Veritas NetBackup™ Appliance 安全指南

Last Published:
Product(s): Appliances (5.1.1)
Platform: NetBackup Appliance OS
  1. 关于 NetBackup Appliance 安全指南
    1.  
      关于 NetBackup Appliance 安全指南
  2. 用户身份验证
    1. 关于 NetBackup Appliance 上的用户身份验证
      1.  
        可在 NetBackup Appliance 上进行身份验证的用户类型
    2. 关于配置用户身份验证
      1.  
        通用用户身份验证准则
    3.  
      关于对 LDAP 用户进行身份验证
    4.  
      关于对 Active Directory 用户进行身份验证
    5. 关于使用智能卡和数字证书进行身份验证
      1.  
        2FA
      2.  
        适用于 NetBackup Web UI 的智能卡身份验证
      3.  
        适用于 NetBackup Appliance Web UI 的智能卡身份验证
      4.  
        适用于 NetBackup Appliance 命令行操作界面的智能卡身份验证
      5.  
        配置基于角色的访问控制
      6.  
        为 NetBackup Web UI 配置使用智能卡或数字证书进行身份验证
    6. 关于单点登录 (SSO) 身份验证和授权
      1.  
        为 NetBackup Appliance 配置单点登录 (SSO)
    7.  
      关于设备登录提示
    8. 关于用户名和密码规范
      1.  
        关于符合 STIG 规范的密码策略规则
  3. 用户授权
    1.  
      关于 NetBackup Appliance 的用户授权
    2. 关于授权 NetBackup Appliance 用户
      1.  
        NetBackup Appliance 用户角色权限
    3.  
      关于管理员用户角色
    4.  
      关于 NetBackupCLI 用户角色
    5.  
      关于 NetBackup 中的用户授权
  4. 入侵防护和入侵检测系统
    1.  
      关于 NetBackup Appliance 上的 Symantec Data Center Security
    2.  
      关于 NetBackup Appliance 入侵防护系统
    3.  
      关于 NetBackup Appliance 入侵检测系统
    4.  
      查看 NetBackup Appliance 上的 SDCS 事件
    5.  
      在 NetBackup Appliance 上以非受控模式运行 SDCS
    6.  
      在 NetBackup Appliance 上以受控模式运行 SDCS
  5. 日志文件
    1.  
      关于 NetBackup Appliance 日志文件
    2.  
      使用 Support 命令查看日志文件
    3.  
      可使用 Browse 命令从何处查找 NetBackup Appliance 日志文件
    4.  
      收集 NetBackup Appliance 上的设备日志
    5.  
      日志转发功能概述
  6. 操作系统安全
    1.  
      关于 NetBackup Appliance 操作系统安全
    2.  
      NetBackup Appliance 操作系统中包含的主要组件
    3.  
      禁用用户对 NetBackup Appliance 操作系统的访问
    4.  
      管理对 maintenance shell 的支持访问
  7. 数据安全性
    1.  
      关于数据安全
    2.  
      关于数据完整性
    3.  
      关于数据分类
    4. 关于数据加密
      1.  
        KMS 支持
  8. Web 安全
    1.  
      关于 SSL 使用情况
    2.  
      关于实施外部证书
  9. 网络安全
    1.  
      关于 Network Access Control
    2.  
      关于 IPsec 通道配置
    3.  
      关于 NetBackup Appliance 端口
    4.  
      关于 NetBackup Appliance 防火墙
  10. “自动通报”安全功能
    1. 关于 AutoSupport
      1.  
        数据安全标准
    2. 关于自动通报
      1.  
        从 NetBackup Appliance 命令行操作界面配置自动通报
      2.  
        从 Appliance 命令行操作界面启用和禁用自动通报
      3.  
        从 NetBackup Appliance 命令行操作界面配置自动通报代理服务器
      4.  
        了解自动通报工作流程
    3. 关于 SNMP
      1.  
        关于管理信息库 (MIB)
  11. 远程管理模块 (RMM) 安全性
    1.  
      IPMI 配置简介
    2.  
      建议的 IPMI 设置
    3.  
      RMM 端口
    4.  
      在远程管理模块上启用 SSH
    5.  
      替换默认 IPMI SSL 证书
    6.  
      实施外部 IPMI SSL 证书
  12. STIG 和 FIPS 一致性
    1.  
      NetBackup Appliance 的操作系统 STIG 加固
    2.  
      NetBackup Appliance 符合 FIPS 140-2 标准
    3.  
      关于符合 FIPS 的密码
  13.  
    索引

NetBackup Appliance 符合 FIPS 140-2 标准

联邦信息处理标准 (FIPS) 规定了美国和加拿大政府对计算机系统的安全和互操作性要求。国家标准与技术研究院 (NIST) 发布了 FIPS 140 系列出版物,用于调整验证加密模块的要求和标准。FIPS 140-2 标准规定了对加密模块的安全要求,适用于硬件和软件组件。它还阐述了获准的对称和非对称密钥加密、消息身份验证和哈希安全功能。

注意:

有关 FIPS 140-2 标准及其验证程序的更多信息,请单击以下链接:

https://csrc.nist.gov/csrc/media/publications/fips/140/2/final/documents/fips1402.pdf

https://csrc.nist.gov/projects/cryptographic-module-validation-program

Java 的 FIPS 验证

从 NetBackup Appliance 4.1 开始,默认情况下,所有基于 Java 的服务均启用 FIPS 140-2 标准。FIPS 验证通过使用 SafeLogic 的 CryptoComply 模块来实现。

MSDP、NetBackup 和 VxOS 的 FIPS 验证

从 NetBackup Appliance 版本 5.0 开始,您可以为 MSDP、NetBackup 和 VxOS 启用 FIPS 140-2 标准。MSDP、NetBackup 和 VxOS 使用的 NetBackup 加密模块已通过 FIPS 验证。

为 VxOS 启用 FIPS 后,sshd 将使用以下获得 FIPS 批准的密码:

  • aes256-ctr

  • aes256-gcm@openssh.com

为 VxOS 启用 FIPS 后,较旧的 SSH 客户端可能会阻止对 Appliance 的访问。检查以确保 SSH 客户端支持列出的密码,并在必要时升级到最新版本。默认密码设置通常不符合 FIPS 标准,这意味着可能需要在 SSH 客户端配置中手动选择这些设置。

您可以使用以下命令为 NetBackup MSDP、NetBackup 和 VxOS 启用 FIPS 140-2 标准:

  • Main Menu > Settings > Security > FIPS Enable MSDP,后接 maintenance 密码。

    启用或禁用 MSDP 选项会终止当前正在进行的所有作业,并重新启动 NetBackup 服务。最佳做法建议首先手动停止所有作业,然后再启用或禁用此功能。

    注意:

    如果已从早期版本的 NetBackup Appliance 升级,请确保仅在现有数据转换为使用符合 FIPS 标准的算法后启用 MSDP。要检查数据转换的当前状态,请使用 crcontrol --dataconvertstate 命令。如果在状态设置为“已完成”前启用 MSDP,可能会导致数据还原失败。

  • Main Menu > Settings > Security > FIPS Enable NetBackup,后接 maintenance 密码。

    启用或禁用 NetBackup 选项会终止当前正在进行的所有作业,并重新启动 NetBackup 服务。最佳做法建议首先手动停止所有作业,然后再启用或禁用此功能。

  • Main Menu > Settings > Security > FIPS Enable VxOS,后接 maintenance 密码。

    启用或禁用 VxOS 选项会重新启动设备,并断开所有登录用户与其会话的连接。最佳做法建议首先向所有用户进行提前通知,然后再启用或禁用此功能。

  • Main Menu > Settings > Security > FIPS Enable All,后接 maintenance 密码。

    启用或禁用 All 选项会重新启动设备,并断开所有登录用户与其会话的连接。最佳做法建议首先向所有用户进行提前通知,然后再启用或禁用此功能。

注意:

在 NetBackup Appliance 高可用性 (HA) 设置中,只有在完成 HA 设置配置后,才能在两个节点上启用 FIPS 功能。两个节点上的 FIPS 配置必须匹配。如果在完成 HA 设置之前在任一节点上启用了 FIPS,则必须在完成 HA 设置之前在该节点上禁用 FIPS。

有关 FIPS 命令的完整信息,请参见《NetBackup Appliance 命令参考指南》

FIPS 模式的限制

随着 FIPS 安全性持续提高,无法再使用一些较旧的加密方法。

启用 FIPS 时,设备 CIFS 文件共享功能的工作方式如下:在使用 AES 密码进行 Kerberos 身份验证的 Active Directory (AD) 环境中,将设备添加为域成员。

使用较旧的身份验证方法(如 NTLM)时,通过以下操作打开的 CIFS 共享可能不会装入。

下面介绍了受影响的情况:

  • 对于常规共享:

    Settings> Share General Open

    Settings> LogForwarding > Share Open

    Manage> OpenStorage > Share Open

    Security> Certificate Import

  • 对于 incoming_patches:

    Manage> Software > Share Open

要解决这些限制,请执行以下操作之一:

  • 禁用 FIPS 功能。

  • 在设备上配置 Active Directory 身份验证。在使用 AES 密码进行 Kerberos 身份验证的 Active Directory (AD) 环境中,此操作会将设备添加为域成员。

https://www.veritas.com/support/en_US/article.100054201