Veritas NetBackup™ Appliance セキュリティガイド
KMS サポート
NetBackup appliance は、NetBackup Enterprise Server 7.1 に統合されている NetBackup Key Management Service (KMS) を使った暗号化をサポートします。KMS は、マスターサーバーアプライアンスとメディアサーバーアプライアンスでサポートされます。データ暗号化キーを再生成することは、アプライアンスのマスターサーバーで KMS をリカバリする場合にサポートされている唯一の方法です。
次に、KMS の主な機能について説明します。
追加のライセンスは必要ありません。
マスターサーバーベースの対称キー管理サービスです。
テープデバイスがそれまたは別の NetBackup appliance に接続されているマスターサーバーとして管理できます。
T10 基準 (LTO4 や LTO5 など) に準拠しているテープドライブの対称暗号化キーを管理します。
ボリュームプールベースのテープ暗号化を使うように設計されています。
組み込みのハードウェア暗号化機能のあるテープハードウェアによって使うことができます。
NetBackup CLI 管理者が NetBackup Appliance シェルメニューまたは KMS コマンドラインインターフェース (CLI) を使って管理できます。
KMS はパスコードからキーを生成するか、キーを自動生成します。表: KMS ファイルは、キーの情報を保持する KMS と関連付けられているファイルの一覧を示します。
表: KMS ファイル
|
KMS ファイル |
説明 |
場所 |
|---|---|---|
|
キーファイルまたはキーデータベース |
このファイルにはデータ暗号化キーが含まれるので、KMS にとって重要です。 |
|
|
ホストマスターキー (Host Master Key) |
このファイルには、AES 256 を使って |
|
|
キーの保護キー (Key Protection Key) |
この暗号化キーは、AES 256 を使って |
|
アプライアンスマスターサーバーで KMS を構成するには、NetBackupCLI ユーザーとしてログインする必要があります。このユーザーについて詳しくは、次のトピックを参照してください。
NetBackupCLI ユーザーロールについてを参照してください。
NetBackupCLI ユーザーを作成するには、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
以下に、アプライアンスで KMS を構成して有効にする方法について説明します。
アプライアンスで KMS を構成して有効にするには
- NetBackupCLI ユーザーとしてアプライアンスマスターサーバーにログインします。
- 次のように nbkms コマンドを使用して空のデータベースを作成します。
[nbcli@myappliance~]# nbkms -createemptydb
- nbkms を起動します。次に例を示します。
[nbcli@myappliance~]# nbkms
- キーグループを作成します。次に例を示します。
[nbcli@myappliance~]# nbkmsutil -createkg -kgname KMSKeyGroupName
- アクティブなキーを作成します。次に例を示します。
[nbcli@myappliance~]# nbkmsutil -createkey -kgname KMSKeyGroupName -keyname KMS KeyName
KMS が構成されマスターサーバーで実行されると、マスターサーバーに関連付けられているすべてのメディアサーバー上の MSDP に対して KMS 暗号化を有効にすることができます。
アプライアンスメディアサーバーで MSDP に対して KMS 暗号化を有効にするには、NetBackupCLI ユーザーとしてログインする必要があります。このユーザーについて詳しくは、次のトピックを参照してください。
NetBackupCLI ユーザーロールについてを参照してください。
NetBackupCLI ユーザーを作成するには、『NetBackup Appliance コマンドリファレンスガイド』を参照してください。
以下に、アプライアンスで MSDP に対して KMS 暗号化を有効にする方法について説明します。
MSDP に対して KMS 暗号化を有効にするには
- NetBackup CLI ユーザーとしてアプライアンスメディアサーバーにログインします。
- 次のオプションを以下の順序で変更します。
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSType --value=0
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSServerName --value=<master server hostname>
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSKeyGroupName --value=msdp
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KeyName --value=<KMS KeyName>
nbcli@myappliance:~> pdcfg --write=/msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=KMSOptions --option=KMSEnable --value=true
pdcfg --write= /msdp/data/dp1/pdvol/etc/puredisk/contentrouter.cfg --section=ContentRouter --option=ServerOptions --value=verify_so_references,fast,encrypt
この手順をマスターサーバーに関連付けられているすべてのメディアサーバーで繰り返します。
- NetBackup Web アプリケーションにログオンして、システムで自分自身を識別します。次のコマンドを実行します。
bpnbat -login -loginType WEB
Authentication Broker: ApplianceHostname
Authentication Port: 0
Authentication Type: unixpwd
LoginName: Username
Password: Password
- KMS が NetBackup Web サービスに登録されていることを確認します。
nbkmscmd -discoverNbkms
- 次のコマンドを使用して、NetBackup サービスを停止して再起動します。
bp.kill_all
bp.start_all
- メディアサーバーで MSDP に対して KMS 暗号化が有効になっていることを確認するには、サーバーでバックアップジョブを実行してから、次のコマンドを実行します。
crcontrol --getmode