Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- Media Server Encryption Option (MSEO) セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- すべての NetBackup セキュリティ
- セキュリティの配置モデル
- ワークグループ
- 単一のデータセンター
- 複数のデータセンター
- NetBackup を使用するワークグループ
- 標準の NetBackup を使用する単一のデータセンター
- MSEO (Media Server Encryption Option) を使用する単一のデータセンター
- クライアント側の暗号化を使用する単一のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する単一のデータセンター
- すべてに NBAC を使用する単一のデータセンター
- すべてのセキュリティが実装された単一のデータセンター
- 標準的な NetBackup を使用する複数のデータセンター
- MSEO (Media Server Encryption Option) を使用する複数のデータセンター
- クライアント側の暗号化を使用する複数のデータセンター
- マスターサーバーとメディアサーバーで NBAC を使用する複数のデータセンター
- すべてに NBAC を使用する複数のデータセンター
- すべての NetBackup セキュリティを使用する複数のデータセンター
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- 証明書の自動再発行の許可または禁止
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- ホスト ID ベースの証明書の非同期的配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- NetBackup ホストの手動での追加
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- メディアサーバーの暗号化
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
KMS の注意事項
次の表に、KMS の機能および使用に関する注意事項を示します。
表: KMS の機能および使用に関する注意事項
注意事項 | 説明 |
|---|---|
新しい NBKMS サービス | nbkms サービスはメディアサーバーの BPTM プロセスに暗号化キーを提供する、マスターサーバーベースのサービスです。 |
新しい nbkmsutil KMS 構成ユーティリティ | セキュリティ上の理由のため、KMS 構成ユーティリティは、root または管理者としてマスターサーバーからのみ実行可能です。 |
NetBackup の大幅な変更 | 次の処理を可能にするために、NetBackup の変更が必要でした。
|
KMS のインストールおよび配置の決定 | 次に KMS の配置について決定する必要のある事項を示します。
|
KMS のセキュリティ | 既存の NetBackup サービスに追加されるセキュリティ上の問題はありません。 |
暗号形式 | |
KMS のリカバリ能力 | KMS を使って、すべての暗号化キーをパスフレーズから生成できます。 これらのパスフレーズを記録して、NetBackup の KMS 全体を再作成するために後で使うことができます。 |
KMS ファイル | 次のような KMS に関連する KMS ファイルがあり、キーに関する情報が維持されます。
|
キーレコード | キーレコードには多数のフィールドが含まれますが、主要なレコードは、暗号化キー、暗号化キータグおよびレコードの状態です。また、キーレコードにはいくつかのメタデータも含まれます。 これらのキーレコードは次のように定義されます。
|
キーグループ | キーグループはキーレコードの論理名および論理グループです。作成されるすべてのキーレコードはグループに属する必要があります。キーグループには、常に active 状態のキーレコードを 1 つだけ含めることができます。NetBackup は 100 のキーグループをサポートします。キーグループごとに 10 個の暗号化キーのみが許可されます。 |
テープドライブおよびメディアの機能 | ドライブ、テープおよび NetBackup の機能は、ドライブの暗号化が正常に行われるようにすべて適合している必要があります。多数のドライブが T10 規格に準拠しています。 対応しているテープ ドライブ (T10 規格に準拠) のうちよく知られているものには、LT0-4、LT0-5、LT0-6、IBM TS1120/30/40、Oracle T10000B/C などがあります。 読み取りおよび書き込みのために旧バージョンの LTO ドライブを実行することはできますが、データを暗号化することはできません。 たとえば、LTO2 メディアを使用している場合、LTO4 ドライブでデータを読み取ることはできますが、暗号化されていない形式でも暗号化されている形式でも書き込みはできません。 暗号化を設定する際は、これらのドライブおよびメディアの問題を常に把握しておくことが必要です。暗号化が可能なドライブが必要なだけでなく、メディアをグループ化して暗号化を実行できるようにする必要があります。後で復号化するために、テープは復号化が可能なドライブに配置する必要があります。 メディアとテープドライブの相互操作性の概要については、表: 暗号化のメディアサポートを参照してください。 詳しくは、ベンダー固有のユーザーガイドを参照することをお勧めします。 詳しくは、記事「HOWTO56305」を参照してください。 |
KMS と NBAC | KMS を NBAC とともに使用する場合については、このマニュアルのさまざまな項で、必要に応じて説明されています。詳しくは、NetBackup の NBAC のマニュアルを参照してください。 |
KMS と HA クラスタ | KMS を HA クラスタとともに使用する場合については、このマニュアルのさまざまな項で、必要に応じて説明されています。詳しくは、NetBackup の HA のマニュアルを参照してください。 |
KMS ログ | サービスは新しい統合ログ機能を使用し、OID 286 が割り当てられています。nbkmsutil コマンドは従来のログ機能と、ファイル /usr/openv/netbackup/logs/admin/*.log にあるログを使用します。 |
クラウドと KMS | KMS をクラウドプロバイダとともに使用することについては、このマニュアルのさまざまな項で、必要に応じて説明されています。詳しくは、『NetBackup クラウド管理者ガイド』を参照してください。 |
AdvancedDisk と KMS | KMS を AdvancedDisk ストレージとともに使用することについては、このマニュアルのさまざまな項で、必要に応じて説明されています。詳しくは、『NetBackup AdvancedDisk ストレージソリューションガイド』を参照してください。 |
NBAC と KMS の権限 | 通常 NBAC を使って Setupmaster コマンドを実行するとき、NetBackup 関連グループの権限 (たとえば、NBU_Admin と KMS_Admin) が作成されます。デフォルトの root と管理者ユーザーもそれらのグループに追加されます。場合によっては NetBackup がアップグレードされるときに、root と管理者レベルのユーザーが KMS グループに追加されないことがあります。解決するには、root と管理者レベルのユーザーに NBU_Admin と KMS_Admin の権限を手動で付与します。 |
表: 暗号化のメディアサポート
メディア (Media) | LTO4 テープドライブ | LTO5 テープドライブ | LTO6 テープドライブ |
|---|---|---|---|
LTO-2 メディア | 読み取り専用暗号化サポート無し | サポートされない | サポートされない |
LTO-3 メディア | 読み書き暗号化サポートなし | 読み取り専用暗号化サポート無し | サポートされない |
LTO-4 メディア | 読み書き暗号化有効 | 読み書き暗号化有効 | 読み取り専用暗号化有効 |
LTO-5 メディア | サポートされない | 読み書き暗号化有効 | 読み書き暗号化有効 |
LTO-6 メディア | サポートされない | サポートされない | 読み書き暗号化有効 |