Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup での安全な通信 (最初にお読みください)
- NetBackup での安全な通信について
- インストール時に NetBackup CA が署名した証明書 (またはホスト ID ベースの証明書) を配備する方法
- マスターサーバーのクラスタノードでの安全な通信の方法
- クラスタ化されたアプリケーションのノードにインストールされた NetBackup クライアントについて
- アップグレード時に NetBackup 証明書をホストに配備する方法
- 証明書配備中に認証トークンが必要である場合
- ホスト名 (または IP アドレス) をホスト ID にマップする理由
- ホスト属性またはホストの通信状態をリセットする方法
- カタログリカバリの変更点
- 自動イメージレプリケーションでの変更点
- 無効化された証明書を使用するホストの動作
- NetBackup 証明書のバックアップについて
- マスターサーバーの外部証明書の設定
- 外部証明書を使用するマスターサーバーのクラスタノードでの安全な通信の方法
- 外部証明書の失効リストの仕組み
- ホストがマスターサーバーに直接接続できないときの通信の動作
- NetBackup 8.1 のホストが NetBackup 8.0 以前のホストと通信する方法
- クラウド構成でのレガシーメディアサーバーとの通信方法
- 通信エラーのシナリオ
- NetBackup ドメイン内の他のホストに対する安全な通信のサポート
- NetBackup 8.1 以降のマスターサーバーと OpsCenter サーバー間の通信
- BMR の安全な通信のサポート
- SQL Server を保護する VMware のバックアップと複数の NIC を使用する SQL Server でのバックアップの構成
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- セキュリティの配置モデル
- NetBackup 操作の監査
- 第 I 部 個人情報とアクセスの管理
- 個人情報とアクセスの管理について
- AD ドメインと LDAP ドメイン
- API キー
- auth.conf ファイル
- 役割ベースのアクセス制御 (RBAC)
- スマートカードまたはデジタル証明書
- シングルサインオン (SSO)
- 拡張監査
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- 自動イメージレプリケーションでの NetBackup アクセス制御 (NBAC) の使用
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- 権限Vault の認可オブジェクト
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- 第 II 部 移動中のデータの暗号化
- NetBackup CA および NetBackup 証明書
- NetBackup のセキュリティ証明書の概要
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- 証明書の自動再発行の許可または禁止
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- NetBackup 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- ホスト ID ベースの証明書の非同期的配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化されたセットアップでのホスト ID ベースの証明書配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- NetBackup ホストの手動での追加
- NetBackup CA の移行
- 外部 CA と外部証明書
- NetBackup での外部 CA のサポートについて
- NetBackup ホスト通信で外部証明書を使用するワークフロー
- 外部 CA が署名した証明書の構成オプション
- NetBackup サーバーとクライアントの ECA_CERT_PATH
- NetBackup サーバーとクライアントの ECA_TRUST_STORE_PATH
- NetBackup サーバーとクライアントの ECA_PRIVATE_KEY_PATH
- NetBackup サーバーとクライアントの ECA_KEY_PASSPHRASEFILE
- NetBackup サーバーとクライアントの ECA_CRL_CHECK
- NetBackup サーバーとクライアントの ECA_CRL_PATH
- NetBackup サーバーとクライアントの ECA_CRL_PATH_SYNC_HOURS
- NetBackup サーバーとクライアントの ECA_CRL_REFRESH_HOURS
- NetBackup サーバーとクライアントの ECA_DISABLE_AUTO_ENROLLMENT
- NetBackup サーバーとクライアントの ECA_DR_BKUP_WIN_CERT_STORE
- 外部 CA の証明書失効リストについて
- 証明書の登録について
- マスターサーバーの登録状態の表示について
- NetBackup Web サーバーで外部証明書を使用するための構成
- 外部 CA が署名した証明書を使用するマスターサーバーの構成
- インストール後に外部 CA が署名した証明書を使用するための NetBackup ホスト (メディアサーバー、クライアント、クラスタノード) の構成
- リモートホストの外部証明書の登録
- NetBackup ドメインがサポートする認証局の表示
- NetBackup Web UI での外部 CA が署名した証明書の表示
- ファイルベースの外部証明書の更新
- 証明書の登録を削除
- NetBackup ドメインでの NetBackup CA の無効化
- NetBackup ドメインでの NetBackup CA の有効化
- NetBackup ドメインでの外部 CA の無効化
- 登録済み外部証明書のサブジェクト名の変更
- クラスタマスターサーバー用の外部証明書の構成について
- キーと証明書の再生成
- NetBackup CA および NetBackup 証明書
- 第 III 部 格納データの暗号化
- 格納データの暗号化セキュリティ
- 格納データの暗号化に関する用語
- 格納データの暗号化に関する注意事項
- 格納データの暗号化の宛先形式
- 暗号化セキュリティについて考慮する際の質問
- 暗号化オプションの比較
- NetBackup クライアントの暗号化について
- クライアントでの標準暗号化の構成
- クライアントでのレガシー暗号化の構成
- NetBackup Key Management Service
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- キーデータベースの作成
- キーグループとキーレコードについて
- キーレコードの状態の概要
- KMS データベースファイルのバックアップについて
- すべてのデータファイルのリストアによる KMS のリカバリについて
- KMS データファイルのみのリストアによる KMS のリカバリ
- データ暗号化キーの再生成による KMS のリカバリ
- KMS データファイルのバックアップに関する問題
- KMS データベースファイルのバックアップソリューション
- キーレコードの作成
- 主要グループからのキーのリスト
- KMS と連携するための NetBackup の構成
- KMS Web アプリケーションを使用した NetBackup KMS の設定
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- 外部のキーマネージメントサービス
- 格納データの暗号化セキュリティ
- NetBackup Web サービスアカウント
- NetBackup でのデータの変更不可と削除不可
デフォルトの RBAC の役割
NetBackup Web UI には、事前に権限や設定が構成されたデフォルトの RBAC の役割が用意されています。
メモ:
Veritas は、今後のリリースでデフォルトの役割の RBAC 権限を更新する権限を留保します。更新された権限は、NetBackup のアップグレード時にこれらの役割のユーザーに自動的に適用されます。デフォルトの役割 (またはデフォルトの役割に基づくカスタム役割) のコピーがある場合、これらの役割は自動的には更新されません。これらのカスタム役割にも、デフォルトの役割に対する変更を適用するには、手動で変更を適用するか、カスタム役割を再作成する必要があります。
管理者の役割には NetBackup に対する完全な権限が付与され、管理者はセキュリティ、ストレージ、保護計画、ポリシー、ジョブ、クレデンシャルなど、NetBackup のあらゆる側面を管理できます。
この役割には、クラウド資産を管理し、保護計画でそれらの資産をバックアップするために必要なすべての権限が付与されます。
表: デフォルトのクラウド管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
NetBackup のバックアップイメージ |
内容の表示、表示 |
|
ジョブ |
表示 |
|
メディアサーバー |
表示 |
|
信頼できるマスターサーバー |
表示 |
|
スナップショット管理サーバープラグイン |
表示、作成、更新、アクセス管理 |
|
スナップショット管理サーバー |
完全な権限 |
|
[グローバル権限 (Global permissions)]>[ストレージ (Storage)] | |
|
ストレージユニット |
表示 |
|
レプリケーション対応のターゲットストレージサーバー |
表示 |
|
作業負荷 | |
|
クラウド資産 |
完全な権限 |
|
保護計画 | |
|
完全な権限 | |
この役割には、SQL Server データベースを管理し、保護計画でそれらの資産をバックアップするために必要なすべての権限が付与されます。この役割に加えて、NetBackup ユーザーは次の必要条件を満たす必要があります。
Windows 管理者グループのメンバーである必要があります。
SQL Server の「sysadmin」の役割を持っている必要があります。
表: デフォルトの Microsoft SQL Server 管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
ジョブ |
表示 |
|
信頼できるマスターサーバー |
表示 |
|
[グローバル権限 (Global permissions)]>[ストレージ (Storage)] | |
|
ストレージユニット |
表示 |
|
レプリケーション対応のターゲットストレージサーバー |
表示 |
|
作業負荷 | |
|
SQL Server 資産 |
完全な権限 |
|
保護計画 | |
|
完全な権限 | |
|
クレデンシャル | |
|
完全な権限 | |
この役割には、VMware 資産用に Veritas Resiliency Platform (VRP) を保護するためのすべての権限が付与されています。
表: デフォルトの Resiliency 管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
Resiliency Domain |
完全な権限 |
|
クレデンシャル | |
|
完全な権限 | |
この役割には、Red Hat Virtualization マシンを管理し、保護計画でそれらの資産をバックアップするために必要なすべての権限が付与されます。
表: デフォルトの RHV 管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
アクセスホスト |
表示、作成、削除 |
|
ホスト |
更新、表示 |
|
ジョブ |
表示 |
|
リソース制限 |
表示、作成、更新、削除 |
|
信頼できるマスターサーバー |
表示 |
|
[グローバル権限 (Global permissions)]>[ストレージ (Storage)] | |
|
ストレージユニット |
表示 |
|
レプリケーション対応のターゲットストレージサーバー |
表示 |
|
作業負荷 | |
|
RHV 資産 |
完全な権限 |
|
保護計画 | |
|
完全な権限 | |
この役割には、NetBackup セキュリティ (役割ベースのアクセス制御 (RBAC)、証明書、ホスト、ID プロバイダとドメイン、グローバルセキュリティ設定、その他の権限など) を管理する権限があります。またこの役割は、NetBackup のほとんどの領域の設定と資産 (作業負荷、ストレージ、ライセンス、その他の領域を含む) を表示できます。
表: デフォルトのセキュリティ管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
アクセスホスト |
表示、アクセス管理 |
|
データの分類 |
表示、アクセス管理 |
|
クレデンシャル |
表示、アクセス管理 |
|
電子メール通知 |
表示、アクセス管理 |
|
イベントログ: メッセージ、通知 |
表示、アクセス管理 |
|
NetBackup ホスト |
完全な権限 |
|
イメージ共有: Amazon Machine Image (AMI) クラウドイメージ、クラウド VM ID |
表示、アクセス管理 |
|
NetBackup のバックアップイメージ |
表示、アクセス管理 |
|
ジョブ |
表示、アクセス管理 |
|
ライセンス |
表示、アクセス管理 |
|
メディアサーバー |
完全な権限 |
|
リモートマスターサーバーの認証局 |
完全な権限 |
|
Resiliency Domain |
表示、アクセス管理 |
|
リソース制限 |
表示、アクセス管理 |
|
保持レベル |
表示、アクセス管理 |
|
信頼できるマスターサーバー |
完全な権限 |
|
クラウドプロバイダ |
表示、アクセス管理 |
|
クラウドプロバイダ: AWS (Amazon Web Services)、Microsoft Azure、GCP (Google Cloud Platform) |
表示、アクセス管理 |
|
CloudPoint サーバー |
表示、アクセス管理 |
|
WebSocket サーバー |
表示、アクセス管理 |
|
[グローバル権限 (Global permissions)]>[保護 (Protection)] | |
|
ポリシー |
表示、アクセス管理 |
|
ストレージのライフサイクルポリシー (SLP) |
表示、アクセス管理 |
|
[グローバル権限 (Global permissions)]>[セキュリティ (Security)] | |
|
セキュリティイベント |
表示、アクセス管理 |
|
証明書の管理: 認証局、ECA、NetBackup 証明書、トークン |
完全な権限 |
|
ディザスタリカバリのパスフレーズ |
完全な権限 |
|
ID プロバイダの構成 |
完全な権限 |
|
キーマネージメントサービス |
完全な権限 |
|
パスフレーズの制約 |
更新 (完全な権限) |
|
グローバルセキュリティ設定 |
完全な権限 |
|
信頼バージョン |
表示、アクセス管理 |
|
ユーザーセッションと認証: API キー、ユーザー証明書、ユーザーセッション |
完全な権限 |
|
[グローバル権限 (Global permissions)]>[ストレージ (Storage)] | |
|
クラウドストレージ、ディスクプール、ストレージのキーマネージメントサービス、ストレージサーバー、ディスクボリューム、ストレージユニット |
表示、アクセス管理 |
|
テープメディア: テープメディアサーバーグループ、テープメディアボリュームプール |
表示、アクセス管理 |
|
レプリケーション対応のターゲットストレージサーバー |
表示、アクセス管理 |
|
作業負荷 | |
|
クラウド、SQL Server、RHV、VMware |
表示、アクセス管理 |
|
保護計画 | |
|
表示、アクセス管理 | |
|
クレデンシャル | |
|
表示、アクセス管理 | |
この役割には、ディスクベースのストレージとクラウドストレージを構成および管理するための権限があります。
表: デフォルトのストレージ管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
メディアサーバー |
表示 |
|
リモートマスターサーバーの認証局 |
表示 |
|
信頼できるマスターサーバー |
表示、作成、更新、削除 |
|
[グローバル権限 (Global permissions)]>[セキュリティ (Security)] | |
|
NetBackup セキュリティトークン |
表示、作成 |
|
キーマネージメントサービス |
キー、キーの詳細の表示 |
|
[グローバル権限 (Global permissions)]>[ストレージ (Storage)] | |
|
クラウドストレージ |
表示 |
|
ディスクプール |
表示、作成、更新、削除 |
|
ストレージサーバー |
表示、作成、更新、削除 |
|
ディスクボリューム |
表示、作成、更新 |
|
ストレージユニット |
表示、作成、更新、削除 |
|
レプリケーション対応のターゲットストレージサーバー |
表示 |
この役割には、VMware 仮想マシンを管理し、保護計画でそれらの資産をバックアップするために必要なすべての権限が付与されます。
表: デフォルトの VMware 管理者の役割に対する RBAC 権限
|
種類 |
権限 |
|---|---|
|
[グローバル権限 (Global permissions)]>[NetBackup の管理 (NetBackup management)] | |
|
アクセスホスト |
表示、作成、削除 |
|
ホスト |
表示、更新 |
|
ホストプロパティ |
表示、作成、更新 |
|
NetBackup イメージ |
表示、内容の表示 |
|
ジョブ |
表示 |
|
リソース制限 |
表示、作成、更新、削除 |
|
信頼できるマスターサーバー |
表示 |
|
[グローバル権限 (Global permissions)]>[ストレージ (Storage)] | |
|
ストレージユニット |
表示 |
|
レプリケーション対応のターゲットストレージサーバー |
表示 |
|
作業負荷 | |
|
VMware 資産 |
完全な権限 |
|
保護計画 | |
|
完全な権限 | |