NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- NetBackup 8.1 或更高版本主服务器之间的通信
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- RBAC 功能
- RBAC 设置
- 禁用操作系统 (OS) 管理员的 Web UI 访问权限
- 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
- 配置 RBAC
- 添加 AD 或 LDAP 域
- 默认 RBAC 角色
- 管理员
- 默认云管理员
- 默认 NetBackup 命令行 (CLI) 管理员
- 默认 Kubernetes 管理员
- 默认 NetBackup Kubernetes Operator 服务
- 默认 Oracle 管理员
- 默认 Microsoft SQL Server 管理员
- 默认 Resiliency 管理员
- 默认 RHV 管理员
- 默认 SaaS 管理员
- 默认 AHV 管理员
- 默认安全管理员
- 默认存储管理员
- 默认通用共享管理员
- 默认 VMware 管理员
- 添加自定义 RBAC 角色
- 编辑或删除自定义角色
- 查看 RBAC 中的用户
- 将用户添加到角色(非 SAML)
- 将智能卡用户添加到角色(非 SAML,无 AD/LDAP)
- 将用户添加到角色 (SAML)
- 从角色中删除用户
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
- 恶意软件检测
在主服务器和介质服务器上使用 NBAC 的多数据中心
在主服务器和介质服务器上使用 NBAC 的多数据中心示例是一个中到大型主机组(超过 50 台主机)。这些主机跨越两个或更多地理区域,并且可以通过广域网 (WAN) 进行连接。在此示例中,一个数据中心位于伦敦,另一个数据中心位于东京。两个数据中心通过专用 WAN 连接进行连接。
此数据中心示例在主服务器和介质服务器上使用 NetBackup Access Control。数据中心限制对 NetBackup 各部分的访问,并且可以使用 NetBackup 的非 root 管理功能。在此环境内,NBAC 配置为在服务器与 GUI 之间使用。非 root 用户可以使用操作系统(UNIX 密码或 Windows 本地域)登录 NetBackup。或者,可以使用全局用户存储库(NIS/NIS+ 或 Active Directory)来管理 NetBackup。此外,NBAC 可以用于限制特定的个人对 NetBackup 的访问权限级别。例如,您可以将日常操作控制(如添加新策略、机械手等等)从环境配置中分离出来。
在主服务器和介质服务器上使用 NBAC 的多数据中心包括以下要点:
NetBackup 通过 WAN 跨越两个或更多地理区域
以非 root 用户身份进行管理。
使用 Windows 用户 ID 管理 UNIX。
使用 UNIX 帐户管理 Windows。
分离并限制特定用户的操作。
root 或管理员或客户端主机仍可执行本地客户端备份和还原
可以和其他与安全相关的选件组合到一起
所有服务器必须使用 NetBackup 版本 7.7 或更高版本。
图:在主服务器和介质服务器上使用 NBAC 的多数据中心 显示了在主服务器和介质服务器上使用 NBAC 的多数据中心示例。
下表介绍了在主服务器和介质服务器上使用 NBAC 的多数据中心所使用的 NetBackup 部件。
表:在主服务器和介质服务器上使用 NBAC 的多数据中心所使用的 NetBackup 部件
|
部件 |
描述 |
|---|---|
|
伦敦数据中心 |
指定伦敦数据中心包含根代理、身份验证代理 1、GUI 1、授权引擎、主服务器、介质服务器 1 以及客户端 4 和 5。伦敦数据中心还包含客户端 4 和 5 的未加密数据磁带。伦敦数据中心通过专用 WAN 连接连接到东京数据中心。 |
|
东京数据中心 |
指定东京数据中心包含身份验证代理 2、GUI 2、介质服务器 2 以及客户端 10 和 11。东京数据中心还包含客户端 10 和 11 的未加密数据磁带。东京数据中心通过专用 WAN 连接连接到伦敦数据中心。 |
|
广域网 (WAN) |
指定专用 WAN 链路将伦敦数据中心和东京数据中心连接起来。WAN 提供了根代理和身份验证代理 1 与身份验证代理 2 之间的连接。此外,WAN 还提供根代理和身份验证代理 1 与 GUI 2 以及介质服务器 2 之间的连接。WAN 还将授权引擎连接到介质服务器 2。最后,WAN 将主服务器与 GUI 2、介质服务器 2 以及客户端 10 和 11 连接在一起。 |
|
主服务器 |
指定位于伦敦数据中心的主服务器与根代理和身份验证代理 1 进行通信。它还与 GUI 1、授权引擎和介质服务器 1 进行通信。主服务器与伦敦的客户端 4 和 5 进行通信。主服务器还与伦敦的 GUI 2、介质服务器 2 以及客户端 10 和 11 进行通信。 |
|
介质服务器 |
指定在此多数据中心示例中有两个介质服务器。介质服务器 1 位于伦敦数据中心,介质服务器 2 位于东京数据中心。在伦敦,介质服务器 1 与主服务器、根代理和身份验证代理 1、授权引擎以及客户端 4 和 5 进行通信。介质服务器 1 针对客户端 4 和 5 将未加密数据写入磁带。 在东京,介质服务器 2 通过 WAN 与伦敦的主服务器和授权引擎进行通信。介质服务器 2 还与东京的 GUI 2 以及客户端 10 和 11 进行通信。介质服务器 2 针对客户端 10 和 11 将未加密数据写入磁带。 |
|
GUI |
指定在此多数据中心示例中有两个 GUI。GUI 1 在伦敦,GUI 2 在东京。这些远程管理控制台 GUI 从身份验证代理接收凭据。然后,GUI 使用凭据来访问介质服务器和主服务器上的功能。在伦敦,GUI 1 从身份验证代理 1 接收凭据。GUI 1 有权访问主服务器以及介质服务器 1 和 2 上的功能。在东京,GUI 2 从身份验证代理 2 接收凭据。GUI 2 有权访问主服务器以及介质服务器 1 和 2 上的功能。 |
|
根代理 |
指定在多数据中心安装中只需要一个根代理。有时,根代理会与身份验证代理合二为一。在此示例中,根代理和身份验证代理显示为同一个组件且都位于伦敦数据中心。在伦敦,根代理对同样在伦敦的身份验证代理 1 和在东京的身份验证代理 2 进行身份验证。根代理不会对客户端进行身份验证。 |
|
身份验证代理 |
指定在一个多数据中心安装中可以有多个身份验证代理。有时,可以将身份验证代理与根代理组合在一起。在此数据中心安装中,使用两个身份验证代理。身份验证代理通过确认主服务器、介质服务器和 GUI 各自的凭据对其进行身份验证。身份验证代理还会对指定命令提示符的用户进行身份验证。在伦敦,身份验证代理 1 会使用主服务器、介质服务器 1 和 GUI 1 来执行凭据身份验证。东京和伦敦的所有 NetBackup 服务器和客户端都会针对伦敦的身份验证代理 1 进行身份验证。GUI 1 会对伦敦的身份验证代理 1 进行身份验证。GUI 2 会对东京的身份验证代理 2 进行身份验证。 |
|
授权引擎 |
指定在多数据中心安装中只需要一个授权引擎。授权引擎与主服务器和介质服务器通信,以确定通过身份验证的用户的权限。这些权限决定了功能是否对用户可用。授权引擎还存储用户组和权限。授权引擎驻留在伦敦并与主服务器和介质服务器 1 进行通信。授权引擎还通过 WAN 进行通信,以授予对东京的介质服务器 2 进行访问的权限。 注意: 授权引擎作为后台驻留程序进程驻留在主服务器上。在此图中,它显示为一个单独的图像(仅用于示例)。 |
|
磁带 |
指定未加密数据磁带在伦敦数据中心和东京数据中心产生。在伦敦,未加密磁带针对客户端 4 和 5 进行写入并在伦敦数据中心进行场内存储。在东京,未加密磁带针对客户端 10 和 11 进行写入并在东京数据中心进行场内存储。 |
|
客户端 |
指定客户端位于伦敦和东京数据中心。在伦敦,客户端 4 是标准 NetBackup 类型。客户端 5 是位于 DMZ 中的 Web 服务器类型。所有客户端类型都可以由主服务器进行管理,并通过介质服务器 1 将其数据备份到磁带。客户端 5 使用仅限于 NetBackup 的端口通过内部防火墙与 NetBackup 进行通信。此外,客户端 5 使用仅限于 HTTP 的端口通过外部防火墙从 Internet 接收连接。 在东京,客户端 10 是标准 NetBackup 类型。客户端 11 是位于 DMZ 中的 Web 服务器类型。所有客户端类型都可以由主服务器进行管理,并通过介质服务器 2 将其数据备份到磁带。客户端 11 使用仅限于 NetBackup 的端口通过内部防火墙与 NetBackup 进行通信。此外,客户端 11 使用仅限于 HTTP 的端口通过外部防火墙从 Internet 接收连接。 |
|
内部防火墙 |
指定在此多数据中心示例中有两个内部防火墙。一个内部防火墙位于伦敦,另一个内部防火墙位于东京。在伦敦,内部防火墙允许 NetBackup 访问 DMZ 中的 Web 服务器客户端 5。在东京,内部防火墙允许 NetBackup 访问 DMZ 中的 Web 服务器客户端 11。仅为通过内部防火墙进出 DMZ 的数据通信启用了选定的 NetBackup 端口和可能的其他应用程序端口。不允许在外部防火墙中打开的 HTTP 端口通过内部防火墙。 |
|
隔离区 (DMZ) |
指定在此多数据中心示例中有两个 DMZ。一个 DMZ 位于伦敦,另一个 DMZ 位于东京。在伦敦,DMZ 为存在于内部防火墙与外部防火墙之间的 Web 服务器客户端 5 提供“安全”操作区域。DMZ 中的 Web 服务器客户端 5 和经过客户端加密的客户端 6 可以使用指定的 NetBackup 端口通过内部防火墙与 NetBackup 进行通信。Web 服务器客户端 5 还可以仅使用 HTTP 端口通过外部防火墙与 Internet 通信。 在东京,DMZ 为存在于内部防火墙与外部防火墙之间的 Web 服务器客户端 11 提供“安全”操作区域。DMZ 中的 Web 服务器客户端 11 可以使用指定的 NetBackup 端口通过内部防火墙与 NetBackup 通信。Web 服务器客户端 11 还可以仅使用 HTTP 端口通过外部防火墙与 Internet 通信。 |
|
外部防火墙 |
指定在此多数据中心示例中有两个外部防火墙。一个外部防火墙位于伦敦,另一个外部防火墙位于东京。在伦敦,外部防火墙允许外部用户通过 HTTP 端口从 Internet 访问位于 DMZ 中的 Web 服务器客户端 5。NetBackup 端口处于打开状态,以便于 Web 服务器客户端 5 通过内部防火墙与 NetBackup 进行通信。不允许 NetBackup 端口通过外部防火墙访问 Internet。只有 Web 服务器客户端 5 的 HTTP 端口可以通过外部防火墙访问 Internet。 在东京,外部防火墙允许外部用户通过 HTTP 端口从 Internet 访问位于 DMZ 中的 Web 服务器客户端 11。NetBackup 端口处于打开状态,以便于 Web 服务器客户端 11 通过内部防火墙与 NetBackup 进行通信。不允许 NetBackup 端口通过外部防火墙访问 Internet。只有 Web 服务器客户端 11 的 HTTP 端口可以通过外部防火墙访问 Internet。 |
|
Internet |
指定只有一个 Internet,但是此多数据中心示例中有两个 Internet 连接。一个 Internet 连接位于伦敦,另一个 Internet 连接位于东京。Internet 是通过铜线、光纤电缆和无线连接链接到一起的互连计算机网络集合。在伦敦,Web 服务器客户端 5 可以通过外部防火墙使用 HTTP 端口在 Internet 上进行通信。在东京,Web 服务器客户端 11 可以通过外部防火墙使用 HTTP 端口在 Internet 上进行通信。 |