Veritas NetBackup™ 安全和加密指南

Last Published:
Product(s): NetBackup (9.0)
  1. NetBackup 安全通信前必读
    1.  
      关于 NetBackup 中的安全通信
    2.  
      如何在安装过程中部署 NetBackup CA 签名证书(或基于主机 ID 的证书)
    3.  
      如何与主服务器群集节点进行安全通信
    4.  
      关于在群集应用程序节点上安装的 NetBackup 客户端
    5.  
      如何在升级过程中将 NetBackup 证书部署到主机
    6.  
      证书部署过程中何时需要授权令牌
    7.  
      为何需要将主机名(或 IP 地址)映射到主机 ID
    8.  
      如何重置主机属性或主机通信状态
    9.  
      目录库恢复方面发生的更改
    10.  
      自动映像复制发生的更改
    11.  
      具有已吊销证书的主机如何工作
    12.  
      是否对 NetBackup 证书进行备份
    13.  
      是否可以为主服务器配置外部证书
    14.  
      如何使用外部证书与主服务器群集节点进行安全通信
    15.  
      外部证书吊销列表的工作原理
    16.  
      当主机无法直接连接到主服务器时如何进行通信
    17.  
      NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
    18.  
      如何在云配置中与旧式介质服务器通信
    19. 通信失败情形
      1.  
        在与 8.0 或更早版本主机的通信期间失败
      2.  
        目录库备份失败
    20.  
      对 NetBackup 域中其他主机的安全通信支持
    21.  
      NetBackup 8.1 或更高版本主服务器与 OpsCenter 服务器之间的通信
    22.  
      针对 BMR 的安全通信支持
    23.  
      配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
  2. NetBackup 安全不断提高
    1.  
      关于 NetBackup 安全和加密
    2.  
      NetBackup 安全实现级别
    3.  
      全球级别安全
    4.  
      企业级别安全
    5.  
      数据中心级别安全概述
    6.  
      NetBackup Access Control (NBAC)
    7.  
      全球、企业和数据中心组合级别
    8.  
      NetBackup 安全实现类型
    9.  
      操作系统安全
    10.  
      NetBackup 安全漏洞
    11.  
      标准 NetBackup 安全
    12.  
      客户端加密安全
    13.  
      主服务器、介质服务器和图形用户界面上具备 NBAC 的安全
    14.  
      NBAC 完整安全
  3. 安全部署模型
    1.  
      工作组
    2.  
      单数据中心
    3.  
      多数据中心
    4.  
      采用 NetBackup 的工作组
    5.  
      具备标准 NetBackup 的单数据中心
    6.  
      具备客户端加密的单数据中心
    7.  
      在主服务器和介质服务器上使用 NBAC 的单数据中心
    8.  
      具备 NBAC 完整功能的单数据中心
    9.  
      具备标准 NetBackup 的多数据中心
    10.  
      具备客户端加密的多数据中心
    11.  
      在主服务器和介质服务器上使用 NBAC 的多数据中心
    12.  
      具备 NBAC 完整功能的多数据中心
  4. 审核 NetBackup 操作
    1.  
      关于 NetBackup 审核
    2.  
      查看当前审核设置
    3. 关于审核事件
      1.  
        查看审核事件
      2.  
        “审核事件”选项卡
      3.  
        查看审核事件详细信息
      4.  
        审核事件“详细信息”对话框
      5.  
        查看审核事件状态
      6.  
        与“访问历史记录”选项卡相关的审核问题故障排除
    4.  
      审核记录的审核保留期限和目录库备份
    5.  
      查看详细的 NetBackup 审核报告
    6.  
      审核报告中的用户身份
    7.  
      禁用审核
    8.  
      审核失败的审核警报通知(NetBackup 管理控制台)
    9.  
      将审核事件发送到系统日志
  5. 第 I 部分. 身份信息和访问管理
    1. 关于身份信息和访问管理
      1.  
        关于 NetBackup 中的访问控制
    2. AD 和 LDAP 域
      1.  
        在 NetBackup 中添加 AD 或 LDAP 域
      2.  
        对 AD 或 LDAP 域配置问题进行故障排除
      3.  
        NetBackup Authentication Service 信任的证书颁发机构
    3. API 密钥
      1.  
        关于 API 密钥
      2.  
        创建 API 密钥
      3.  
        管理 API 密钥
      4. 使用 API 密钥
        1.  
          设置 API 密钥环境变量以运行 NetBackup 命令
    4. Auth.conf 文件
      1.  
        授权文件 (auth.conf) 的特征
    5. 基于角色的访问控制 (RBAC)
      1.  
        关于 NetBackup 中基于角色的访问控制 (RBAC)
      2.  
        配置 RBAC
      3.  
        默认 RBAC 角色
      4.  
        添加自定义 RBAC 角色
      5.  
        编辑或删除自定义角色
      6.  
        查看 RBAC 中的用户
      7.  
        将用户添加到角色(非 SAML)
      8.  
        将用户添加到角色 (SAML)
      9.  
        从角色中删除用户
    6. 智能卡或数字证书
      1.  
        使用智能卡或数字证书配置用户身份验证
      2.  
        编辑智能卡身份验证的配置
      3.  
        添加或删除用于智能卡身份验证的 CA 证书
      4.  
        禁用或临时禁用智能卡身份验证
    7. 单点登录 (SSO)
      1.  
        关于单点登录 (SSO) 配置
      2. 配置 NetBackup 以进行单点登录 (SSO)
        1.  
          配置 Java KeyStore
        2.  
          添加并启用 IDP 配置
        3.  
          在 IDP 中注册 NetBackup 主服务器
        4.  
          管理 IDP 配置
    8. 增强的审核
      1.  
        关于增强的审核
      2.  
        启用增强的审核
      3. 配置增强的审核
        1.  
          使用增强的审核连接到介质服务器
        2.  
          更改跨 NetBackup 域的服务器
        3.  
          使用带 NBAC 或增强审核的更改服务器时的配置要求
      4.  
        禁用增强的审核
      5.  
        使用增强的审核管理用户
      6.  
        使用增强的审核进行用户身份验证
      7.  
        增强的审核对 NetBackup 管理控制台授权的影响
    9. NetBackup Access Control (NBAC) 安全
      1.  
        关于使用 NetBackup Access Control (NBAC)
      2.  
        对 NetBackup 访问管理的管理
      3.  
        关于 NetBackup Access Control (NBAC) 配置
      4. 配置 NetBackup Access Control (NBAC)
        1.  
          NBAC 配置概述
        2.  
          在独立主服务器上配置 NetBackup Access Control (NBAC)
        3.  
          安装在群集中具有高可用性的 NetBackup 主服务器
        4.  
          在群集主服务器上配置 NetBackup Access Control (NBAC)
        5.  
          在介质服务器上配置 NetBackup Access Control (NBAC)
        6.  
          在客户端上安装和配置 Access Control (
        7.  
          关于在 NetBackup 目录库热备份中包括身份验证和授权数据库
        8.  
          NBAC 配置命令汇总
        9.  
          使用 setuptrust 命令统一 NetBackup 管理基础架构
        10.  
          使用 setuptrust 命令
      5. 配置主服务器和介质服务器的“访问控制”主机属性
        1.  
          “身份验证域”选项卡
        2.  
          “授权服务”选项卡
        3.  
          “网络属性”选项卡
      6. 客户端的访问控制主机属性对话框
        1.  
          客户端的“身份验证域”选项卡
        2.  
          客户端的“网络属性”选项卡
      7.  
        将 NetBackup Access Control (NBAC) 用于自动映像复制
      8. 故障排除访问管理
        1.  
          对 NBAC 问题进行故障排除
        2.  
          NetBackup Authentication and Authorization 的配置和故障排除提示
        3. Windows 验证点
          1.  
            Windows 的主服务器验证点
          2.  
            Windows 的介质服务器验证点
          3.  
            Windows 的客户端验证点
        4. UNIX 验证点
          1.  
            UNIX 主服务器验证
          2.  
            UNIX 介质服务器验证
          3.  
            UNIX 客户端验证
        5. 在包含 UNIX 主服务器的混合环境中的验证点
          1.  
            混合 UNIX 主服务器的主服务器验证点
          2.  
            混合 UNIX 主服务器的介质服务器验证点
          3.  
            混合 UNIX 主服务器的客户端验证点
        6. 在包含 Windows 主服务器的混合环境中的验证点
          1.  
            混合 Windows 主服务器的主服务器验证点
          2.  
            混合 Windows 主服务器的介质服务器验证点
          3.  
            混合 Windows 主服务器的客户端验证点
        7.  
          关于 nbac_cron 实用程序
        8.  
          使用 nbac_cron 实用程序
      9.  
        使用访问管理实用程序
      10. 关于确定谁可以访问 NetBackup
        1.  
          单个用户
        2.  
          用户组
        3.  
          NetBackup 默认用户组
        4. 配置用户组
          1.  
            创建新用户组
          2.  
            通过复制现有用户组创建新用户组
          3.  
            重命名用户组
          4.  
            向用户组添加新用户
        5. 关于定义用户组和用户
          1.  
            以新用户身份登录
          2.  
            将用户分配给用户组
          3.  
            关于授权对象和权限
      11. 查看 NetBackup 用户组的特定用户权限
        1.  
          授予权限
        2.  
          授权对象
        3.  
          介质授权对象权限
        4.  
          策略授权对象权限
        5.  
          驱动器授权对象权限
        6.  
          报告授权对象权限
        7.  
          NBU_Catalog 授权对象权限
        8.  
          机械手授权对象权限
        9.  
          存储单元授权对象权限
        10.  
          磁盘池授权对象权限
        11.  
          备份和还原授权对象权限
        12.  
          作业授权对象权限
        13.  
          服务授权对象权限
        14.  
          主机属性授权对象权限
        15.  
          许可证授权对象权限
        16.  
          卷组授权对象权限
        17.  
          卷池授权对象权限
        18.  
          设备主机授权对象权限
        19.  
          安全授权对象权限
        20.  
          胖服务器授权对象权限
        21.  
          胖客户端授权对象权限
        22.  
          保管库授权对象权限
        23.  
          服务器组授权对象权限
        24.  
          密钥管理系统 (kms) 组授权对象权限
      12.  
        升级 NetBackup Access Control (NBAC)
  6. 第 II 部分. 传输中的数据加密
    1. NetBackup CA 和 NetBackup 证书
      1.  
        NetBackup 中的安全证书概述
      2.  
        关于 NetBackup 中的安全通信
      3. 关于安全管理实用程序
        1.  
          关于登录活动
      4. 有关主机管理
        1.  
          “主机”选项卡
        2.  
          添加主机 ID-主机名映射
        3.  
          “添加或删除主机映射”对话框
        4.  
          删除主机 ID-主机名映射
        5.  
          “待批准映射”选项卡
        6.  
          查看自动发现的映射
        7.  
          “映射详细信息”对话框
        8.  
          批准主机 ID-主机名映射
        9.  
          拒绝主机 ID-主机名映射
        10. 添加共享或群集映射
          1.  
            关于共享或群集映射场景
        11.  
          “添加共享或群集映射”对话框
        12.  
          重置 NetBackup 主机属性
        13. 允许或不允许自动重新发布证书
          1.  
            配置主机 autoreissue 参数的有效期
        14.  
          添加或删除主机的注释
      5. 关于全局安全设置
        1.  
          关于安全通信设置
        2.  
          禁用不安全通信
        3.  
          关于与 8.0 及早期版本主机的不安全通信
        4.  
          关于与多个 NetBackup 域中的 8.0 或更低版本主机进行通信
        5.  
          自动将主机 ID 映射到主机名称和 IP 地址
        6.  
          关于灾难恢复设置
        7.  
          设置密码以加密灾难恢复软件包
        8.  
          灾难恢复软件包
      6. 关于基于主机名的证书
        1.  
          部署基于主机名的证书
      7. 关于基于主机 ID 的证书
        1.  
          nbcertcmd 命令选项的 Web 登录要求
        2. 使用证书管理实用程序发布并部署基于主机 ID 的证书
          1.  
            查看基于主机 ID 的证书的详细信息
        3. 关于 NetBackup 证书部署安全级别
          1.  
            配置证书部署安全级别
        4.  
          自动部署基于主机 ID 的证书
        5.  
          部署基于主机 ID 的证书
        6.  
          以异步方式部署基于主机 ID 的证书
        7.  
          证书有效期时钟偏差的含义
        8. 建立与主服务器(证书颁发机构)的信任关系
          1.  
            查找和传递证书颁发机构的指纹
        9.  
          强制或重写证书部署
        10.  
          在非主服务器主机上重新安装 NetBackup 时,保留基于主机 ID 的证书
        11.  
          在未连接主服务器的客户端上部署证书
        12.  
          关于基于主机 ID 的证书截止日期和续订
        13.  
          从介质服务器和客户端删除敏感证书和密钥
        14.  
          从主机中清理基于主机 ID 的证书信息,然后再克隆虚拟机
        15. 关于重新颁发基于主机 ID 的证书
          1.  
            创建重新发布令牌
          2.  
            更改主机密钥对
      8. 关于基于主机 ID 的证书的令牌管理
        1.  
          创建授权令牌
        2.  
          删除授权令牌
        3.  
          查看授权令牌详细信息
        4.  
          关于过期授权令牌和清理
      9. 关于基于主机 ID 的证书吊销列表
        1.  
          在主服务器上刷新 CRL
        2.  
          在 NetBackup 主机上刷新 CRL
      10. 关于吊销基于主机 ID 的证书
        1.  
          删除主机与主服务器之间的信任关系
        2.  
          吊销基于主机 ID 的证书
        3.  
          确定 NetBackup 主机的证书状态
        4.  
          获取已吊销证书的 NetBackup 主机的列表
      11.  
        删除基于主机 ID 的证书
      12. 群集设置中基于主机 ID 的证书部署
        1. 关于在群集 NetBackup 主机上部署基于主机 ID 的证书
          1.  
            在活动主服务器节点上部署基于主机 ID 的证书
          2.  
            在非活动主服务器节点上部署基于主机 ID 的证书
        2.  
          在群集节点上部署基于主机 ID 的证书
        3.  
          吊销群集 NetBackup 设置的基于主机 ID 的证书
        4.  
          使用重新发布令牌在群集 NetBackup 设置上部署基于主机 ID 的证书
        5.  
          为群集 NetBackup 设置创建重新发布令牌
        6.  
          在群集 NetBackup 设置上续订基于主机 ID 的证书
        7.  
          查看群集 NetBackup 设置的证书详细信息
        8.  
          从群集 NetBackup 设置中删除认证机构证书
        9.  
          灾难恢复安装后在群集主服务器上生成证书
      13.  
        关于位于隔离区中的 NetBackup 客户端通过 HTTP 隧道与主服务器进行通信
      14.  
        手动添加 NetBackup 主机
      15. 迁移 NetBackup CA
        1.  
          安装或升级之前使用 NB_KEYSIZE 环境变量设置所需的密钥强度
        2.  
          将整个 NetBackup 域升级到 NetBackup 8.3 时迁移 NetBackup CA
        3.  
          安装或升级后手动迁移 NetBackup CA
        4.  
          在 CA 迁移后与未安装新 CA 证书的客户端建立通信
        5.  
          查看域中的 NetBackup CA 列表
        6.  
          查看 CA 迁移摘要
        7.  
          停用不活动的 NetBackup CA
    2. 外部 CA 和外部证书
      1. 关于 NetBackup 中的外部 CA 支持
        1.  
          用于外部证书配置的命令行选项
      2.  
        使用外部证书进行 NetBackup 主机通信的工作流程
      3. 用于外部 CA 签名证书的配置选项
        1. NetBackup 服务器和客户端的 ECA_CERT_PATH
          1.  
            为 ECA_CERT_PATH 指定 Windows 证书存储库
        2.  
          NetBackup 服务器和客户端的 ECA_TRUST_STORE_PATH
        3.  
          NetBackup 服务器和客户端的 ECA_PRIVATE_KEY_PATH
        4.  
          NetBackup 服务器和客户端的 ECA_KEY_PASSPHRASEFILE
        5.  
          NetBackup 服务器和客户端的 ECA_CRL_CHECK
        6.  
          NetBackup 服务器和客户端的 ECA_CRL_PATH
        7.  
          NetBackup 服务器和客户端的 ECA_CRL_PATH_SYNC_HOURS
        8.  
          NetBackup 服务器和客户端的 ECA_CRL_REFRESH_HOURS
        9.  
          NetBackup 服务器和客户端的 ECA_DISABLE_AUTO_ENROLLMENT
        10.  
          NetBackup 服务器和客户端的 ECA_DR_BKUP_WIN_CERT_STORE
      4. 关于外部 CA 的证书吊销列表
        1.  
          如何使用 ECA_CRL_PATH 中的 CRL
        2.  
          如何使用 CDP URL 中的 CRL
      5. 关于证书注册
        1.  
          关于自动注册外部证书
      6.  
        关于查看主服务器的注册状态
      7. 为 NetBackup Web 服务器配置外部证书
        1.  
          更新或续订 Web 服务器的外部证书
        2.  
          删除为 Web 服务器配置的外部证书
      8.  
        配置主服务器以使用外部 CA 签名证书
      9.  
        在安装后配置 NetBackup 主机(介质服务器、客户端或群集节点),以使用外部 CA 签名证书
      10.  
        为远程主机注册外部证书
      11.  
        查看 NetBackup 域支持的证书颁发机构
      12.  
        在 NetBackup Web UI 中查看外部 CA 签名证书
      13.  
        续订基于文件的外部证书
      14.  
        删除证书注册
      15.  
        在 NetBackup 域中禁用 NetBackup CA
      16.  
        在 NetBackup 域中启用 NetBackup CA
      17.  
        在 NetBackup 域中禁用外部 CA
      18.  
        更改已注册外部证书的使用者名称
      19. 关于群集主服务器的外部证书配置
        1.  
          将外部证书用于群集主服务器的工作流程
        2. 用于虚拟名称的外部 CA 签名证书的配置选项
          1.  
            群集主服务器的 CLUSTER_ECA_CERT_PATH
          2.  
            群集主服务器的 CLUSTER_ECA_TRUST_STORE_PATH
          3.  
            群集主服务器的 CLUSTER_ECA_PRIVATE_KEY_PATH
          4.  
            群集主服务器的 CLUSTER_ECA_KEY_PASSPHRASEFILE
        3.  
          为群集主服务器配置外部证书
    3. 重新生成密钥和证书
      1.  
        关于重新生成密钥和证书
      2.  
        重新生成 NetBackup Authentication Broker 密钥和证书
      3.  
        重新生成主机标识密钥和证书
      4.  
        重新生成 Web 服务密钥和证书
      5.  
        重新生成 nbcertservice 密钥和证书
      6.  
        重新生成 Tomcat 密钥和证书
      7.  
        重新生成 JWT 密钥
      8.  
        重新生成 NetBackup 网关证书
      9.  
        重新生成 Web 信任存储区证书
      10.  
        重新生成 VMware vCenter 插件证书
      11.  
        重新生成 NetBackup 管理器控制台会话证书
      12.  
        重新生成 OpsCenter 密钥和证书
      13.  
        重新生成 NetBackup 加密密钥文件
  7. 第 III 部分. 静态数据加密
    1. 静态数据加密安全
      1.  
        静态数据加密术语
      2.  
        静态数据加密注意事项
      3.  
        静态数据加密的目标类型
      4.  
        要考虑的加密安全问题
      5.  
        比较加密选项
      6. 关于 NetBackup 客户端加密
        1.  
          加密安全的安装前提条件
        2. 关于运行加密备份
          1.  
            关于为备份选择加密
          2.  
            标准加密备份过程
          3.  
            旧式加密备份过程
        3.  
          NetBackup 标准加密还原过程
        4.  
          NetBackup 旧式加密还原过程
      7. 在客户端上配置标准加密
        1.  
          管理标准加密配置选项
        2.  
          管理 NetBackup Encryption 密钥文件
        3. 关于从服务器配置标准加密
          1.  
            关于在客户端上创建加密密钥文件
          2.  
            创建密钥文件
          3.  
            密钥文件还原的最佳做法
          4.  
            手动保留以保护密钥文件密码
          5.  
            自动备份密钥文件
        4.  
          将加密的备份文件还原到其他客户端
        5.  
          关于直接在客户端上配置标准加密
        6.  
          在策略中设置标准加密属性
        7.  
          从 NetBackup 服务器更改客户端加密设置
      8. 在客户端上配置旧式加密
        1. 关于从客户端配置旧式加密
          1.  
            管理旧式加密密钥文件
        2. 关于从服务器配置旧式加密
          1.  
            关于将旧式加密配置推送到客户端
          2.  
            关于将旧式加密密码推送到客户端
        3.  
          还原其他客户端上创建的旧式加密备份
        4.  
          关于在策略中设置旧式加密属性
        5.  
          从服务器更改客户端旧式加密设置
        6. 适用于 UNIX 客户端的附加旧式密钥文件安全
          1.  
            运行 bpcd -keyfile 命令
          2.  
            在 UNIX 客户端上终止 bpcd
    2. NetBackup 密钥管理服务
      1. 关于已启用 FIPS 的 KMS
        1.  
          联邦信息处理标准 (FIPS)
      2. 关于密钥管理服务 (KMS)
        1.  
          KMS 注意事项
        2.  
          KMS 操作原理
        3.  
          关于写入加密磁带
        4.  
          关于读取加密磁带
        5.  
          KMS 术语
      3. 安装 KMS
        1.  
          将 KMS 与 NBAC 一起使用
        2.  
          关于将 KMS 与 HA 群集一起安装
        3.  
          启用对 KMS 服务的监视
        4.  
          禁用对 KMS 服务的监视
      4. 配置 KMS
        1.  
          创建密钥数据库
        2. 关于密钥组和密钥记录
          1.  
            关于创建密钥组
          2.  
            关于创建密钥记录
        3. 密钥记录状态概述
          1.  
            密钥记录状态注意事项
          2.  
            活动前密钥记录状态
          3.  
            活动密钥记录状态
          4.  
            不活动密钥记录状态
          5.  
            已过时密钥记录状态
          6.  
            已终止密钥记录状态
        4.  
          关于备份 KMS 数据库文件
        5.  
          关于通过还原所有数据文件来恢复 KMS
        6.  
          通过仅还原 KMS 数据文件来恢复 KMS
        7.  
          通过重新生成数据加密密钥来恢复 KMS
        8.  
          备份 KMS 数据文件时的问题
        9.  
          备份 KMS 数据文件的解决方案
        10.  
          创建密钥记录
        11.  
          列出密钥组中的密钥
        12. 配置 NetBackup 以与 KMS 一起使用
          1.  
            NetBackup 和 KMS 中的密钥记录
          2.  
            设置 NetBackup 以使用磁带加密的示例
        13.  
          使用 KMS Web 应用程序配置 NetBackup KMS
      5. 关于使用 KMS 进行加密
        1.  
          关于导入 KMS 加密的映像
        2.  
          运行已加密磁带备份的示例
        3.  
          验证加密备份的示例
      6. KMS 数据库组成部分
        1.  
          创建空 KMS 数据库
        2.  
          KPK ID 和 HMK ID 的重要性
        3.  
          关于定期更新 HMK 和 KPK
        4.  
          备份 KMS 密钥存储和管理员密钥
      7. 命令行界面 (CLI) 命令
        1.  
          CLI 使用帮助
        2.  
          创建新密钥组
        3.  
          创建新密钥
        4.  
          修改密钥组属性
        5.  
          修改密钥属性
        6.  
          获取密钥组详细信息
        7.  
          获取密钥详细信息
        8.  
          删除密钥组
        9.  
          删除密钥
        10.  
          恢复密钥
        11. 关于从 KMS 数据库中导出和导入密钥
          1. 导出密钥
            1.  
              对导出过程中的常见错误进行故障排除
          2. 导入密钥
            1.  
              对导入过程中的常见错误进行故障排除
        12.  
          修改主机主密钥 (HMK)
        13.  
          获取主机主密钥 (HMK) ID
        14.  
          获取密钥保护密钥 (KPK) ID
        15.  
          修改密钥保护密钥 (KPK)
        16.  
          获取密钥存储统计数据
        17.  
          静默 KMS 数据库
        18.  
          取消静默 KMS 数据库
        19.  
          密钥创建选项
      8. KMS 故障排除
        1.  
          备份不进行加密的解决方案
        2.  
          还原不进行解密的解决方案
        3.  
          故障排除示例 - 无活动密钥记录的情况下进行的备份
        4.  
          故障排除示例 - 使用不正确的密钥记录状态进行的还原
    3. 外部密钥管理服务
      1.  
        关于外部 KMS
      2.  
        证书配置和授权
      3.  
        外部 KMS 配置的工作流程
      4.  
        验证 KMS 凭据
      5. 配置 KMS 凭据
        1.  
          列出 KMS 凭据
        2.  
          更新 KMS 凭据
        3.  
          删除 KMS 凭据
      6. 配置 KMS
        1.  
          列出 KMS 配置
        2.  
          更新 KMS 配置
        3.  
          删除 KMS 配置
      7.  
        在外部 KMS 中配置 NetBackup 使用的密钥
      8. 在外部 KMS 中创建密钥
        1.  
          列出密钥
      9.  
        在存储配置期间确定密钥组名称
      10. 使用多个 KMS 服务器
        1.  
          将一台 KMS 服务器迁移到另一台 KMS 服务器
        2.  
          为每个存储配置使用单独的 KMS 服务器
      11.  
        在备份和还原期间使用外部 KMS
      12.  
        密钥轮换
      13.  
        使用外部 KMS 服务器对目录库备份进行加密时执行灾难恢复
      14.  
        KMS 凭据失效警报
  8. NetBackup Web 服务帐户
    1.  
      关于 NetBackup Web 服务帐户
    2.  
      更改 Web 服务用户帐户
  9. NetBackup 中数据的不可变性和不可删除性
    1.  
      关于不可变和不可删除数据
    2.  
      配置不可变和不可删除数据的工作流程
    3.  
      使用 bpexpdate 命令从存储中删除不可变映像
    4.  
      使用 bpexpdate 命令从目录库中删除不可变映像

KMS 注意事项

下表介绍了与 KMS 的功能和使用相关的一些注意事项:

表:KMS 的功能和使用方面的相关注意事项

注意事项

描述

新增了 NBKMS 服务

+nbkms 服务是基于主服务器的服务,可为介质服务器 BPTM 进程提供加密密钥。

新的 nbkmsutil KMS 配置实用程序

为了安全起见,只能从主服务器以 root 用户或管理员身份运行 KMS 配置实用程序。

NetBackup 的大范围更改

由于下列原因,需要在整个 NetBackup 中进行更改:

  • 允许卷池名称中有 ENCR_ 前缀。

  • 与密钥管理服务通信。

  • 为内嵌加密功能的 T10 / SCSI 标准磁带驱动器提供支持。

  • NetBackup GUI 和 CLI 进行了更改,以便除了报告 NetBackup 映像信息之外,还报告加密密钥标记

    bpimmediabpimagelist 进行了修改。

  • 在该 NetBackup 版本中,重点放在可恢复性方面,并简化了使用

    建议的选项是使用通行短语生成所有加密密钥。您键入一个通行短语,密钥管理系统会使用该通行短语创建一个可复制的加密密钥。

KMS 安装和部署决定

要部署 KMS,必须做出下列决策:

  • 是选择 KMS 随机生成的密钥还是通行短语生成的密钥

  • 是否包括 NBAC 部署

KMS 安全

对现有的 NetBackup 服务没有添加任何负担,但安全方面有更多保障。

密码类型

KMS 中支持下列密码类型:

  • AES_128

  • AES_192

  • AES_256(默认密码)

KMS 可恢复性

可以通过根据通行短语生成所有加密密钥的方式使用 KMS。您可以记录这些通行短语,以便将来使用它们为 NetBackup 重新创建整个 KMS。

如果随机生成的密钥丢失,则无法恢复,因此不建议这样做。

KMS 文件

下面是与它相关的用于保存密钥信息的 KMS 文件:

  • 密钥文件或密钥数据库

    包含数据加密密钥。密钥文件位于以下位置:

    在 UNIX 上:/usr/openv/kms/db/KMS_DATA.dat

    在 Windows 上:NetBackup_install_path\kms\db\KMS_DATA.dat

  • 主机主密钥

    包含使用 AES 256 加密并保护 KMS_DATA 密钥文件的加密密钥。主机主密钥位于以下位置:

    在 UNIX 上:/usr/openv/kms/key/KMS_HMKF.dat

    在 Windows 上:NetBackup_install_path\kms\key\KMS_HMKF.dat

  • 密钥保护密钥

    使用 AES 256 加密并保护 KMS_DATA 密钥文件中各个记录的加密密钥。密钥保护密钥位于以下位置:

    在 Unix 上:/usr/openv/kms/key/KMS_KPKF.dat

    在 Windows 上:NetBackup_install_path\kms\key\KMS_KPKF.dat

    目前,使用同一密钥保护密钥来加密所有记录。

    • 备份 KMS 文件

      如果要备份 KMS 文件,则应该遵循最佳做法。将 KMS 数据库文件放在一个磁带上,然后将 HMK 文件和 KPK 文件放在另一个磁带上。要访问已加密的磁带,需要获取这两个磁带。

      另一种替代方法是,在正常的 NetBackup 进程之外备份 KMS 数据文件。可以将这些文件复制到单独的 CD、DVD 或 USB 驱动器。

      注意:

      KMS 数据文件不会包括在 NetBackup 目录库备份中。

      也可以依靠通行短语生成的加密密钥来手动重建 KMS。所有密钥都可以使用密码和对应的 salt 生成。如果已记录所有加密密钥密码及其对应的 salt,则可以通过您记下的信息手动重新创建 KMS。如果您只有几个自己生成的加密密钥,此过程可能很短。

密钥记录

密钥记录包含许多字段,但主要记录是加密密钥、加密密钥标记和记录状态。密钥记录还包含一些元数据。

这些密钥记录的定义如下:

  • 加密密钥

    此密钥将分配给磁带驱动器。

  • 加密密钥标记

    此标记是加密密钥的标识符。

  • 记录状态

    每个密钥记录都有一种状态。状态有活动前、活动、不活动、已过时以及已终止。

  • 元数据

    元数据包括逻辑名称、创建日期、修改日期和描述。

密钥组

密钥组是密钥记录的逻辑名称和分组。创建的所有密钥记录必须属于一个组。一个密钥组在任何时候都只能具有一个处于活动状态的密钥记录。NetBackup 支持 100 个密钥组。每个密钥组只允许有 30 个加密密钥。

磁带驱动器和介质功能

驱动器、磁带和 NetBackup 功能必须全部匹配,驱动器加密才能成功。许多驱动器符合 T10 标准。我们所支持的一些已知磁带驱动器(符合 T10 标准)是 LT0-4、LT0-5、LT0-6、IBM TS1120/30/40、Oracle T10000B/C 等。

您仍然可以运行较早的 LTO 版本以便进行读取和写入,但您无法加密数据。例如,如果使用 LT02 介质,则可以在 LT04 驱动器中读入数据,但无法以未加密格式或加密格式写入这些数据。

在运行设置加密时,必须记录这些驱动器问题和介质问题。您不但需要能加密的驱动器,还需要需进行分组且可以加密的介质。以后解密时,磁带必须放在能够解密的驱动器中。

有关介质和磁带驱动器之间互操作性的简要信息,请参考表:介质支持加密。有关详细信息,建议参考供应商特定的用户指南。

有关更多详细信息,请参考文章 HOWTO56305

KMS 与 NBAC 一起使用

有关将 KMS 与 NBAC 一起使用的信息包含在本文档各小节的适当位置。有关更多信息,请参见 NetBackup NBAC 文档。

KMS 与 HA 群集一起使用

有关将 KMS 与 HA 群集一起使用的信息包含在本文档各小节的适当位置。有关更多信息,请参见 NetBackup HA 文档。

KMS 日志记录

该服务使用新的统一日志记录,并且已为该服务分配了 OID 286。nbkmsutil 命令使用传统日志记录,其日志可以在以下位置中找到:

在 Unix 上:/usr/openv/netbackup/logs/admin/*.log

在 Windows 上:NetBackup_install_path\NetBackup\logs\admin\*.log

KMS 与云

在本文档各小节的适当位置,包含了有关将 KMS 与云提供程序一起使用的信息。有关更多信息,请参考 NetBackup 云管理指南

KMS 与 AdvancedDisk

在本文档各小节的适当位置,包含了有关将 KMS 与 AdvancedDisk 存储一起使用的信息。有关更多信息,请参考 NetBackup AdvancedDisk 存储解决方案指南

NBAC 和 KMS 权限

通常,在使用 NBAC 和运行 Setupmaster 命令时,会创建与 NetBackup 相关的组权限(例如,NBU_Admin 和 KMS_Admin)。默认的 root 和管理员用户也会添加到这些组中。在某些情况下,当升级 NetBackup 时,root 和管理员用户不会添加到 KMS 组中。解决方法是手动为 root 和管理员用户授予 NBU_Admin 和 KMS_Admin 权限。

表:介质支持加密

介质

LTO4 磁带驱动器

LTO5 磁带驱动器

LTO6 磁带驱动器

LTO-2 介质

只读不支持加密

不支持

不支持

LTO-3 介质

读写不支持加密

只读不支持加密

不支持

LTO-4 介质

读写启用加密

读写启用加密

已启用只读加密

LTO-5 介质

不支持

读写启用加密

读写启用加密

LTO-6 介质

不支持

不支持

读写启用加密