Veritas NetBackup™ セキュリティおよび暗号化ガイド
- NetBackup セキュリティの強化
- NetBackup セキュリティおよび暗号化について
- NetBackup セキュリティの実装レベル
- 世界レベルのセキュリティ
- 企業レベルのセキュリティ
- データセンターレベルのセキュリティの概要
- NetBackup アクセス制御 (NBAC)
- 世界レベル、企業レベルおよびデータセンターレベルの統合
- NetBackup セキュリティの実装形式
- オペレーティングシステムのセキュリティ
- NetBackup セキュリティの脆弱性
- NetBackup の標準セキュリティ
- クライアント側の暗号化セキュリティ
- マスター、メディアサーバーおよび GUI のセキュリティ上の NBAC
- すべてに NBAC を使用したセキュリティ
- セキュリティの配置モデル
- ポートセキュリティ
- NetBackup TCP/IP ポートについて
- NetBackup のデーモン、ポート、通信について
- ポートの構成について
- NDMP バックアップのポート要件
- サードパーティの製品とともに NetBackup を使う場合の既知のファイアウォールの問題
- NetBackup 操作の監査
- アクセス制御のセキュリティ
- NetBackup アクセス制御セキュリティ (NBAC)
- NetBackup アクセス制御 (NBAC) の使用について
- NetBackup のアクセス管理
- NBAC (NetBackup アクセス制御) 構成について
- NetBackup アクセス制御 (NBAC) の構成
- NBAC の構成の概要
- スタンドアロンのマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クラスタでの高可用性の NetBackup マスターサーバーのインストール
- クラスタ化されたマスターサーバーでの NetBackup アクセス制御 (NBAC) の構成
- メディアサーバーでの NetBackup アクセス制御 (NBAC) の構成
- クライアントでのアクセス制御のインストールおよび構成
- NetBackup ホットカタログバックアップへの認証データベースおよび認可データベースの追加について
- NBAC の構成コマンドの概略
- NetBackup 管理インフラストラクチャと setuptrust コマンドの統合
- setuptrust コマンドの使用
- マスターおよびメディアサーバーの[アクセス制御 (Access Control)]ホストプロパティの構成
- クライアントの[アクセス制御 (Access Control)]ホストプロパティダイアログボックス
- 自動イメージレプリケーションでの NetBackup アクセス制御 (NBAC) の使用
- アクセス管理のトラブルシューティング
- アクセス管理ユーティリティの使用
- NetBackup へアクセス可能なユーザーの決定について
- NetBackup ユーザーグループの特定のユーザー権限の表示
- 権限の付与
- 認可オブジェクト
- メディアの認可オブジェクトの権限
- ポリシーの認可オブジェクトの権限
- ドライブの認可オブジェクトの権限
- レポートの認可オブジェクトの権限
- NBU_Catalog の認可オブジェクトの権限
- ロボットの認可オブジェクトの権限
- ストレージユニットの認可オブジェクトの権限
- ディスクプールの認可オブジェクトの権限
- バックアップおよびリストアの認可オブジェクトの権限
- ジョブの認可オブジェクトの権限
- サービスの認可オブジェクトの権限
- ホストプロパティの認可オブジェクトの権限
- ライセンスの認可オブジェクトの権限
- ボリュームグループの認可オブジェクトの権限
- ボリュームプールの認可オブジェクトの権限
- デバイスホストの認可オブジェクトの権限
- セキュリティの認可オブジェクトの権限
- ファットサーバーの認可オブジェクトの権限
- ファットクライアントの認可オブジェクトの権限
- Vault の認可オブジェクトの権限
- サーバーグループの認可オブジェクトの権限
- キー管理システム (kms) グループの認可オブジェクトの権限
- NetBackup アクセス制御 (NBAC) のアップグレード
- NetBackup の古いバージョンがリモートコンピュータにインストールされているルートブローカーを使っている場合の NetBackup のアップグレード
- AD ドメインと LDAP ドメインについて
- NetBackup のセキュリティ管理
- NetBackup のセキュリティ証明書の概要
- NetBackup Web サーバー用のサードパーティ証明書の構成について
- NetBackup での安全な通信について
- セキュリティ管理ユーティリティについて
- 監査イベントについて
- ホスト管理について
- [ホスト (Hosts)]タブ
- ホスト ID からホスト名へのマッピングの追加
- [ホストマッピングを追加または削除 (Add or Remove Host Mappings)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの削除
- [承認待ちのマッピング (Mappings for Approval)]タブ
- 自動検出されたマッピングの表示
- [マッピングの詳細 (Mapping Details)]ダイアログボックス
- ホスト ID からホスト名へのマッピングの承認
- ホスト ID からホスト名へのマッピングの拒否
- 共有マッピングとクラスタマッピングの追加
- [共有マッピングとクラスタマッピングの追加 (Add Shared or Cluster Mappings)]ダイアログボックス
- NetBackup ホスト属性のリセット
- 証明書の自動再発行の許可または禁止
- ホストのコメントの追加または削除
- グローバルセキュリティ設定について
- ホスト名ベースの証明書について
- ホスト ID ベースの証明書について
- nbcertcmd コマンドオプションの Web ログインの要件
- 証明書管理ユーティリティを使ったホスト ID ベースの証明書の発行と配備
- 証明書の配備のセキュリティレベルについて
- ホスト ID ベースの証明書の自動配備
- ホスト ID ベースの証明書の配備
- ホスト ID ベースの証明書の非同期的配備
- 証明書の有効期間に対するクロックスキューの意味
- マスターサーバー (CA) との信頼の設定
- 証明書の配備の強制実行または上書き
- マスター以外のホストで NetBackup を再インストールするときのホスト ID ベースの証明書の保持
- マスターサーバーと接続されていないクライアントでの証明書の配備
- ホスト ID ベースの証明書の有効期限と更新について
- メディアサーバーおよびクライアントからの重要な証明書とキーの削除
- 仮想マシンのクローンを作成する前にホストからホスト ID ベースの証明書情報を消去する
- ホスト ID ベースの証明書の再発行について
- ホスト ID ベースの証明書のトークン管理について
- ホスト ID ベースの証明書失効リストについて
- ホスト ID ベースの証明書の無効化について
- ホスト ID ベースの証明書の削除
- クラスタ化された NetBackup セットアップでのセキュリティ証明書の配備
- クラスタ化された NetBackup ホストでのホスト ID ベースの証明書の配備について
- クラスタノードでのホスト ID ベースの証明書の配備
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を無効化する
- 再発行トークンを使用して、クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を配備する
- クラスタ化された NetBackup セットアップの再発行トークンの作成
- クラスタ化された NetBackup セットアップでホスト ID ベースの証明書を更新する
- クラスタ化された NetBackup セットアップで証明書の詳細を表示する
- クラスタ化された NetBackup セットアップからの CA 証明書の削除
- ディザスタリカバリインストール後にクラスタマスターサーバーで証明書を生成する
- 非武装地帯にある NetBackup クライアントとマスターサーバーの間の HTTP トンネルを介した通信について
- NetBackup ホストの手動での追加
- 格納データの暗号化セキュリティ
- 格納するデータのキーマネージメントサービス
- FIPS (連邦情報処理標準)
- FIPS 対応 KMS について
- キーマネージメントサービス (Key Management Service: KMS) の概要
- KMS のインストール
- KMS の構成
- 暗号化への KMS の使用について
- KMS データベースの要素
- コマンドラインインターフェース (CLI) コマンド
- KMS のトラブルシューティング
- キーと証明書の再生成
- NetBackup Web サービスアカウント
NetBackup の監査について
監査記録は、NetBackup 環境でユーザーが開始した操作の記録です。基本的に、監査はだれが何をいつ変更したか答えるのに役立つ情報を集めます。NetBackup 操作の監査は次の領域の情報の提供に役立ちます。
NetBackup がセキュリティイベントで監査する処理を、NetBackup Web ユーザーインターフェースまたは NetBackup 管理コンソールで表示できます。監査イベントのすべての詳細を nbauditreport コマンドまたは NetBackup OpsCenter で表示できます。
監査レポートの表示を参照してください。
NetBackup Audit Manager (nbaudit) はマスターサーバー上で動作し、監査レコードは Enterprise Media Manager (EMM) データベースに保持されます。デフォルトでは、監査は有効にされています。
Audit Manager は監査情報に対する問い合わせおよびレポートのための機構を提供します。たとえば、管理者は、次の条件に基づいて特定の情報を検索できます。
処理が実行された日時
特定の状況で失敗した処理
特定のユーザーが実行した処理
特定のコンテンツの領域で実行された処理
監査の構成への変更
Audit Manager は、監査レコードを作成するときに次の方法で動作します。
監査レコードは、エントリの詳細を最大 4096 文字に制限します。 (たとえば、ポリシー名。) 残りの文字は監査データベースに格納されるときに切り捨てられます。
監査レコードは、リストアイメージ ID を最大 1024 文字に制限します。 残りの文字は監査データベースに格納されるときに切り捨てられます。
ロールバック操作は監査されません。
一部の操作は、複数の手順として実行されます。 たとえば、MSDP ベースのストレージサーバーの作成は、複数の手順で構成されています。 成功したすべての手順が監査されます。 いずれかの手順が失敗するとロールバックという結果になります。または、成功した手順を取り消す必要がある場合もあります。 監査レコードはロールバック操作についての詳細を含んでいません。
NetBackup は、ユーザーが開始した次の処理を記録します。
ポリシーの処理 | ポリシーの属性、クライアント、スケジュール、バックアップ対象リストの追加、削除、更新。 |
アクティビティモニターの処理 | 任意の形式のジョブを取り消すか、中断するか、再開するか、再起動するか、または削除すると、監査レコードが作成されます。 |
ストレージユニットの処理 | ストレージユニットの追加、削除、または更新。 メモ: ストレージライフサイクルポリシーと関連している処理は監査されません。 |
ストレージサーバーの処理 | ストレージサーバーの追加、削除、または更新。 |
ディスクプールとボリュームプールの処理 | ディスクプールまたはボリュームプールの追加、削除、または更新。 |
カタログ情報 | この情報には次のものが含まれます。
|
証明書管理 | 証明書の作成、取り消し、更新、配備、および特定の証明書エラー。 |
証明書検証エラー (CVF) | SSL ハンドシェークエラー、無効化された証明書、またはホスト名の検証エラーが原因で失敗した接続試行。 |
トークン管理 | トークンの作成、削除、クリーンアップ、および特定のトークン発行エラー。 |
ユーザー管理 | 拡張監査モードでの拡張監査ユーザーの追加と削除。 |
保留操作 | 保留操作の作成、変更および削除。 |
ホストデータベース | NetBackup ホストデータベース関連の操作。 |
ログイン試行 | NetBackup 管理コンソール、NetBackup Web UI または NetBackup API への、成功または失敗したすべてのログイン試行。 |
セキュリティ構成 | セキュリティ構成の設定に加えられた変更に関連する情報。 |
リストアジョブの開始 | 他の形式のジョブが開始されている場合、NetBackup では監査が実行されません。たとえば、バックアップジョブが開始されている場合、NetBackup では監査が実行されません。 |
監査機能が無効になっていても、nbaudit manager の起動と停止は常に監査されます。 | |
監査レコードの作成に失敗したユーザー操作 | 監査が有効な場合、ユーザー操作が監査レコードの作成に失敗すると、監査エラーが |
認証の失敗 | NetBackup Web UI、NetBackup API、または拡張監査を使用する場合は、認証の失敗が監査されます。 拡張監査についてを参照してください。 |
イメージのユーザー操作のリストアおよび参照 | ユーザーが実行する、イメージの内容 (bplist) に対するすべてのリストアおよび参照の操作は、ユーザー ID を使用して監査されます。 |
ストレージライフサイクルポリシーの処理。 | ストレージライフサイクルポリシー (SLP) の作成、変更、または削除の試行は、監査されてログに記録されます。ただし、nbstlutil コマンドを使用した、SLP のアクティブ化と一時停止は監査されません。これらの操作は、NetBackup グラフィカルユーザーインターフェースまたは API から開始する場合にのみ監査されます。 |
資産の操作 | 資産データベース API で vCenter Server や仮想マシンなどの資産を POST/asset-cleanup プロセスの一部として削除する操作は、監査され、ログに記録されます。 資産グループの作成、変更、または削除や、ユーザーが認可されていない資産グループ上のすべての処理は、監査されてログに記録されます。 |
次の処理は監査されないため、監査レポートに表示されません。
任意の失敗した処理。 | NetBackup により、失敗した処理が NetBackup のエラーログに記録されます。失敗した試行で NetBackup のシステム状態が変更されることはないので、失敗した処理は監査レポートに表示されません。 |
設定変更の影響。 | NetBackup の構成への変更の結果は監査されません。たとえば、ポリシーの作成は監査されますが、その作成から生じるジョブは監査されません。 |
手動で開始されたリストアジョブの完了状態。 | リストアジョブの開始は監査されますが、ジョブの完了状態は監査されません。手動で開始されたかどうかにかかわらず、他のどのジョブ形式の完了状態も監査されません。完了の状態はアクティビティモニター (管理コンソール) とジョブ (Web UI) に表示されます。 |
内部的に開始された処理 | NetBackup によって開始された内部処理は監査されません。たとえば、期限切れのイメージのスケジュールされた削除、定時バックアップ、または定期的なイメージデータベースのクリーンアップは監査されません。 |
NetBackup は、NetBackup アクセス制御 (NBAC) が有効でないかぎり、次の処理も監査しません。ただし、NBAC が有効なときは、NetBackup Web UI を使用できません。
bp.conf ファイル (UNIX の場合) またはレジストリ (Windows の場合) への変更。bp.conf ファイルまたはレジストリの手動変更は監査されません。
ホストプロパティの変更の監査を参照してください。
ホストプロパティの処理。