NetBackup™ 安全和加密指南
- NetBackup 安全通信前必读
- 关于 NetBackup 中的安全通信
- 如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
- 如何与主服务器群集节点进行安全通信
- 关于在群集应用程序节点上安装的 NetBackup 客户端
- 如何在升级过程中将 NetBackup 证书部署到主机
- 证书部署过程中何时需要授权令牌
- 为何需要将主机名(或 IP 地址)映射到主机 ID
- 如何重置主机属性或主机通信状态
- 目录库恢复方面发生的更改
- 自动映像复制发生的更改
- 具有已吊销证书的主机如何工作
- 是否对 NetBackup 证书进行备份
- 是否可以为主服务器配置外部证书
- 如何使用外部证书与主服务器群集节点进行安全通信
- 外部证书吊销列表的工作原理
- 当主机无法直接连接到主服务器时如何进行通信
- NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
- 如何在云配置中与旧式介质服务器通信
- 通信失败情形
- 对 NetBackup 域中其他主机的安全通信支持
- NetBackup 8.1 或更高版本主服务器之间的通信
- 针对 BMR 的安全通信支持
- 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
- NetBackup 安全不断提高
- 安全部署模型
- 审核 NetBackup 操作
- 第 I 部分. 身份信息和访问管理
- 关于身份信息和访问管理
- AD 和 LDAP 域
- 访问密钥
- API 密钥
- Auth.conf 文件
- 基于角色的访问控制
- RBAC 功能
- RBAC 设置
- 禁用操作系统 (OS) 管理员的 Web UI 访问权限
- 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
- 配置 RBAC
- 添加 AD 或 LDAP 域
- 默认 RBAC 角色
- 管理员
- 默认云管理员
- 默认 NetBackup 命令行 (CLI) 管理员
- 默认 Kubernetes 管理员
- 默认 NetBackup Kubernetes Operator 服务
- 默认 Oracle 管理员
- 默认 Microsoft SQL Server 管理员
- 默认 Resiliency 管理员
- 默认 RHV 管理员
- 默认 SaaS 管理员
- 默认 AHV 管理员
- 默认安全管理员
- 默认存储管理员
- 默认通用共享管理员
- 默认 VMware 管理员
- 添加自定义 RBAC 角色
- 编辑或删除自定义角色
- 查看 RBAC 中的用户
- 将用户添加到角色(非 SAML)
- 将智能卡用户添加到角色(非 SAML,无 AD/LDAP)
- 将用户添加到角色 (SAML)
- 从角色中删除用户
- 智能卡或数字证书
- 单点登录 (SSO)
- 增强的审核
- NetBackup Access Control (NBAC) 安全
- 关于使用 NetBackup Access Control (NBAC)
- 对 NetBackup 访问管理的管理
- 关于 NetBackup Access Control (NBAC) 配置
- 配置 NetBackup Access Control (NBAC)
- 配置主服务器和介质服务器的“访问控制”主机属性
- 客户端的访问控制主机属性对话框
- 将 NetBackup Access Control (NBAC) 用于自动映像复制
- 故障排除访问管理
- 使用访问管理实用程序
- 关于确定谁可以访问 NetBackup
- 查看 NetBackup 用户组的特定用户权限
- 升级 NetBackup Access Control (NBAC)
- 第 II 部分. 传输中数据加密
- NetBackup CA 和 NetBackup 证书
- NetBackup 中的安全证书概述
- 关于 NetBackup 中的安全通信
- 关于安全管理实用程序
- 有关主机管理
- 关于全局安全设置
- 关于基于主机名的证书
- 关于基于主机 ID 的证书
- nbcertcmd 命令选项的 Web 登录要求
- 使用证书管理实用程序发布并部署基于主机 ID 的证书
- 关于 NetBackup 证书部署安全级别
- 自动部署基于主机 ID 的证书
- 部署基于主机 ID 的证书
- 以异步方式部署基于主机 ID 的证书
- 证书有效期时钟偏差的含义
- 建立与主服务器(证书颁发机构)的信任关系
- 强制或重写证书部署
- 在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
- 在未连接主服务器的客户端上部署证书
- 关于基于主机 ID 的证书截止日期和续订
- 从介质服务器和客户端删除敏感证书和密钥
- 从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
- 关于重新颁发基于主机 ID 的证书
- 关于基于主机 ID 的证书的令牌管理
- 关于基于主机 ID 的证书吊销列表
- 关于吊销基于主机 ID 的证书
- 删除基于主机 ID 的证书
- 群集设置中基于主机 ID 的证书部署
- 关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
- 手动添加 NetBackup 主机
- 迁移 NetBackup CA
- 配置传输中数据加密 (DTE)
- 外部 CA 和外部证书
- 关于 NetBackup 中的外部 CA 支持
- 使用外部证书进行 NetBackup 主机通信的工作流程
- 用于外部 CA 签名证书的配置选项
- NetBackup 服务器和客户端的 ECA_CERT_PATH
- NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
- NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
- NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
- NetBackup 服务器和客户端的 ECA_CRL_CHECK
- NetBackup 服务器和客户端的 ECA_CRL_PATH
- NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
- NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
- NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
- NetBackup 主服务器的 MANAGE_WIN_CERT_STORE_PRIVATE_KEY 选项
- NetBackup 服务在本地服务帐户上下文中运行时 Windows 证书存储库支持的限制
- 关于外部 CA 的证书吊销列表
- 关于证书注册
- 关于查看主服务器的注册状态
- 为 NetBackup Web 服务器配置外部证书
- 配置主服务器以使用外部 CA 签名证书
- 在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
- 为远程主机注册外部证书
- 查看 NetBackup 域支持的证书颁发机构
- 在 NetBackup Web UI 中查看外部 CA 签名证书
- 续订基于文件的外部证书
- 删除证书注册
- 在 NetBackup 域中禁用 NetBackup CA
- 在 NetBackup 域中启用 NetBackup CA
- 在 NetBackup 域中禁用外部 CA
- 更改已注册外部证书的使用者名称
- 关于群集主服务器的外部证书配置
- 重新生成密钥和证书
- NetBackup CA 和 NetBackup 证书
- 第 III 部分. 静态数据加密
- 静态数据加密安全
- NetBackup 密钥管理服务
- 外部密钥管理服务
- NetBackup 中的 FIPS 遵从性
- NetBackup Web 服务帐户
- 使用非特权用户(服务用户)帐户运行 NetBackup 服务
- NetBackup 中数据的不可变性和不可删除性
- 备份异常检测
- 恶意软件检测
关于 NetBackup 审核
默认情况下,新安装中已启用审核。NetBackup 审核可以直接在 NetBackup 主服务器上配置。
NetBackup 审核操作提供以下好处:
在调查 NetBackup 环境中的意外更改时,客户可以从审核跟踪中获得深入了解。
法规遵从性。
该记录符合《萨班斯-奥克斯利法案》(SOX) 所要求的指导原则。
这是客户遵循内部变更管理策略的一种方法。
为 NetBackup 支持提供帮助,对客户问题进行故障排除。
NetBackup 审核管理器 (nbaudit) 在主服务器上运行,审核记录在企业介质管理器 (EMM) 数据库中进行维护。
管理员可专门搜索:
操作发生时间
在某些情况下失败的操作
特定用户执行的操作
在特定内容区域中执行的操作
审核配置更改
请注意以下几点:
审核记录会截断任何超过 4096 个字符的条目。(例如,策略名称。)
审核记录会截断任何超过 1024 个字符的还原映像 ID。
NetBackup 记录用户启动的以下操作。
|
“活动监视器”操作 |
取消、暂停、继续、重新启动或删除任何类型的作业会创建审核记录。 |
|
警报和电子邮件通知 |
如果无法为 NetBackup 配置设置生成警报,或发送电子邮件通知。例如,SMTP 服务器配置和警报的已排除状态码列表。 |
|
异常 |
如果用户将异常报告为误报,则会审核和记录该用户的操作。 |
|
资产操作 |
如果在资产清理过程中删除资产(例如 vCenter Server),则将审核并记录该操作。 将审核并记录创建、修改或删除资产组的操作以及对用户未经授权的资产组执行的任何操作。 |
|
授权失败 |
使用 NetBackup Web UI、NetBackup API 或增强的审核时,将对授权失败进行审核。 请参见关于增强的审核。 |
|
“目录库”信息 |
此信息包括:
|
|
证书管理 |
创建、吊销、续订和部署 NetBackup 证书以及特定 NetBackup 证书失败。 |
|
证书验证失败 (CVF) |
涉及 SSL 握手错误、吊销证书或主机名验证失败的任何失败的连接尝试。 对于涉及 SSL 握手和已吊销证书的证书验证失败 (CVF),时间戳指示将审核记录发布到主服务器的时间。(而非每次证书验证失败的时间。)一条 CVF 审核记录表示某一时间段内的一组 CVF 事件。记录详细信息将提供时间段的开始时间和结束时间,以及在该时间段内发生的 CVF 总数。 |
|
“磁盘池”和“卷池”操作 |
添加、删除或更新磁盘池或卷池。 |
|
“保留”操作 |
创建、修改和删除保留操作。 |
|
“主机”数据库 |
与主机数据库相关的 NetBackup 操作。 |
|
登录尝试 |
NetBackup 管理控制台、NetBackup Web UI 或 NetBackup API 的任何成功或失败的登录尝试。 |
|
“策略”操作 |
添加、删除或更新策略属性、客户端、日程表和备份选择列表。 |
|
还原和浏览映像用户操作 |
使用用户身份审核用户执行的所有还原和浏览映像内容 (bplist) 操作。 要设置从缓存定期向 NetBackup 数据库添加浏览映像 (bplist) 操作审核记录的间隔,请使用 DATAACCESS_AUDIT_INTERVAL_HOURS 配置选项。设置此配置选项可防止 NetBackup 数据库大小因 bplist 审核记录而呈指数级增长。 请参见 NetBackup 管理指南,第 I 卷。 要将所有 bplist 审核记录从缓存添加到 NetBackup 数据库中,请在主服务器上运行以下命令: nbcertcmd -postAudit -dataAccess |
|
安全配置 |
与安全配置设置更改相关的信息。 |
|
启动还原作业 |
NetBackup 不会审核其他类型作业的开始时间。例如,NetBackup 不会审核备份作业的开始时间。 |
|
启动和停止 NetBackup 审核管理器 (nbaudit)。 |
即使禁用了审核,也始终审核 nbaudit 管理器的启动和停止操作。 |
|
“存储生命周期策略”操作 |
将审核并记录创建、修改或删除存储生命周期策略 (SLP) 的尝试。但是,不会审核使用命令 nbstlutil 激活和暂停 SLP 的操作。仅当从 NetBackup 图形用户界面或 API 启动这些操作时,才会对它们进行审核。 |
|
“存储服务器”操作 |
添加、删除或更新存储服务器。 |
|
“存储单元”操作 |
添加、删除或更新存储单元。 注意: 不审核与“存储生命周期策略”相关的操作。 |
|
“令牌”管理 |
创建、删除和清理令牌以及特定令牌颁发失败。 |
|
用户管理 |
在增强的审核模式下添加和删除增强的审核用户。 |
|
无法创建审核记录的用户操作 |
如果已启用审核,但用户操作无法创建审核记录,将在 |
以下操作不经过审核并且不显示在审核报告中:
|
所有失败的操作。 |
NetBackup 在 NetBackup 错误日志中记录失败的操作。失败的操作不会显示在审核报告中,因为失败的尝试不会更改 NetBackup 系统状态。 |
|
配置更改的影响 |
不审核 NetBackup 配置更改的结果。例如,会审核策略的创建,但是不审核由策略的创建所导致的作业。 |
|
手动启动的还原作业的完成状态 |
审核启动还原作业的操作时,不会审核该作业的完成状态。也不会审核任何其他作业类型的完成状态,而不管是否为手动启动。完成状态显示在活动监视器中。 |
|
内部启动的操作 |
不审核 NetBackup 启动的内部操作。例如,不审核失效映像的预定删除、预定备份或者定期映像数据库清理。 |
|
回滚操作 |
某些操作以多个步骤执行。例如,创建基于 MSDP 的存储服务器包括多个步骤。将审核每个成功的步骤。任何步骤中出现错误都将导致回滚,甚至可能需要撤消成功的步骤。审核记录不包含有关回滚操作的详细信息。 |
|
主机属性操作 |
不会审核使用 bpsetconfig 或 nbsetconfig 命令或主机属性中等效属性所做的更改。不审核直接对 bp.conf 文件或注册表进行的更改。 |