ を使います。1 つはロンドン、もう 1 つは東京にあります。ロンドンの DMZ は、Web サーバークライアント 5 およびクライアント側で暗号化を行うクライアント 6 に対して「安全な」操作領域を提供します。このクライアントは、内部ファイアウォールと外部ファイアウォールとの間に存在します。DMZ 内の Web サーバークライアント 5 およびクライアント側で暗号化を行うクライアント 6 は、NetBackup と通信できます。これらのクライアントは両方とも、指定された NetBackup ポートを使って内部ファイアウォールを通過し、通信を行います。また、Web サーバークライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。 東京の DMZ は、Web サーバークライアント 11 およびクライアント側で暗号化を行うクライアント 12 に対して「安全な」操作領域を提供します。クライアント 12 は、内部ファイアウォールと外部ファイアウォールとの間に存在します。DMZ 内の Web サーバークライアント 11 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。また、Web サーバークライアント 11 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。 |
|
外部ファイアウォール |
複数のデータセンターは 2 つの外部ファイアウォールを使うことができます。1 つはロンドン、もう 1 つは東京にあります。ロンドンでは、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 5 にアクセスできます。NetBackup ポートは Web サーバークライアント 5 に対して開かれており、内部ファイアウォールを通過して NetBackup と通信できます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 5 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。クライアント側で暗号化を行うクライアント 6 には、インターネットからはアクセスできません。 東京では、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 11 にアクセスできます。NetBackup ポートは Web サーバークライアント 11 に対して開かれており、内部ファイアウォールを通過して NetBackup と通信できます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 11 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。クライアント側で暗号化を行うクライアント 12 には、インターネットからはアクセスできません。 |
|
インターネット |
インターネットは 1 つしかありませんが、この複数のデータセンターの例では 2 つのインターネット接続があります。1 つはロンドン、もう 1 つは東京にあります。インターネットは、相互に接続されたコンピュータネットワークの集まりで、銅線、ファイバー光ケーブル、および無線接続によってリンクされています。ロンドンでは、Web サーバークライアント 5 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。東京では、Web サーバークライアント 11 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。 |