搜索 <book_title>...

NetBackup™ 安全和加密指南

Last Published: 2026-01-21

Product(s): NetBackup (11.1)

NetBackup 安全通信前必读
1. 关于 NetBackup 中的安全通信
2. 如何在安装过程中部署 NetBackup CA 签名证书（或基于主机 ID 的证书）
3. 如何与主服务器群集节点进行安全通信
4. 关于在群集应用程序节点上安装的 NetBackup 客户端
5. 如何在升级过程中将 NetBackup 证书部署到主机
6. 证书部署过程中何时需要授权令牌
7. 为何需要将主机名（或 IP 地址）映射到主机 ID
8. 如何重置主机属性或主机通信状态
9. 目录库恢复方面发生的更改
10. 自动映像同步复制发生的更改
11. 具有已吊销证书的主机如何工作
12. 是否对 NetBackup 证书进行备份
13. 是否可以为主服务器配置外部证书
14. 如何使用外部证书与主服务器群集节点进行安全通信
15. 外部证书吊销列表的工作原理
16. 当主机无法直接连接到主服务器时如何进行通信
17. NetBackup 8.1 或更高版本主机如何与 NetBackup 8.0 及更早版本主机通信
18. 如何在云配置中与旧式介质服务器通信
19. 通信失败情形
  1. 在与 8.0 或更早版本主机的通信期间失败
  2. 目录库备份失败
20. 对 NetBackup 域中其他主机的安全通信支持
21. 针对 BMR 的安全通信支持
22. 配置用于保护 SQL Server 的 VMware 备份以及使用多个 NIC 的 SQL Server 备份
NetBackup 安全不断提高
1. 关于 NetBackup 安全和加密
2. NetBackup 安全实现级别
3. 全球级别安全
4. 企业级别安全
5. 数据中心级别安全概述
6. NetBackup Access Control (NBAC)
7. 全球、企业和数据中心组合级别
8. NetBackup 安全实现类型
9. 操作系统安全
10. NetBackup 安全漏洞
11. 标准 NetBackup 安全
12. 客户端加密安全
13. 主服务器、介质服务器和图形用户界面上具备 NBAC 的安全
14. NBAC 完整安全
安全部署模型
1. 工作组
2. 单数据中心
3. 多数据中心
4. 采用 NetBackup 的工作组
5. 具备标准 NetBackup 的单数据中心
6. 具备客户端加密的单数据中心
7. 在主服务器和介质服务器上使用 NBAC 的单数据中心
8. 具备 NBAC 完整功能的单数据中心
9. 具备标准 NetBackup 的多数据中心
10. 具备客户端加密的多数据中心
11. 在主服务器和介质服务器上使用 NBAC 的多数据中心
12. 具备 NBAC 完整功能的多数据中心
审核 NetBackup 操作
1. 关于 NetBackup 审核
2. 查看当前审核设置
3. 关于审核事件
  1. 查看审核事件
  2. 与“访问历史记录”选项卡相关的审核问题故障排除
4. 审核记录的审核保留期限和目录库备份
5. 查看详细的 NetBackup 审核报告
6. 审核报告中的用户身份
7. 禁用审核
8. 审核失败的审核警报通知（NetBackup 管理控制台）
9. 将审核事件发送到系统日志
10. NetBackup 主服务器的 SYSLOG_AUDIT_USE_OCSF_FORMAT
第 I 部分. 身份信息和访问管理
1. 关于身份信息和访问管理
  1. 关于 NetBackup 中的访问控制
2. AD 和 LDAP 域
3. 访问密钥
4. API 密钥
5. Auth.conf 文件
  1. 授权文件 (auth.conf) 的特征
6. 基于角色的访问控制
7. 操作系统管理员的 NetBackup 界面访问权限
  1. 禁用操作系统 (OS) 管理员的命令行 (CLI) 访问权限
  2. 禁用操作系统 (OS) 管理员的 Web UI 访问权限
8. 智能卡或数字证书
9. 单点登录 (SSO)
  1. 关于单点登录 (SSO) 配置
  2. 配置 NetBackup 以进行单点登录 (SSO)
10. NetBackup Access Control (NBAC) 安全
将安全配置风险降至最低
1. 关于安全配置风险
2. 将风险降至最低需要配置的安全设置
3. 将当前状况设置为安全基准
4. 管理安全基准
5. 从 Alta View UI 管理安全基准
配置多重身份验证
1. 关于多重身份验证
2. 为用户帐户配置多重身份验证
3. 为用户帐户禁用多重身份验证
4. 对所有用户强制执行多重身份验证
5. 在域中强制执行多重身份验证时，为用户帐户配置多重身份验证
6. 为用户重置多重身份验证
配置多人授权
1. 关于多人授权
2. 为 NetBackup 操作配置多人授权的工作流程
3. 多人授权的 RBAC 角色和权限
4. 与角色相关的多人授权流程
5. 需要多人授权的 NetBackup 操作
6. 配置多人授权
7. 查看多人授权票证
8. 管理多人授权票证
9. 添加已豁免的用户
10. 计划多人授权票证的有效期和清除期限
11. 禁用多人授权
配置冻结模式
1. 关于 NetBackup 中的冻结模式
2. 冻结模式选项
3. 启用冻结模式
4. 编辑冻结模式配置选项
5. 禁用冻结模式
6. 使用命令行界面禁用冻结模式
NetBackup Web API 的网络访问控制
1. 关于控制 NetBackup Web API 的网络访问
2. 为 NetBackup Web 服务配置网络访问控制的工作流程
3. 网络访问控制配置的 RBAC 角色和权限
4. 配置网络访问控制选项
第 II 部分. 传输中数据加密
1. NetBackup CA 和 NetBackup 证书
2. 配置传输中数据加密 (DTE)
3. 外部 CA 和外部证书
4. 重新生成密钥和证书
第 III 部分. 静态数据加密
1. 静态数据加密安全
2. NetBackup 密钥管理服务配置
3. NetBackup 中的外部密钥管理服务配置
4. NetBackup 中的云密钥管理服务配置
5. NetBackup 中的硬件安全模块 (HSM) 支持
NetBackup 中用于安全通信的密码
1. NetBackup 中使用的加密算法
NetBackup 中的 FIPS 遵从性
1. 关于 FIPS
2. 关于 NetBackup 中的 FIPS 支持
3. 前提条件
4. 在 NetBackup 中指定熵随机性
5. 在 NetBackup 域中配置 FIPS 模式
6. 在 NetBackup 安装期间启用 FIPS 模式
7. 安装后在 NetBackup 主机上启用 FIPS 模式
8. 为 NetBackup 身份验证代理服务启用 FIPS 模式
9. 为 NetBackup 管理控制台启用 FIPS 模式
10. 为 NetBackup 禁用 FIPS 模式
11. NetBackup 服务器和客户端的 NB_FIPS_MODE 选项
12. NetBackup 服务器和客户端的 USE_URANDOM
NetBackup 中的后量子加密 (PQC) 支持
1. 关于后量子加密 (PQC)
2. 对 TLS 通信的 PQC 支持
3. 在 NetBackup 中配置 PQC
4. 为重复数据删除配置 PQC
NetBackup 中的 STIG 遵从性支持
1. 关于 STIG 遵从性支持
2. NetBackup 服务器和客户端的 NBFP_CHECK 选项
3. 使用 nbfp 命令验证和更正文件权限
NetBackup Web 服务帐户
1. 关于 NetBackup Web 服务帐户
2. 更改 Web 服务用户帐户
使用非特权用户（服务用户）帐户运行 NetBackup 服务
1. 关于 NetBackup 服务用户帐户
  1. 使用服务用户帐户的重要注意事项
2. 配置服务用户帐户
3. 在安装或升级后更改服务用户帐户
4. 授予服务用户帐户对外部路径的访问权限
5. 使用服务用户帐户运行的 NetBackup 服务
使用非特权用户帐户运行 NetBackup 命令
1. 使用 nbcmdrun 包装器命令运行 NetBackup 命令
  1. 谁可以运行 NetBackup 命令
  2. nbcmdrun 如何运行
NetBackup 中数据的不可变性和不可删除性
1. 关于不可篡改和不可删除数据
2. 配置不可篡改和不可删除数据的工作流程
3. 使用 bpexpdate 命令从存储中删除不可篡改映像
4. 使用 bpexpdate 命令从目录库中删除不可篡改映像
异常检测
1. 关于备份异常检测
2. 关于系统异常检测
3. 启用自动扫描的异常配置
4. NetBackup 中的熵和文件属性计算
计算主机
1. 关于计算主机
2. 添加计算主机
3. 激活计算主机
4. 停用计算主机
5. 编辑计算主机
6. 删除计算主机
7. 配置计算主机设置
第 IV 部分. 恶意软件扫描
1. 介绍
2. 如何设置恶意软件扫描
  1. 如何设置恶意软件扫描
3. 即时访问配置
4. 恶意软件工具配置
5. 扫描主机配置
6. 执行恶意软件扫描
  1. 在恢复之前执行恶意软件扫描
  2. 执行恶意软件扫描
7. 管理恶意软件和 YARA 扫描的扫描任务
8. 恶意软件扫描配置参数
9. 故障排除
  1. 对恶意软件扫描问题进行故障排除
威胁库
1. 关于威胁库和 YARA 规则文件
2. 添加威胁源
YARA 扫描
1. 关于 YARA 扫描
2. 配置 YARA 扫描的工作流程
3. 使用 YARA 扫描程序扫描备份映像
4. 按工作负载类型划分的 YARA 扫描资产

为外部 CA 发放证书配置主机通信轮换

现可通过 NetBackup Web UI 与 API 配置外部 CA 签名证书的轮换。

此操作可由安全管理员或具有适当 RBAC 权限的用户执行。适用于轮换 BYO、Flex（含 WORM 容器）、NetBackup Appliance、NetBackup Snapshot Manager 主机及群集化主服务器设置的外部 CA 发放证书。

此操作会经审核。

术语

ECA - 外部证书颁发机构
证书构件 - 指安全通信所需的一组证书及相关信息。证书构件包括：
- 证书链
- 私钥
- 信任存储区
- 密码
- CRL 检查级别（默认：LEAF）

重要说明

NetBackup Cloud Scale 和 NetBackup Flex Scale 不支持外部 CA 发放证书轮换。
如果主机配置为使用 Windows 证书存储库，则会在证书续订后开始使用基于文件的证书。
建议仅在维护模式下执行证书轮换。否则，备份或还原作业可能会失败。
不支持使用这些 API 从 NetBackup CA 迁移到外部 CA。

前提条件

在配置证书轮换之前，应确保已在主机上注册外部证书。
请参见在安装后配置 NetBackup 主机（介质服务器、客户端或群集节点），以使用外部 CA 签名证书。
要使用 Web UI 或特定主机的 API 来轮换外部证书，必须已注册有效的外部证书。
新证书的使用者名称应与主机上配置的相同。但是，当设置 externalCertificateIdentityField 处于启用状态时，使用者名称可以不同但公用名称必须相同。
仅支持 CDP 作为证书的 CRL 检查。
如果 CRL 检查级别不是“禁用”，当无法从主服务器访问 CRL 时，外部证书构件的上传将失败。
如果在主机上无法访问 CRL，则在上传外部证书构件后，主机可能无法连接至主服务器，且证书轮换可能会停滞在中间状态。
如果证书没有有效的 CDP URL，或该 URL 无法通过主机或主服务器访问，则应禁用 CRL 检查级别。
证书链大小应小于 40 KB。否则，在验证期间轮换进程可能会失败。

外部 CA 签名证书轮换进程的工作流程

使用 NetBackup Web UI，可以上传主机的证书构件。当客户端主机每 24 小时使用一次 loginwithcert 功能时，将触发轮换进程。这将在主机上触发以下链式进程：

客户端下载证书构件
在与主服务器的试运行中执行构件验证
将文件移动到最终位置
更新配置

服务器会将这些构件保留 30 天。如果在客户端主机上成功下载并应用了这些构件，则会在 30 天内将其删除。

续订进程完成后，将自动清理证书。如果主机在 30 天内未连接到主服务器，则会从主服务器中清理此类主机的构件。

您可以通过“外部证书”选项卡中新增的“续订状态”列，查看证书轮换进程的当前状态。

请参见查看主机的证书续订状态。

上传证书构件进行轮换的限制

Flex 部署仅支持 PEM X509 格式的证书构件。
二线支持主机和未配置 ECA 的主机不支持上传选项。
如果域处于 FIPS 模式，请确保符合 FIPS 合规要求，例如证书格式和密钥大小需满足相应标准。

证书的位置

证书构件存储在服务器的 CMS 中。下载后，它们会存储在以下位置：

对于群集化主服务器主机（虚拟）：

CA 证书路径 - Install_Path/var/global/vxss/

证书链、私钥、密码路径 - Install_Path/var/global/vxss/credentials/ecaartifacts/

对于其他主机（包括群集化主服务器的节点）：

CA 证书路径 - Install_Path/var/vxss/

证书链、私钥、密码路径 - Install_Path/var/vxss/credentials/ecaartifacts/