Guide de sécurité et de chiffrement NetBackup™
- Informations préliminaires pour les communications sécurisées dans NetBackup
- Scénarios d'échec de communication
- Augmentation de la sécurité dans NetBackup
- Modèles de déploiement de la sécurité
- Audit des opérations NetBackup
- Événements d'audit
- Section I. Gestion des identités et des accès
- À propos de la gestion des identités et des accès
- Domaines AD et LDAP
- Clés d'accès
- Clés d'API
- Fichier auth.conf
- Contrôle d'accès basé sur les rôles
- Rôles RBAC par défaut
- Accès à l'interface NetBackup pour les administrateurs du système d'exploitation
- Carte à puce ou certificat numérique
- Authentification unique (SSO)
- Sécurité de NetBackup Access Control (NBAC)
- Configuration de NBAC (NetBackup Access Control)
- Configuration des propriétés d'hôte de contrôle d'accès pour le serveur principal et le serveur de médias
- Boîte de dialogue Propriétés d'hôte du contrôle d'accès pour le client
- Dépannage de la gestion de l'accès
- Points de vérification de Windows
- Points de vérification UNIX
- Points de vérification dans un environnement mixte avec un serveur principal UNIX
- Points de vérification dans un environnement mixte avec un serveur principal Windows
- Détermination de l'accès à NetBackup
- Affichage des autorisations d'utilisateur particulières des groupes d'utilisateurs NetBackup
- Configuration de l'authentification multifacteur
- Configuration de l'autorisation multi-personnes
- Section II. Chiffrement des données en transit
- Autorité de certification NetBackup et certificats NetBackup
- À propos des utilitaires de gestion de la sécurité
- À propos de la gestion des hôtes
- Ajout de mappages partagés ou de cluster
- Autoriser ou ne pas autoriser le renouvellement de certificat automatique
- À propos des paramètres de sécurité globale
- À propos des certificats basés sur le nom d'hôte
- À propos des certificats basés sur l'ID d'hôte
- À l'aide de l'utilitaire de gestion de certificat pour émettre et déployer des certificats basés sur l'ID d'hôte
- À propos des niveaux de sécurité de déploiement de certificats NetBackup
- Établissement d'une relation de confiance avec le serveur principal (autorité de certification)
- À propos du renouvellement de certificats basés sur l'ID d'hôte
- À propos de la gestion des jetons pour les certificats basés sur l'ID d'hôte
- À propos de la liste de révocations des certificats basés sur l'ID d'hôte
- À propos de la révocation de certificats basés sur l'ID d'hôte
- Déploiement de certificat basé sur l'ID d'hôte dans une configuration en cluster
- Déploiement d'un certificat basé sur un ID d'hôte sur un hôte NetBackup en cluster
- Migration de l'autorité de certification NetBackup
- Configuration du chiffrement des données en transit (DTE)
- Configuration du mode DTE sur un client
- Modification du mode DTE d'une image de sauvegarde
- Fonctionnement des paramètres de configuration DTE dans différentes opérations NetBackup
- Autorité de certification externe et certificats externes
- A propos de la prise en charge d'une autorité de certification externe dans NetBackup
- Options de configuration pour les certificats signés par une autorité de certification externe
- ECA_CERT_PATH pour les serveurs et clients NetBackup
- À propos des listes de révocation des certifications pour l'autorité de certification externe
- À propos de l'inscription de certificats
- Configurer un certificat externe pour le serveur Web NetBackup
- À propos de la configuration de certificat externe pour un serveur principal en cluster
- Régénération de clés et de certificats
- Autorité de certification NetBackup et certificats NetBackup
- Section III. Chiffrement des données au repos
- Sécurité du chiffrement des données au repos
- A propos du chiffrement de client NetBackup
- Configuration du chiffrement standard sur des clients
- Configuration de chiffrement standard à partir du serveur
- Configuration du chiffrement hérité sur les clients
- A propos de la configuration du chiffrement hérité à partir du client
- Configuration du chiffrement hérité du serveur
- Degré de sécurité de fichier de clé hérité supplémentaire pour clients UNIX
- Service Gestion des clés NetBackup
- À propos de KMS conforme à la norme FIPS
- Installation du KMS
- Configuration de KMS
- Groupes de clés et enregistrements de clé
- Présentation des états d'enregistrement de clé
- Configuration de NetBackup pour fonctionner avec le KMS
- Utilisation de KMS pour le chiffrement
- Éléments constitutifs d'une base de données KMS
- Commandes de l'interface de ligne de commande (CLI)
- A propos de l'exportation et de l'importation de clés à partir de la base de données KMS
- Dépannage du KMS
- Service Gestion des clés externe
- Configuration des informations d'authentification du KMS
- Configuration du KMS
- Création de clés dans un KMS externe
- Utilisation de plusieurs serveurs KMS
- Sécurité du chiffrement des données au repos
- Chiffrements utilisés dans NetBackup pour la communication sécurisée
- Conformité FIPS dans NetBackup
- Désactivation du mode FIPS pour NetBackup
- Compte de services Web NetBackup
- Exécution de services NetBackup avec un compte utilisateur sans privilège (utilisateur du service)
- À propos d'un compte utilisateur du service NetBackup
- Exécution de commandes NetBackup avec un compte utilisateur sans privilège
- Immuabilité et ineffaçabilité des données dans NetBackup
- Détection d'anomalies
- À propos de la détection des anomalies de sauvegarde
- À propos de la détection d'anomalies système
- Configuration de la détection d'anomalies pour les extensions de fichier de ransomware
- Calcul d'entropie et d'attributs de fichier dans NetBackup
- Section IV. Analyse antimalware
- Introduction
- Outils de détection de malwares
- Configurations
- Exécution d'une analyse antimalware
- Gestion des tâches d'analyse
- Paramètres de configuration d'analyse antimalware
Forcer ou remplacer le déploiement d'un certificat
Dans certaines situations, il peut s'avérer nécessaire d'utiliser l'option -force avec la commande nbcertcmd -getCertificate. Par exemple, pour forcer le déploiement d'un certificat sur un hôte ou pour remplacer les informations de certificat basées sur l'ID d'hôte existantes et récupérer un nouveau certificat.
Un hôte peut déjà avoir un certificat basé sur l'ID d'hôte, mais il a besoin de remplacer l'ancien certificat par un nouveau. Cette opération est nécessaire, par exemple, lorsqu'un serveur principal est remplacé par un nouveau serveur. Les clients ayant l'ancien certificat sur l'ancien serveur, lorsque la commande nbcertcmd -getCertificate est exécutée sur les clients, elle échoue avec l'erreur suivante :
Certificate already exists for the server.
Utilisez la procédure suivante pour remplacer les informations de certificat basées sur l'ID d'hôte existantes et récupérer un nouveau certificat.
Pour forcer le déploiement d'un certificat sur un hôte
- L'administrateur de l'hôte exécute la commande suivante sur l'hôte du serveur non principal :
nbcertcmd -getCertificate -server primary_server_name -force
Selon le paramètre de sécurité du serveur principal, il est possible qu'un jeton doive également être spécifié.
Se reporter à Création de jetons d'autorisation.
Utilisez l'option -cluster pour déployer un certificat de cluster.
Un hôte peut avoir émis un certificat, mais au fil du temps le certificat a été endommagé ou le fichier du certificat a été supprimé.
L'administrateur de l'hôte du serveur non principal peut exécuter la commande suivante pour vérifier l'état du certificat :
nbcertcmd -listCertDetails
Si le certificat est endommagé, la commande échoue avec l'erreur suivante :
Certificate could not be read from the local certificate store.
Si aucun détail du certificat ne s'affiche, le certificat n'est pas disponible.
Utilisez la procédure suivante pour remplacer les informations du certificat basées sur l'ID d'hôte existantes et récupérer un nouveau certificat.
Pour récupérer un nouveau certificat basé sur l'ID d'hôte
- L'administrateur de l'hôte exécute la commande suivante sur l'hôte du serveur non principal :
nbcertcmd -getCertificate -force
Selon le paramètre de sécurité du serveur principal, il est possible qu'un jeton doive également être spécifié.
Se reporter à Création de jetons d'autorisation.
Utilisez l'option -cluster pour déployer un certificat de cluster.