Veritas NetBackup™ Appliance セキュリティガイド
KMS サポート
NetBackup appliance は、NetBackup Enterprise Server 7.1 に統合されている NetBackup の KMS (Key Management Service) によって管理される暗号化をサポートします。アプライアンスのバージョン 2.6 以降では、KMS はマスターサーバーまたはメディアサーバーのアプライアンスでサポートされます。データ暗号化キーを再生成することは、アプライアンスのマスターサーバーで KMS をリカバリする場合にサポートされている唯一の方法です。
次に、KMS の主な機能について説明します。
追加のライセンスは必要ありません。
マスターサーバーベースの対称キー管理サービスです。
テープデバイスがそれまたは別の NetBackup appliance に接続されているマスターサーバーとして管理できます。
T10 基準 (LTO4 や LTO5 など) に準拠しているテープドライブの対称暗号化キーを管理します。
ボリュームプールベースのテープ暗号化を使うように設計されています。
組み込みのハードウェア暗号化機能のあるテープハードウェアによって使うことができます。
NetBackup CLI 管理者が NetBackup Appliance シェルメニューまたは KMS コマンドラインインターフェース (CLI) を使って管理できます。
メモ:
2.6 以前のバージョンのアプライアンスでは、KMS はアプライアンスがメディアサーバーとして構成されている場合のみサポートされます。アプライアンスに接続されているデバイスで KMS を管理するには、非アプライアンスマスターサーバーが必要です。
KMS はパスコードからキーを生成するか、キーを自動生成します。 表: KMS ファイル に、キーに関する情報を保持する、関連付けられている KMS ファイルの一覧を示します。
表: KMS ファイル
KMS ファイル | 説明 | 場所 |
|---|---|---|
キーファイルまたはキーデータベース | このファイルにはデータ暗号化キーが含まれるので、KMS にとって重要です。 |
|
ホストマスターキー | このファイルには、AES 256 を使って |
|
キー保護キー | この暗号化キーは、AES 256 を使って |
|
アプライアンスマスターサーバーで KMS を構成するには、NetBackupCLI ユーザーとしてログインする必要があります。このユーザーについて詳しくは、次のトピックを参照してください。
NetBackupCLI ユーザーロールについてを参照してください。
NetBackupCLI ユーザーを作成するには、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
以下に、アプライアンスで KMS を構成して有効にする方法について説明します。
アプライアンスで KMS を構成して有効にするには
- NetBackupCLI ユーザーとしてアプライアンスマスターサーバーにログインします。
- 次のように nbkms コマンドを使用して空のデータベースを作成します。
[nbcli@myappliance~]# nbkms -createemptydb
- nbkms を開始します。次に例を示します。
[nbcli@myappliance~]# nbkms
- キーグループを作成します。次に例を示します。
[nbcli@myappliance~]# nbkmsutil -createkg -kgname KMSKeyGroupName
- アクティブなキーを作成します。次に例を示します。
[nbcli@myappliance~]# nbkmsutil -createkey -kgname KMSKeyGroupName -keyname KMS KeyName
KMS が構成されマスターサーバーで実行されると、マスターサーバーに関連付けられているすべてのメディアサーバー上の MSDP に対して KMS 暗号化を有効にすることができます。
アプライアンスメディアサーバーで MSDP に対して KMS 暗号化を有効にするには、NetBackupCLI ユーザーとしてログインする必要があります。このユーザーについて詳しくは、次のトピックを参照してください。
NetBackupCLI ユーザーロールについてを参照してください。
NetBackupCLI ユーザーを作成するには、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
以下に、アプライアンスで MSDP に対して KMS 暗号化を有効にする方法について説明します。
MSDP に対して KMS 暗号化を有効にするには
- NetBackup CLI ユーザーとしてアプライアンスメディアサーバーにログインします。
- 次のオプションを以下の順序で変更します。
nbcli@appesxdb03vm10:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSType --value=0
nbcli@appesxdb03vm10:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSServerName --value=<master server hostname>
nbcli@appesxdb03vm10:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSKeyGroupName --value=msdp
nbcli@appesxdb03vm10:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KeyName --value=<KMS KeyName>
nbcli@appesxdb03vm10:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSEnable --value=true
pdcfg --write= /msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=ContentRouter --option=ServerOptions --value=verify_so_references,fast,encrypt
この手順をマスターサーバーに関連付けられているすべてのメディアサーバーで繰り返します。
- 次のコマンドを使用して、NetBackup サービスを停止して再起動します。
bp.kill_all
bp.start_all
- メディアサーバーで MSDP に対して KMS 暗号化が有効になっていることを確認するには、サーバーでバックアップジョブを実行してから、次のコマンドを実行します。
crcontrol --getmode