Veritas NetBackup™ Appliance セキュリティガイド
KMS サポート
NetBackup appliance は、NetBackup Enterprise Server 7.1 に統合されている NetBackup キーマネージメントサービス (KMS) を使った暗号化をサポートします。KMS は、プライマリサーバーアプライアンスとメディアサーバーアプライアンスでサポートされます。データ暗号化キーを再生成することは、アプライアンスのプライマリサーバーで KMS をリカバリする場合にサポートされている唯一の方法です。
次に、KMS の主な機能について説明します。
追加のライセンスは必要ありません。
プライマリサーバーベースの対称キーマネージメントサービスです。
テープデバイスがそれか別の NetBackup appliance に接続されているプライマリサーバーとして管理できます。
T10 基準 (LTO4 や LTO5 など) に準拠しているテープドライブの対称暗号化キーを管理します。
ボリュームプールベースのテープ暗号化を使うように設計されています。
組み込みのハードウェア暗号化機能のあるテープハードウェアによって使うことができます。
NetBackup CLI 管理者が NetBackup Appliance シェルメニューまたは KMS コマンドラインインターフェース (CLI) を使って管理できます。
KMS はパスコードからキーを生成するか、キーを自動生成します。表: KMS ファイルは、キーの情報を保持する KMS と関連付けられているファイルの一覧を示します。
表: KMS ファイル
|
KMS ファイル |
説明 |
場所 |
|---|---|---|
|
キーファイルまたはキーデータベース |
このファイルにはデータ暗号化キーが含まれるので、KMS にとって重要です。 |
|
|
ホストのプライマリキー |
このファイルには、AES 256 を使って |
|
|
キーの保護キー (Key Protection Key) |
この暗号化キーは、AES 256 を使って |
|
アプライアンスプライマリサーバーで KMS を構成するには、NetBackupCLI ユーザーとしてログインする必要があります。
続行する前に、KMS を構成して有効にするために必要な RBAC 権限が NetBaclupCLI ユーザーに割り当てられていることを確認します。nbasecadmin などの NetBackup 管理者アカウントを使用して NetBackup Web UI にログインし、NetBackupCLI ユーザーにデフォルトのセキュリティ管理者役割を割り当てます。
役割ベースのアクセス制御の管理手順については、『NetBackup Web UI 管理者ガイド』を参照してください。
メモ:
必要に応じて、新しい NetBackupCLI ユーザーを作成して、KMS を構成および有効化できます。NetBackupCLI ユーザーの役割について詳しくは、NetBackupCLI ユーザーロールについてを参照してください。を参照してください。
以下に、アプライアンスで KMS を構成して有効にする方法について説明します。
アプライアンスで KMS を構成して有効にするには
- NetBackupCLI ユーザーとしてアプライアンスプライマリサーバーにログインします。
- 次のように nbkms コマンドを使用して空のデータベースを作成します。
[nbcli@myappliance~]# nbkms -createemptydb
- nbkms を起動します。次に例を示します。
[nbcli@myappliance~]# nbkms
- キーグループを作成します。次に例を示します。
[nbcli@myappliance~]# nbkmsutil -createkg -kgname KMSKeyGroupName
- アクティブなキーを作成します。次に例を示します。
[nbcli@myappliance~]# nbkmsutil -createkey -kgname KMSKeyGroupName -keyname KMS KeyName
KMS が構成されてプライマリサーバーで実行されると、プライマリサーバーに関連付けられているすべてのメディアサーバー上の MSDP に対して KMS 暗号化を有効にできます。
続行する前に、KMS を構成して有効にするために必要な RBAC 権限が NetBaclupCLI ユーザーに割り当てられていることを確認します。nbasecadmin などの NetBackup 管理者アカウントを使用して NetBackup Web UI にログインし、NetBackupCLI ユーザーにデフォルトのセキュリティ管理者役割を割り当てます。
役割ベースのアクセス制御の管理手順については、『NetBackup Web UI 管理者ガイド』を参照してください。
メモ:
必要に応じて、新しい NetBackupCLI ユーザーを作成して、KMS を構成および有効化できます。NetBackupCLI ユーザーの役割について詳しくは、NetBackupCLI ユーザーロールについてを参照してください。を参照してください。
以下に、アプライアンスで MSDP に対して KMS 暗号化を有効にする方法について説明します。
MSDP に対して KMS 暗号化を有効にするには
- NetBackup CLI ユーザーとしてアプライアンスメディアサーバーにログインします。
- 次のオプションを以下の順序で変更します。
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSType --value=0
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSServerName --value=<primary server hostname>
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSKeyGroupName --value=msdp
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KeyName --value=<KMS KeyName>
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSEnable --value=true
pdcfg --write= /msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=ContentRouter --option=ServerOptions --value=verify_so_references,fast,encrypt
この手順をプライマリサーバーに関連付けられているすべてのメディアサーバーで繰り返します。
- NetBackup Web アプリケーションにログオンして、システムで自分自身を識別します。次のコマンドを実行します。
bpnbat -login -loginType WEB
Authentication Broker: ApplianceHostname
Authentication Port: 0
Authentication Type: unixpwd
LoginName: Username
Password: Password
- KMS が NetBackup Web サービスに登録されていることを確認します。
nbkmscmd -discoverNbkms
- 次のコマンドを使用して、NetBackup サービスを停止して再起動します。
bp.kill_all
bp.start_all
- メディアサーバーで MSDP に対して KMS 暗号化が有効になっていることを確認するには、サーバーでバックアップジョブを実行してから、次のコマンドを実行します。
crcontrol --getmode