Guide de sécurité et de chiffrement de Veritas NetBackup™
- Augmentation de la sécurité dans NetBackup
- Sécurité et chiffrement NetBackup
- Niveaux de mise en place de sécurité de NetBackup
- Sécurité de niveau mondial
- Sécurité de niveau d'entreprise
- présentation de sécurité de Centre de données-Niveau
- NetBackup Access Control (NBAC)
- Niveaux mondial, de l'entrerprise et de centre de données combinés
- Types d'implémentation de sécurité NetBackup
- Sécurité du système d'exploitation
- Failles de sécurité dans NetBackup
- Sécurité standard de NetBackup
- Sécurité MSEO (Media Server Encryption Option)
- Sécurité du chiffrement côté client
- NBAC sur le serveur maître, le serveur de médias et la sécurité d'interface utilisateur graphique
- Sécurité complète NBAC
- Sécurité NetBackup intégrale
- Modèles de déploiement de la sécurité
- Groupes de travail
- Data centers uniques
- Centres de données multiples
- Groupe de travail avec NetBackup
- Data center unique avec logiciel NetBackup standard
- Data center unique avec Media Server Encryption Option (MSEO)
- Data center unique avec chiffrement côté client
- Data center unique avec NetBackup Access Control sur les serveurs maîtres et de médias
- Data center unique avec transport NetBackup Access Control
- Data center unique avec application de toutes les fonctions de sécurité
- Data center multiple avec NetBackup standard
- Data center multiple avec Media Server Encryption Option (MSEO)
- Centre de données multiple avec chiffrement côté client
- Data center multiple avec NetBackup Access Control sur les serveurs maîtres et de médias
- Data center multiple avec NBAC complet
- Data center multiple avec toute la sécurité de NetBackup
- Sécurité des ports
- Ports TCP/IP de A propos de NetBackup
- A propos des daemons NetBackup, ports et communication
- Ports standard de NetBackup
- Ports sortants de serveur maître de NetBackup
- Ports sortants de serveur de médias de NetBackup
- Ports sortants de serveur de gestion de médias (EMM) d'entreprise de NetBackup
- Ports sortants client
- Ports sortants de serveur Java
- Ports sortants de la console Java
- A propos de l'utilisation de port MSDP
- Au sujet de l'utilisation de port de cloud
- Les informations supplémentaires de port pour les produits qui fonctionnent avec NetBackup
- À propos des ports de communication et des considérations de pare-feu dans OpsCenter
- Ports requis pour communiquer avec les produits de sauvegarde
- Navigateur web pour lancer l'interface utilisateur OpsCenter
- À propos de la communication entre l'interface utilisateur OpsCenter et le logiciel serveur OpsCenter
- Communication du serveur OpsCenter avec le serveur maître NetBackup (NBSL)
- À propos des protocoles d'interruption SNMP
- À propos de la communication entre OpsCenter et la base de données Sybase
- À propos de la communication par courrier électronique dans OpsCenter
- À propos de la configuration des ports
- Conditions de port pour des sauvegardes de NDMP
- Problèmes connus du pare-feu produits en utilisant NetBackup avec de tiers produits robotiques
- Audit des opérations NetBackup
- À propos de l'audit de NetBackup
- Affichage des paramètres d'audit actuels
- Configuration de l'audit sur un serveur maître NetBackup
- Identité d'utilisateur dans le rapport d'audit
- À propos de l'audit amélioré
- Activation de l'audit amélioré
- Configuration d'audit amélioré
- Désactivation de l'audit amélioré
- Audit des modifications de propriété d'hôte
- Conservation et sauvegarde des enregistrements du journal d'audit
- Affichage du rapport d'audit
- Utilisation de la ligne de commande -reason ou de l'option -r
- Comportement du journal nbaudit
- Notification d'alerte d'audit pour les échecs d'audit
- Sécurité des contrôles d'accès
- Sécurité de NetBackup Access Control (NBAC)
- À propos de l'utilisation de NBAC (NetBackup Access Control)
- Administration de la gestion de l'accès NetBackup
- A propose de la configuration de NetBackup Access Control (NBAC)
- Configuration de NBAC (NetBackup Access Control)
- Présentation générale de la configuration de NBAC
- Configuration de NBAC (NetBackup Access Control) sur les serveurs maîtres autonomes
- Installation du serveur maître NetBackup hautement disponible sur un cluster
- Configuration de NBAC (NetBackup Access Control) sur un serveur maître en cluster
- Configuration de NBAC (NetBackup Access Control) sur des serveurs de médias
- Installation et configuration du contrôle d'accès sur des clients
- Ajout de bases de données d'authentification et d'autorisation dans les sauvegardes automatiques de catalogue NetBackup
- Résumé des commandes de configuration de NBAC
- Unification des infrastructures de gestion NetBackup à l'aide de la commande setuptrust
- Utilisation de la commande setuptrust
- Configuration des propriétés de l'hôte de contrôle d'accès pour le serveur maître et de médias
- Boîte de dialogue Propriétés d'hôte du contrôle d'accès pour le client
- Dépannage de la gestion de l'accès
- Résolution des problèmes NBAC
- Rubriques de configuration et de dépannage pour NetBackup Authentication and Authorization
- Points de vérification de Windows
- Points de vérification UNIX
- Points de vérification dans un environnement mixte avec un serveur maître UNIX
- Points de vérification dans un environnement mixte avec un serveur maître Windows
- A propos de l'utilitaire nbac_cron
- Utilisation de l'utilitaire nbac_cron
- Utilisation de l'utilitaire Gestion de l'accès
- Détermination de l'accès à NetBackup
- Affichage des autorisations d'utilisateur particulières des groupes d'utilisateurs NetBackup
- Octroi des autorisations
- Objets d'autorisation
- Autorisations de l'objet d'autorisation Médias
- Autorisations de l'objet d'autorisation Politique
- Autorisations de l'objet d'autorisation Lecteur
- Autorisations de l'objet d'autorisation Rapport
- Autorisations de l'objet d'autorisation NBU_Catalog
- Autorisations de l'objet d'autorisation Robot
- Autorisations d'objet d'autorisation d'unité de stockage
- Autorisations de l'objet d'autorisation DiskPool
- Autorisations de l'objet d'autorisation BUAndRest (Sauvegarde et restauration)
- Autorisations de l'objet d'autorisation Travail
- Autorisations de l'objet d'autorisation Service
- Autorisations de l'objet d'autorisation Propriétés d'hôte
- Autorisations de l'objet d'autorisation Licence
- Autorisations de l'objet d'autorisation Groupe de volumes
- Autorisations de l'objet d'autorisation Pool de volumes
- Autorisations de l'objet d'autorisation DevHost (Hôte de périphérique)
- Autorisations de l'objet d'autorisation Sécurité
- Autorisations de l'objet d'autorisation Serveur FAT
- Autorisations de l'objet d'autorisation Client FAT
- Autorisations de l'objet d'autorisation Centre de sauvegarde
- Autorisations de l'objet d'autorisation Groupe de serveurs
- Autorisations de l'objet d'autorisation du groupe de système de gestion des clés (Kms)
- Mise à niveau de NBAC (NetBackup Access Control)
- Mise à niveau de NetBackup en présence d'une ancienne version de NetBackup qui utilise un courtier racine installé sur un ordinateur distant
- Certificats de sécurité dans NetBackup
- Présentation des certificats de sécurité dans NetBackup
- Communication sécurisée dans NetBackup
- À propos des utilitaires de gestion de la sécurité
- À propos des événements d'audit
- À propos de la gestion des hôtes
- Onglet Hôtes
- Ajout de mappages d'ID d'hôte à des noms d'hôte
- Boîte de dialogue Ajouter ou supprimer des mappages d'hôtes
- Suppression de mappages d'ID d'hôte vers le nom d'hôte
- Onglet Mappages pour approbation
- Affichage des mappages découverts automatiquement
- Boîte de dialogue Détails des mappages
- Approbation des mappages d'ID d'hôte vers le nom d'hôte
- Rejet des mappages d'ID d'hôte vers le nom d'hôte
- Ajout de mappages partagés ou de cluster
- Boîte de dialogue Ajouter des mappages partagés ou de cluster
- Réinitialisation des attributs d'hôte NetBackup
- Ajout ou suppression d'un commentaire pour un hôte
- À propos des paramètres de sécurité globale
- Paramètres de communication sécurisée
- Désactivation de la communication non sécurisée
- À propos de la communication non sécurisée avec les hôtes 8.0 et versions antérieures
- Communication avec un hôte 8.0 ou une version antérieure dans plusieurs domaines NetBackup
- Mappage automatique des ID d'hôte vers les noms d'hôte et adresses IP
- À propos des paramètres de reprise après incident
- Définition d'une phrase de passe pour chiffrer des packages de reprise après incident
- Packages de reprise après incident
- À propos des certificats basés sur le nom d'hôte
- À propos des certificats basés sur l'ID d'hôte
- Conditions requises de connexion web pour les options de commande nbcertcmd
- À l'aide de l'utilitaire de gestion de certificat pour émettre et déployer des certificats basés sur l'ID d'hôte
- À propos des niveaux de sécurité de déploiement de certificat
- Déploiement automatique du certificat basé sur l'ID de l'hôte
- Déploiement des certificats basés sur l'ID de l'hôte
- Implication du décalage d'horaire sur la validité du certificat
- Installation de la confiance avec le serveur maître (Autorité de certification)
- Forcer ou remplacer le déploiement d'un certificat
- Conservation des certificats basés sur l'ID d'hôte lors de la réinstallation de NetBackup sur des hôtes non maîtres
- Déploiement de certificats sur un client qui n'a aucune connectivité avec le serveur maître
- À propos de l'expiration et du renouvellement des certificats basés sur l'ID d'hôte
- Suppression des certificats sensibles et des clés des serveurs de médias et des clients
- Nettoyage des informations de certificat basé sur un ID d'hôte à partir d'un hôte avant de cloner une machine virtuelle
- Renouvellement des certificats basés sur l'ID d'hôte
- À propos de la gestion des jetons pour les certificats basés sur l'ID d'hôte
- Liste de révocations des certificats basés sur l'ID d'hôte
- Révocation de certificats basés sur l'ID d'hôte
- Suppression de certificats basés sur l'ID d'hôte
- Déploiement de certificat de sécurité dans une installation NetBackup en cluster
- Déploiement d'un certificat basé sur un ID d'hôte sur un hôte NetBackup en cluster
- Déploiement de certificats basés sur un hôte sur des nœuds de cluster
- Révocation d'un certificat basé sur un ID d'hôte pour une configuration NetBackup en cluster
- Déploiement d'un certificat basé sur un ID d'hôte dans une configuration NetBackup en cluster à l'aide d'un jeton de renouvellement
- Création d'un jeton de renouvellement pour un programme d'installation de NetBackup en cluster
- Renouvellement d'un certificat basé sur un ID d'hôte dans une configuration NetBackup en cluster
- Affichage des informations de certificat pour une configuration NetBackup en cluster
- Suppression des certificats de l'autorité de certification à partir de l'installation d'un NetBackup en cluster
- Génération d'un certificat sur un serveur maître en cluster après une installation de reprise après incident
- Communication entre un client NetBackup situé dans une zone démilitarisée et un serveur maître, via un tunnel HTTP
- Sécurité du chiffrement des données au repos
- Terminologie de chiffrement de données au repos
- Considérations de chiffrement des données au repos
- Questions importantes sur la sécurité du chiffrement
- Comparaison des options de chiffrement
- A propos du chiffrement de client NetBackup
- Configuration du chiffrement standard sur des clients
- Gestion des options standard de chiffrement
- Gestion du fichier de clé de chiffrement de NetBackup
- Configuration de chiffrement standard à partir du serveur
- Restaurer un fichier de sauvegarde chiffré sur un autre client
- Configuration du chiffrement standard directement sur les clients
- Définition de l'attribut standard de chiffrement dans les politiques
- Modification des paramètres de chiffrement client à partir du serveur NetBackup
- Configuration du chiffrement hérité sur les clients
- A propos de la configuration du chiffrement hérité à partir du client
- Configuration du chiffrement hérité du serveur
- Restauration d'une sauvegarde chiffrée héritée créée sur un autre client
- Définition d'un attribut de chiffrement hérité dans des politiques
- Modifier les paramètres client de chiffrement hérités du serveur
- Degré de sécurité de fichier de clé hérité supplémentaire pour clients UNIX
- Chiffrement de serveur de médias
- Gestion des clés des données au repos
- Normes FIPS (Federal Information Processing Standards)
- À propos de KMS conforme à la norme FIPS
- Service Gestion des clés (Key Management Service, KMS)
- Installation du KMS
- Configuration de KMS
- Création de la base de données de clés
- Groupes de clés et enregistrements de clé
- Présentation des états d'enregistrement de clé
- Sauvegarde des fichiers de base de données KMS
- Récupération de KMS en restaurant tous les fichiers de données
- Récupération de KMS en restaurant seulement le fichier de données de KMS
- Récupération de KMS en régénérant la clé de chiffrement des données
- Problèmes de sauvegarde des fichiers de données KMS
- Solutions pour sauvegarder les fichiers de données KMS
- Création d'un enregistrement de clé
- Liste des clés d'un groupe de clés
- Configuration de NetBackup pour fonctionner avec le KMS
- Utilisation de KMS pour le chiffrement
- Éléments constitutifs d'une base de données KMS
- Commandes de l'interface de ligne de commande (CLI)
- Aide d'utilisation de l'interface de ligne de commande
- Créer un nouveau groupe de clés
- Créer une clé
- Modifier les attributs du groupe de clés
- Modifier les attributs de clé
- Obtenir les informations des groupes de clés
- Obtenir les informations des clés
- Suppression d'un groupe de clés
- Supprimer une clé
- Récupérer une clé
- A propos de l'exportation et de l'importation de clés à partir de la base de données KMS
- Modifier la clé machine d'hôte (HMK)
- Obtention de l'ID de clé machine d'hôte (HMK)
- Obtention de l'ID de clé de protection de clé (KPK)
- Modifier la clé de protection de clé (KPK)
- Obtention des statistiques du fichier keystore
- Suspension de la base de données KMS
- Annulation de la suspension de la base de données KMS
- Options de création de clé
- Dépannage du KMS
- Régénération de clés et de certificats
- Régénération des clés et des certificats
- Régénération des clés et des certificats du courtier d'authentification NetBackup
- Régénération des clés et des certificats d'identité d'hôte
- Régénération des clés et des certificats de service web
- Régénération des clés et des certificats nbcertservice
- Régénération des clés et des certificats tomcat
- Régénération des clés JWT
- Régénération de certificats de passerelle NetBackup
- Régénération de certificats de magasin d'approbation Web
- Régénération des certificats de plug-in vCenter VMware
- Régénération des certificats de session de la console d'administration OpsCenter
- Régénération des clés et des certificats OpsCenter
- Régénération du fichier de clé de chiffrement NetBackup
- Compte de services Web NetBackup
Contrôle d'accès dans NetBackup
NetBackup fournit les types suivants de contrôle d'accès :
Console d'administration NetBackup (par défaut).
Le contrôle d'accès est limité à la console d'administration NetBackup. (Les interfaces telles que Sauvegarder, archiver et restaurer le client et le Client NetBackup MS SQL ne sont pas affectées.) N'importe quel utilisateur non-racine ou non-administrateur peut accéder à la console d'administration NetBackup. Le contrôle d'accès est basé sur l'affichage et non sur le rôle. Le fichier
auth.confdéfinit les applications NetBackup auxquelles les utilisateurs peuvent accéder. Un utilisateur doit être un utilisateur racine ou un administrateur pour pouvoir exécuter des opérations NetBackup avec l'interface de ligne de commande.Pour plus d'informations sur le contrôle d'accès avec la console d'administration NetBackup, consultez le Guide de l'administrateur NetBackup, Volume I.
Audit amélioré.
Cette fonction permet à un utilisateur non-racine ou non-administrateur d'exécuter toutes les opérations NetBackup via une interface de ligne de commande ou la console d'administration NetBackup. L'utilisateur est autorisé à effectuer toutes les opérations ou à n'en effectuer aucune. Cette fonction n'offre pas de contrôle d'accès en fonction du rôle.
Se reporter à À propos de l'audit amélioré.
NetBackup Access Control (NBAC)
La fonctionnalité de contrôle d'accès basé sur le rôle de NetBackup permet de contrôler l'accès sur les serveurs maîtres, les serveurs de médias et les clients lorsque vous souhaitez :
Utiliser un jeu d'autorisations pour différents niveaux d'administrateurs pour une application. Une application de sauvegarde peut avoir des opérateurs (qui surveillent les travaux) ou des administrateurs (avec des autorisations d'accès, de configuration et d'utilisation complètes sur tous les objets d'autorisation NetBackup). Vous pouvez également avoir des administrateurs de sécurité qui peuvent seulement configurer le contrôle d'accès.
Séparer les administrateurs, de sorte que les autorisations d'administrateur ou racine ne soient pas requises pour gérer le système. Vous pouvez définir des administrateurs distincts pour les systèmes et pour les applications.
Se reporter à À propos de l'utilisation de NBAC (NetBackup Access Control).
Consultez le tableau suivant pour connaître les différences clés entre les méthodes de contrôle d'accès :
Tableau :
|
Accès et audit |
Console d'administration NetBackup et auth.conf |
Audit amélioré |
NBAC |
|---|---|---|---|
|
Qui peut utiliser la console d'administration NetBackup ? |
Les administrateurs et utilisateurs racine ont un accès complet à la console d'administration. Les utilisateurs non-racine ou non-administrateurs sont limités à l'application Sauvegarde, archivage et restauration par défaut. Dans le cas contraire, ces utilisateurs peuvent accéder aux applications définies pour eux dans le fichier |
Les utilisateurs racine, les administrateurs et les administrateurs NetBackup ont un accès complet à la console d'administration. Les utilisateurs non-racine ou non-administrateurs sont limités à l'application Sauvegarde, archivage et restauration par défaut. |
Les administrateurs et utilisateurs racine ont un accès complet à la console d'administration. L'appartenance d'un utilisateur à un groupe NBAC détermine les applications qu'il est autorisé à utiliser. |
|
Qui peut utiliser l'interface de ligne de commande ? |
Les administrateurs et utilisateurs racine ont un accès complet à l'interface de ligne de commande. |
Les utilisateurs racine, les administrateurs et les administrateurs NetBackup ont un accès complet à l'interface de ligne de commande. |
Les utilisateurs racine ou les administrateurs ont un accès complet à l'interface de ligne de commande. Les utilisateurs autorisés par NBAC peuvent utiliser l'interface de ligne de commande. Leur appartenance à un groupe NBAC détermine les commandes qu'ils sont autorisés à utiliser. |
|
Comment un utilisateur est-il audité ? |
En tant qu'utilisateur racine ou administrateur |
Avec le nom d'utilisateur réel |
Avec le nom d'utilisateur réel |
|
Compatibilité avec d'autres fonctions |
Audit amélioré |
NBAC fonctionne indépendamment. |
Console d'administration NetBackup et L'audit amélioré n'est pas compatible avec NBAC. |
Consultez les diagrammes suivants pour plus de détails sur les différentes méthodes de contrôle d'accès.
Figure : Contrôle d'accès pour des utilisateurs d'interface de ligne de commande avec l'audit amélioré
