Veritas NetBackup™ セキュリティおよび暗号化ガイド

Last Published:
Product(s): NetBackup (8.1.1)
  1. NetBackup セキュリティの強化
    1.  
      NetBackup セキュリティおよび暗号化について
    2.  
      NetBackup セキュリティの実装レベル
    3.  
      世界レベルのセキュリティ
    4.  
      企業レベルのセキュリティ
    5.  
      データセンターレベルのセキュリティの概要
    6.  
      NetBackup アクセス制御 (NBAC)
    7.  
      世界レベル、企業レベルおよびデータセンターレベルの統合
    8.  
      NetBackup セキュリティの実装形式
    9.  
      オペレーティングシステムのセキュリティ
    10.  
      NetBackup セキュリティの脆弱性
    11.  
      NetBackup の標準セキュリティ
    12.  
      Media Server Encryption Option (MSEO) セキュリティ
    13.  
      クライアント側の暗号化セキュリティ
    14.  
      マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
    15.  
      すべてに NBAC を使用したセキュリティ
    16.  
      すべての NetBackup セキュリティ
  2. セキュリティの配置モデル
    1.  
      ワークグループ
    2.  
      単一のデータセンター
    3.  
      複数のデータセンター
    4.  
      NetBackup を使用するワークグループ
    5.  
      標準の NetBackup を使用する単一のデータセンター
    6.  
      MSEO (Media Server Encryption Option) を使用する単一のデータセンター
    7.  
      クライアント側の暗号化を使用する単一のデータセンター
    8.  
      マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
    9.  
      すべてに NBAC を使用する単一のデータセンター
    10.  
      すべてのセキュリティが実装された単一のデータセンター
    11.  
      標準的な NetBackup を使用する複数のデータセンター
    12.  
      MSEO (Media Server Encryption Option) を使用する複数のデータセンター
    13.  
      クライアント側の暗号化を使用する複数のデータセンター
    14.  
      マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
    15.  
      すべてに NBAC を使用する複数のデータセンター
    16.  
      すべての NetBackup セキュリティを使用する複数のデータセンター
  3. ポートセキュリティ
    1.  
      NetBackup TCP/IP ポートについて
    2. NetBackup のデーモン、ポート、通信について
      1.  
        NetBackup の標準ポート
      2.  
        NetBackup マスターサーバーの外部接続ポート
      3.  
        NetBackup メディアサーバーの外部接続ポート
      4.  
        NetBackup 企業メディア管理 (EMM)サーバーの送信ポート
      5.  
        クライアントの外部接続ポート
      6.  
        Java サーバーの発信ポート
      7.  
        Java コンソールの発信ポート
      8.  
        MSDP ポートの使用について
      9.  
        Cloud ポートの使用について
      10. NetBackup と相互運用する製品のためのポートの追加情報
        1.  
          OpsCenter の通信ポートとファイアウォールの注意事項について
        2.  
          バックアップ製品との通信に必要なポート
        3.  
          OpsCenter ユーザーインターフェースを起動する Web ブラウザ
        4.  
          OpsCenter ユーザーインターフェースと OpsCenter サーバーソフトウェア間の通信について
        5.  
          OpsCenter サーバーから NetBackup マスターサーバー (NBSL) への通信について
        6.  
          SNMP トラップについて
        7.  
          OpsCenter と Sybase データベース間の通信について
        8.  
          OpsCenter での電子メール通信について
    3. ポートの構成について
      1.  
        ランダムなポートの割り当ての有効化または無効化
      2.  
        構成ファイルのポート情報の編集
      3.  
        クライアント接続オプションの更新
      4.  
        vm.conf ファイルの Media Manager ポート設定の更新
    4.  
      NDMP バックアップのポート要件
    5.  
      サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
  4. NetBackup 操作の監査
    1.  
      NetBackup の監査について
    2.  
      現在の監査設定の表示
    3.  
      NetBackup マスターサーバーでの監査の構成
    4.  
      監査レポートのユーザーの ID
    5.  
      拡張監査について
    6.  
      拡張監査の有効化
    7. 拡張監査の設定
      1.  
        拡張監査でのメディアサーバーへの接続
      2.  
        NetBackup ドメイン間でのサーバー変更
      3.  
        サーバーの変更を NBAC または拡張監査と一緒に使った場合の設定要件
    8.  
      拡張監査の無効化
    9.  
      ホストプロパティの変更の監査
    10.  
      監査記録の保持とバックアップ
    11.  
      監査レポートの表示
    12.  
      -reason または -r option コマンドラインの使用
    13.  
      nbaudit ログの動作
    14.  
      監査エラーの監査アラート通知
  5. アクセス制御のセキュリティ
    1.  
      NetBackup のアクセス制御について
    2.  
      ユーザー管理
    3.  
      ユーザー認証
    4.  
      Java インターフェース認証でのアクセス制御と拡張監査の影響
  6. NetBackup アクセス制御セキュリティ (NBAC)
    1.  
      NetBackup アクセス制御 (NBAC) の使用について
    2.  
      NetBackup のアクセス管理
    3.  
      NBAC (NetBackup アクセス制御) 構成について
    4. NetBackup アクセス制御 (NBAC) の構成
      1.  
        NBAC の構成の概要
      2.  
        スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
      3.  
        クラスタでの高可用性の NetBackup マスターサーバーのインストール
      4.  
        クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
      5.  
        メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
      6.  
        クライアントでのアクセス制御のインストールおよび構成
      7.  
        NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
      8.  
        NBAC の構成コマンドの概略
      9.  
        NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
      10.  
        setuptrust コマンドの使用
    5. マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
      1.  
        [認証ドメイン (Authentication Domain)]タブ
      2.  
        [認可サービス (Authorization Service)]タブ
      3.  
        [ネットワーク属性 (Network Attributes)]タブ
    6. クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
      1.  
        クライアントの[認証ドメイン (Authentication Domain)]タブ
      2.  
        クライアントの[ネットワーク属性 (Network Attributes)]タブ
    7. アクセス管理のトラブルシューティング
      1.  
        NBAC の問題のトラブルシューティング
      2.  
        NetBackup Authentication and Authorization の構成とトラブルシューティング
      3. Windows での検証項目
        1.  
          Windows マスターサーバーでの検証項目
        2.  
          Windows メディアサーバーでの検証項目
        3.  
          Windows クライアントでの検証項目
      4. UNIX での検証項目
        1.  
          UNIX マスターサーバーの検証
        2.  
          UNIX メディアサーバーの検証
        3.  
          UNIX クライアントの検証
      5. UNIX マスターサーバーが存在する複合環境での検証項目
        1.  
          複合環境の UNIX マスターサーバーのマスターサーバーでの検証項目
        2.  
          複合環境の UNIX マスターサーバーのメディアサーバーでの検証項目
        3.  
          複合環境の UNIX マスターサーバーのクライアントでの検証項目
      6. Windows マスターサーバーが存在する複合環境での検証項目
        1.  
          複合環境の Windows マスターサーバーのマスターサーバーでの検証項目
        2.  
          複合環境の Windows マスターサーバーのメディアサーバーでの検証項目
        3.  
          複合環境の Windows マスターサーバーのクライアントでの検証項目
      7.  
        nbac_cron ユーティリティについて
      8.  
        nbac_cron ユーティリティの使用
    8.  
      アクセス管理ユーティリティの使用
    9. NetBackup へアクセス可能なユーザーの決定について
      1.  
        個々のユーザー
      2.  
        ユーザーグループ
      3.  
        NetBackup のデフォルトユーザーグループ
      4. ユーザーグループの構成
        1.  
          新しいユーザーグループの作成
        2.  
          既存のユーザーグループのコピーによる新しいユーザーグループの作成
        3.  
          ユーザーグループの名前の変更
        4.  
          ユーザーグループへの新しいユーザーの追加
      5. ユーザーグループおよびユーザーの定義について
        1.  
          新しいユーザーとしてのログオン
        2.  
          ユーザーグループへのユーザーの割り当て
        3.  
          認可オブジェクトおよび権限について
    10. NetBackup ユーザーグループの特定のユーザー権限の表示
      1.  
        権限の付与
      2.  
        認可オブジェクト
      3.  
        メディアの認可オブジェクトの権限
      4.  
        ポリシーの認可オブジェクトの権限
      5.  
        ドライブの認可オブジェクトの権限
      6.  
        レポートの認可オブジェクトの権限
      7.  
        NBU_Catalog の認可オブジェクトの権限
      8.  
        ロボットの認可オブジェクトの権限
      9.  
        ストレージユニットの認可オブジェクトの権限
      10.  
        ディスクプールの認可オブジェクトの権限
      11.  
        バックアップおよびリストアの認可オブジェクトの権限
      12.  
        ジョブの認可オブジェクトの権限
      13.  
        サービスの認可オブジェクトの権限
      14.  
        ホストプロパティの認可オブジェクトの権限
      15.  
        ライセンスの認可オブジェクトの権限
      16.  
        ボリュームグループの認可オブジェクトの権限
      17.  
        ボリュームプールの認可オブジェクトの権限
      18.  
        デバイスホストの認可オブジェクトの権限
      19.  
        セキュリティの認可オブジェクトの権限
      20.  
        ファットサーバーの認可オブジェクトの権限
      21.  
        ファットクライアントの認可オブジェクトの権限
      22.  
        Vault の認可オブジェクトの権限
      23.  
        サーバーグループの認可オブジェクトの権限
      24.  
        キー管理システム (kms) グループの認可オブジェクトの権限
    11.  
      NetBackup アクセス制御 (NBAC) のアップグレード
    12.  
      NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
  7. NetBackup のセキュリティ管理
    1.  
      NetBackup のセキュリティ証明書の概要
    2.  
      NetBackup での安全な通信について
    3. セキュリティ管理ユーティリティについて
      1.  
        ログイン処理について
    4. 監査イベントについて
      1.  
        監査イベントの表示
      2.  
        [監査イベント (Audit Events)]タブ
      3.  
        監査イベントの詳細の表示
      4.  
        監査イベントの[詳細 (Details)]ダイアログボックス
      5.  
        監査イベントの状態の表示
      6.  
        [アクセス履歴 (Access History)]タブの監査に関連する問題のトラブルシューティング
    5. ホスト管理について
      1.  
        [ホスト (Hosts)]タブ
      2.  
        ホスト ID からホスト名へのマッピングの追加
      3.  
        [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
      4.  
        ホスト ID からホスト名へのマッピングの削除
      5.  
        [承認待ちのマッピング (Mappings for Approval)]タブ
      6.  
        自動検出されたマッピングの表示
      7.  
        [マッピングの詳細 (Mapping Details)]ダイアログボックス
      8.  
        ホスト ID からホスト名へのマッピングの承認
      9.  
        ホスト ID からホスト名へのマッピングの拒否
      10. 共有マッピングとクラスタマッピングの追加
        1.  
          共有マッピングまたはクラスタマッピングのシナリオについて
      11.  
        [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
      12.  
        NetBackup ホスト属性のリセット
      13. 証明書の自動再発行の許可または禁止
        1.  
          ホストに対する autoreissue パラメータの有効期間の構成
      14.  
        ホストのコメントの追加または削除
    6. グローバルセキュリティ設定について
      1.  
        安全な通信の設定について
      2.  
        安全でない通信の無効化
      3.  
        8.0 以前のホストとの安全でない通信について
      4.  
        複数の NetBackup ドメインの 8.0 以前のホストとの通信について
      5.  
        ホスト ID をホスト名と IP アドレスに自動的にマッピングする
      6.  
        ディザスタリカバリ設定について
      7.  
        ディザスタリカバリパッケージを暗号化するパスフレーズの設定
      8.  
        ディザスタリカバリパッケージ
    7. ホスト名ベースの証明書について
      1.  
        ホスト名ベースの証明書の配備
    8. ホスト ID ベースの証明書について
      1.  
        nbcertcmd コマンドオプションの Web ログインの要件
      2. 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
        1.  
          ホスト ID ベースの証明書の詳細の表示
      3. 証明書の配備のセキュリティレベルについて
        1.  
          証明書の配備のセキュリティレベルの設定
      4.  
        ホスト ID ベースの証明書の自動配備
      5.  
        ホスト ID ベースの証明書の配備
      6.  
        ホスト ID ベースの証明書の非同期的配備
      7.  
        証明書の有効期間に対するクロックスキューの意味
      8. マスターサーバー (CA) との信頼の設定
        1.  
          認証局の指紋の検索と伝達
      9.  
        証明書の配備の強制実行または上書き
      10.  
        マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
      11.  
        マスターサーバーと接続されていないクライアントでの証明書の配備
      12.  
        ホスト ID ベースの証明書の有効期限と更新について
      13.  
        メディアサーバーおよびクライアントからの重要な証明書とキーの削除
      14.  
        仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
      15. ホスト ID ベースの証明書の再発行について
        1.  
          再発行トークンの作成
        2.  
          ホストのキーペアの変更
    9. ホスト ID ベースの証明書のトークン管理について
      1.  
        認証トークンの作成
      2.  
        認証トークンの削除
      3.  
        認証トークンの詳細の表示
      4.  
        期限切れの認証トークンとクリーンアップについて
    10. ホスト ID ベースの証明書失効リストについて
      1.  
        マスターサーバーでの CRL の更新
      2.  
        NetBackup ホストの CRL の更新
    11. ホスト ID ベースの証明書の無効化について
      1.  
        ホストとマスターサーバー間の信頼の削除
      2.  
        ホスト ID ベースの証明書の無効化
      3.  
        NetBackup ホストの証明書の状態の確認
      4.  
        証明書を無効化した NetBackup ホストのリストの取得
    12.  
      ホスト ID ベースの証明書の削除
    13. クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
      1. クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
        1.  
          アクティブなマスターサーバーノードでのホスト ID ベースの証明書の配備
        2.  
          非アクティブなマスターサーバーノードでのホスト ID ベースの証明書の配備
      2.  
        クラスタノードでのホスト ID ベースの証明書の配備
      3.  
        クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
      4.  
        再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
      5.  
        クラスタ化された NetBackup セットアップの再発行トークンの作成
      6.  
        クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
      7.  
        クラスタ化された NetBackup セットアップで証明書の詳細を表示する
      8.  
        クラスタ化された NetBackup セットアップからの CA 証明書の削除
      9.  
        ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
    14.  
      非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
    15.  
      NetBackup ホストの手動での追加
  8. 格納データの暗号化セキュリティ
    1.  
      格納データの暗号化に関する用語
    2.  
      格納データの暗号化に関する注意事項
    3.  
      暗号化セキュリティについて考慮する際の質問
    4.  
      暗号化オプションの比較
    5. NetBackup クライアントの暗号化について
      1.  
        暗号化セキュリティのインストール前提条件
      2. 暗号化を使用したバックアップの実行について
        1.  
          バックアップの暗号化の選択について
        2.  
          標準暗号化を使用したバックアップ処理
        3.  
          レガシー暗号化を使用したバックアップ処理
      3.  
        NetBackup 標準暗号化を使用したリストア処理
      4.  
        NetBackup レガシー暗号化を使用したリストア処理
    6. クライアントでの標準暗号化の構成
      1.  
        標準暗号化の構成オプションの管理
      2.  
        NetBackup 暗号化鍵ファイルの管理
      3. サーバーからの標準暗号化の構成について
        1.  
          クライアントでの暗号化鍵ファイルの作成について
        2.  
          鍵ファイルの作成
        3.  
          鍵ファイルのリストアの推奨する実施例
        4.  
          鍵ファイルのパスフレーズを保護するための手作業による保存
        5.  
          鍵ファイルの自動バックアップ
      4.  
        暗号化されたバックアップファイルの、異なるクライアントへのリストア
      5.  
        クライアントでの標準暗号化の直接的な構成について
      6.  
        ポリシーでの標準暗号化属性の設定
      7.  
        NetBackup サーバーからのクライアントの暗号化設定の変更
    7. クライアントでのレガシー暗号化の構成
      1. クライアントからのレガシー暗号化の構成について
        1.  
          レガシー暗号化鍵ファイルの管理
      2. サーバーからのレガシー暗号化の構成について
        1.  
          クライアントへのレガシー暗号化構成のプッシュインストールについて
        2.  
          クライアントへのレガシー暗号化パスフレーズのプッシュインストールについて
      3.  
        別のクライアントで作成されたレガシー暗号化が使用されたバックアップのリストア
      4.  
        ポリシーでのレガシー暗号化属性の設定について
      5.  
        サーバーからのクライアントのレガシー暗号化設定の変更
      6. UNIX 版クライアントのレガシー鍵ファイルの追加によるセキュリティの向上
        1.  
          bpcd -keyfile コマンドの実行
        2.  
          UNIX クライアントでの bpcd の終了
    8.  
      メディアサーバーの暗号化
  9. 格納するデータのキーマネージメントサービス
    1.  
      FIPS (連邦情報処理標準)
    2.  
      FIPS 対応 KMS について
    3. キーマネージメントサービス (Key Management Service: KMS) の概要
      1.  
        KMS の注意事項
      2.  
        KMS の操作原理
      3.  
        暗号化テープへの書き込みの概要
      4.  
        暗号化テープの読み取りの概要
      5.  
        KMS の用語
    4. KMS のインストール
      1.  
        KMS の NBAC との使用
      2.  
        HA クラスタに使用する KMS のインストールについて
      3.  
        クラスタでの KMS サービスの有効化
      4.  
        KMS サービスの監視の有効化
      5.  
        KMS サービスの監視の無効化
      6.  
        監視対象リストからの KMS サービスの削除
    5. KMS の構成
      1.  
        キーデータベースの作成
      2. キーグループとキーレコードについて
        1.  
          キーグループの作成について
        2.  
          キーレコードの作成について
      3. キーレコードの状態の概要
        1.  
          キーレコードの状態に関する注意事項
        2.  
          キーレコードの prelive 状態
        3.  
          キーレコードの active 状態
        4.  
          キーレコードの inactive 状態
        5.  
          キーレコードの deprecated 状態
        6.  
          キーレコードの terminated 状態
      4.  
        KMS データベースファイルのバックアップについて
      5.  
        すべてのデータファイルのリストアによる KMS のリカバリについて
      6.  
        KMS データファイルのみのリストアによる KMS のリカバリ
      7.  
        データ暗号化キーの再生成による KMS のリカバリ
      8.  
        KMS データファイルのバックアップに関する問題
      9.  
        KMS データベースファイルのバックアップソリューション
      10.  
        キーレコードの作成
      11.  
        主要グループからのキーのリスト
      12. KMS と連携するための NetBackup の構成
        1.  
          NetBackup および KMS のキーレコード
        2.  
          テープ暗号化を使用するための Netbackup の設定例
    6. 暗号化への KMS の使用について
      1.  
        KMS 暗号化イメージのインポートについて
      2.  
        暗号化テープバックアップの実行例
      3.  
        暗号化バックアップの確認例
    7. KMS データベースの要素
      1.  
        空の KMS データベースの作成
      2.  
        KPK ID および HMK ID の重要性
      3.  
        HMK および KPK の定期的な更新について
      4.  
        KMS キーストアおよび管理者キーのバックアップ
    8. コマンドラインインターフェース (CLI) コマンド
      1.  
        CLI の使用方法のヘルプ
      2.  
        新しいキーグループの作成
      3.  
        新しいキーの作成
      4.  
        キーグループの属性の変更
      5.  
        キーの属性の変更
      6.  
        キーグループの詳細の取得
      7.  
        キーの詳細の取得
      8.  
        キーグループの削除
      9.  
        キーの削除
      10.  
        キーのリカバリ
      11. KMS データベースからのキーのエクスポートと KMS データベースへのキーのインポートについて
        1. キーのエクスポート
          1.  
            エクスポート時における一般的なエラーのトラブルシューティング
        2. キーのインポート
          1.  
            インポート時における一般的なエラーのトラブルシューティング
      12.  
        ホストマスターキー (HMK) の変更
      13.  
        ホストマスターキー (HMK) ID の取得
      14.  
        キーの保護キー (KPK) ID の取得
      15.  
        キーの保護キー (KPK) の変更
      16.  
        キーストアの統計の取得
      17.  
        KMS データベースの静止
      18.  
        KMS データベースの静止解除
      19.  
        キーの作成オプション
    9. KMS のトラブルシューティング
      1.  
        バックアップが暗号化されていない問題の解決方法
      2.  
        リストアが復号化されない問題の解決方法
      3.  
        トラブルシューティングの例 - active キーレコードが存在しない場合のバックアップ
      4.  
        トラブルシューティングの例 - 不適切なキーレコード状態でのリストア
  10. キーと証明書の再生成
    1.  
      キーと証明書の再生成について
    2.  
      NetBackup 認証ブローカーのキーと証明書の再生成
    3.  
      ホスト ID のキーと証明書の再生成
    4.  
      Web サービスのキーと証明書の再生成
    5.  
      nbcertservice のキーと証明書の再生成
    6.  
      tomcat のキーと証明書の再生成
    7.  
      JWT キーの再生成
    8.  
      NetBackup ゲートウェイ証明書の再生成
    9.  
      Web トラストストア証明書の再生成
    10.  
      VMware vCenter プラグイン証明書の再生成
    11.  
      OpsCenter 管理者コンソールのセッション証明書の再生成
    12.  
      OpsCenter のキーと証明書の再生成
    13.  
      NetBackup 暗号化キーファイルの再生成
  11. NetBackup Web サービスアカウント
    1.  
      NetBackup Web サービスアカウントについて
    2.  
      Web サービスユーザーアカウントの変更

クライアント側の暗号化を使用する複数のデータセンター

クライアント側の暗号化オプションを使用する複数のデータセンターは、中規模から大規模な (50 を超える) ホストのグループとして定義されます。これらのホストは、地理的に 2 か所以上の地域にまたがり、WAN (ワイドエリアネットワーク) で接続することができます。この例では、データセンターの 1 つはロンドンにあり、もう 1 つは東京にあります。両方のデータセンターは、専用の WAN 接続を介して接続されています。

この複数のデータセンターの例では、クライアント側の暗号化を利用して、テープだけでなく回線におけるデータの機密性も確保できます。この暗号化によって、組織内での回線の消極的な盗聴の危険性を軽減できます。テープをオフサイトに移動する際のデータ流出の危険性が軽減されます。このデータセンターモデルでは、中規模から大規模 (50 を超える) の管理対象ホストに対応できます。データセンター内および DMZ 内のクライアントは、ホストおよびユーザー識別情報に中央集中型ネーミングサービスを使うことができます。

クライアント側の暗号化を使用する複数のデータセンターには、次の特徴があります。

  • NetBackup は WAN を介して地理的に 2 か所以上の地域にまたがる

  • オフサイトデータの保護に役立つ

  • クライアントからのデータが暗号化されるため、回線でのデータの消極的な妨害が防止される

  • 鍵の管理はクライアントに分散される

  • NetBackup 独自の暗号化オプションが使用される

  • 暗号化処理にはクライアントの CPU が使用される

  • データを戻すには鍵が必要である。鍵を失うと、データも失われます。

  • オフサイトでテープをスキャンする必要がある場合または回線上での機密性が必要な場合に有効である

図: クライアント側の暗号化を使用する複数のデータセンター に、クライアント側の暗号化を使用する複数のデータセンターの例を示します。

図: クライアント側の暗号化を使用する複数のデータセンター

クライアント側の暗号化を使用する複数のデータセンター

次の表に、クライアント側の暗号化を実装した複数のデータセンターで使われる NetBackup の構成要素を示します。

表: クライアント側の暗号化を実装した複数のデータセンターにおける NetBackup の構成要素

構成要素

説明

ロンドンのデータセンター

マスターサーバー、メディアサーバー 1、クライアント 4、5、6 が含まれます。また、クライアント 6、7 の暗号化されたデータテープと、クライアント 4、5 の暗号化されていないデータテープが含まれます。ロンドンのデータセンターは、専用の WAN 接続を介して東京のデータセンターに接続されます。

東京のデータセンター

メディアサーバー 2、クライアント 7、10、11、12 が含まれます。また、クライアント 7、12 の暗号化されたデータテープと、クライアント 10、11 の暗号化されていないデータテープが含まれます。東京のデータセンターは、専用の WAN 接続を介してロンドンのデータセンターに接続されます。

WAN (ワイドエリアネットワーク)

東京のデータセンターにロンドンのデータセンターを接続する専用の WAN リンクです。WAN を使用することで、ロンドンのマスターサーバーを、東京のメディアサーバー 2 およびクライアント 7、10、11、12 に接続できます。また、WAN を使用して、ロンドンのメディアサーバー 1 を、東京のクライアント 7 に接続することもできます。

マスターサーバー

マスターサーバーはロンドンのデータセンターにあり、メディアサーバー 1 およびクライアント 4、5、6 と通信します。また、このマスターサーバーは、WAN を使用して東京のメディアサーバー 2 およびクライアント 7、10、11、12 と通信します。

メディアサーバー

複数のデータセンターは 2 つのメディアサーバーを使います。メディアサーバー 1 はロンドンのデータセンターにあり、メディアサーバー 2 は東京のデータセンターにあります。ロンドンのメディアサーバー 1 は、マスターサーバーおよびクライアント 4、5、6 と通信します。また、東京のクライアント 7 とも通信します。メディアサーバー 1 は、クライアント 4、5 の暗号化されていないデータをテープに書き込みます。また、クライアント 6、7 の暗号化されたデータもテープに書き込みます。クライアント 7 は東京に存在しますが、このテープバックアップはロンドンに存在することに注意してください。クライアント 6、7 の暗号化されたテープは、ロンドンのオフサイト Vault に発送されます。

東京のメディアサーバー 2 は、WAN を介してロンドンのマスターサーバーと通信し、また、東京のクライアント 7、10、11、12 と通信します。メディアサーバー 2 は、クライアント 10、11 の暗号化されていないデータをテープに書き込みます。また、クライアント 7、12 の暗号化されたデータもテープに書き込みます。クライアント 7 は東京に存在し、ロンドンでバックアップされますが、東京でもバックアップされることに注意してください。クライアント 7、12 の暗号化されたテープは、東京のオフサイト Vault に発送されます。

クライアント側の暗号化

クライアント側の暗号化 (図には示されていない) によって、テープだけでなく回線におけるデータの機密性も確保されます。

テープ

暗号化されていないデータテープおよび暗号化されたデータテープの両方が、ロンドンと東京のデータセンターで作成されます。暗号化されたテープには、クライアント側で暗号化されたバックアップデータが格納されます。ロンドンでは、クライアント 4、5 用に、暗号化されていないテープが書き込まれ、ロンドンのデータセンターのオンサイトに格納されます。クライアント 6、7 用には、暗号化されたテープが書き込まれます。暗号化されたテープは、ディザスタリカバリ保護用にロンドンのオフサイト Vault に発送されます。

東京では、クライアント 10、11 用に、暗号化されていないテープが書き込まれ、東京のデータセンターのオンサイトに格納されます。クライアント 7、12 用には、暗号化されたテープが書き込まれます。クライアント 7 は東京に存在し、東京でバックアップされますが、ロンドンでもバックアップされることに注意してください。暗号化されたテープは、ディザスタリカバリ保護用に東京のオフサイト Vault に発送されます。

メモ:

データを復号化するには、そのデータの暗号化に使用した鍵が利用可能である必要があります。

トランスポート

複数のデータセンターは 2 つのトランスポートを使います。1 つはロンドン、もう 1 つは東京にあります。ロンドンのトランスポートトラックにより、クライアント 6、7 の暗号化されたテープは、セキュリティ保護されたロンドンのオフサイト Vault 施設に運ばれます。東京のトランスポートトラックにより、クライアント 7、12 の暗号化されたテープは、セキュリティ保護された東京のオフサイト Vault 施設に運ばれます。クライアント 7 のバックアップコピーは、ロンドンと東京の両方の Vault に格納されることに注意してください。

メモ:

輸送中に遠隔の場所でテープが失われた場合でも、データセンターの管理者は、データの漏洩リスクを軽減することができます。漏洩はクライアント側でのデータの暗号化の使用により軽減されます。

オフサイト Vault

複数のデータセンターは 2 つのオフサイト Vault を使います。1 つはロンドン、もう 1 つは東京にあります。どちらの Vault も、暗号化されたテープを格納する安全な施設であり、それぞれのデータセンターとは別の場所に存在します。

メモ:

暗号化されたテープをデータセンターから離れた場所に格納することで、ディザスタリカバリ保護が向上します。

クライアント

クライアントは、ロンドンと東京の両方のデータセンターに配置されています。ロンドンの場合、クライアント 4 は標準的な NetBackup 形式です。クライアント 5 は、DMZ に配置されている Web サーバー形式です。クライアント 6 はクライアント側で暗号化を行うクライアントで、同じく DMZ に配置されています。いずれの形式のクライアントもマスターサーバーによって管理され、クライアントのデータはメディアサーバー 1 によってテープにバックアップされます。クライアント 5 と 6 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 6 は、HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信します。

東京の場合、クライアント 7 はクライアント側で暗号化を行うクライアントですが、DMZ の外に配置されています。クライアント 10 は、標準的な NetBackup 形式です。クライアント 11 は、DMZ に配置されている Web サーバー形式です。クライアント 12 はクライアント側で暗号化を行うクライアントで、同じく DMZ に配置されています。すべての形式のクライアントは、ロンドンのマスターサーバーによって管理できます。クライアント 7 のデータは、メディアサーバー 1 および 2 によってテープにバックアップされます。クライアント 10、11、12 のデータは、メディアサーバー 2 によってテープにバックアップされます。クライアント 11、12 は、NetBackup ポートのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 12 は、HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信します。

内部ファイアウォール

複数のデータセンターは 2 つの内部ファイアウォールを使います。1 つはロンドン、もう 1 つは東京にあります。ロンドンの場合、NetBackup は、内部ファイアウォールを通過して DMZ 内の Web サーバークライアント 5 とクライアント側で暗号化を行うクライアント 6 にアクセスできます。東京の場合、NetBackup は、内部ファイアウォールを通過して DMZ 内の Web サーバークライアント 11 とクライアント側で暗号化を行うクライアント 12 にアクセスできます。選択された NetBackup ポートおよび他のアプリケーションポート (可能な場合) のみが、DMZ とのデータ通信を行うことができます。外部ファイアウォールで開かれている HTTP ポートは、内部ファイアウォールを通過できません。

非武装地帯 (DMZ)

複数のデータセンターは 2 つの DMZ を使います。1 つはロンドン、もう 1 つは東京にあります。ロンドンの DMZ は、Web サーバークライアント 5 およびクライアント側で暗号化を行うクライアント 6 に対して「安全な」操作領域を提供します。このクライアントは、内部ファイアウォールと外部ファイアウォールとの間に存在します。DMZ 内の Web サーバークライアント 5 およびクライアント側で暗号化を行うクライアント 6 は、NetBackup と通信できます。これらのクライアントは両方とも、指定された NetBackup ポートを使って内部ファイアウォールを通過し、通信を行います。また、Web サーバークライアント 5 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。

東京の DMZ は、Web サーバークライアント 11 およびクライアント側で暗号化を行うクライアント 12 に対して「安全な」操作領域を提供します。クライアント 12 は、内部ファイアウォールと外部ファイアウォールとの間に存在します。DMZ 内の Web サーバークライアント 11 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。また、Web サーバークライアント 11 は、HTTP ポートのみを使用して外部ファイアウォールも通過し、インターネットに接続することができます。

外部ファイアウォール

複数のデータセンターは 2 つの外部ファイアウォールを使うことができます。1 つはロンドン、もう 1 つは東京にあります。ロンドンでは、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 5 にアクセスできます。NetBackup ポートは Web サーバークライアント 5 に対して開かれており、内部ファイアウォールを通過して NetBackup と通信できます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 5 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。クライアント側で暗号化を行うクライアント 6 には、インターネットからはアクセスできません。

東京では、外部ユーザーは、HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 11 にアクセスできます。NetBackup ポートは Web サーバークライアント 11 に対して開かれており、内部ファイアウォールを通過して NetBackup と通信できます。NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはできません。Web サーバークライアント 11 の HTTP ポートのみが外部ファイアウォールを通過してインターネットに接続できます。クライアント側で暗号化を行うクライアント 12 には、インターネットからはアクセスできません。

インターネット

インターネットは 1 つしかありませんが、この複数のデータセンターの例では 2 つのインターネット接続があります。1 つはロンドン、もう 1 つは東京にあります。インターネットは、相互に接続されたコンピュータネットワークの集まりで、銅線、ファイバー光ケーブル、および無線接続によってリンクされています。ロンドンでは、Web サーバークライアント 5 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。東京では、Web サーバークライアント 11 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットでの通信を行うことができます。