NetBackup を使用するワークグループは、小規模な (50 未満の) システムグループで す。このワークグループは NetBackup を内部で使います。通常、この構成には NIS、
Active Directory などの統一されたネーミングサービスはありません。DNS、WINS のよ うな信頼できるホストネーミングサービスを持たないこともあります。通常、この構成は大規 模な企業でのテストラボや、小規模な企業の環境で使用されます。
NetBackup を使用するワークグループには、次の特徴があります。
■ NetBackup サーバーの数が非常に少ない
第 2 章 セキュリティの配置モデル 34 単一のデータセンター
■ コンピュータ環境が小規模である
■ 外部に接続する装置が実装されていない
図 2-1 に、NetBackup を使用するワークグループの例を示します。
第 2 章 セキュリティの配置モデル 35 NetBackup を使用するワークグループ
図 2-1 NetBackup を使用するワークグループ
`
クライ アント 1
`
クライ アント 2
`
クライ アント 3
`
クライ アント 4
インターネット DMZ
メディア サーバー マスター
サーバー
内部ファイアウォール – NetBackup ポートが許可される
外部ファイアウォール – Http ポートのみが許可される クライアント 1、2、3、4 の
暗号化されて いないデータ
次の表に、ワークグループで使われる NetBackup の構成要素を示します。
第 2 章 セキュリティの配置モデル 36 NetBackup を使用するワークグループ
表 2-1 ワークグループで使われる NetBackup の構成要素 説明
構成要素
メディアサーバーおよびクライアント 1、2、3、4 と通信します。
マスターサーバー
マスターサーバーおよびクライアント 1、2、3、4 と通信します。また、クライアント 1、2、3、4 の暗 号化されていないデータのテープへの書き込みを管理します。
メディアサーバー
クライアント 1、2、3、4 の暗号化されていないバックアップデータが格納されます。
テープ
クライアント 1、2、3、4 は、マスターサーバーで管理される標準的な NetBackup クライアントで す。これらのクライアントには、メディアサーバーによってテープにバックアップされる暗号化されて いないデータが存在します。
クライアント
NetBackup が DMZ 内のクライアントにアクセスすることを許可します。選択された NetBackup ポートおよび他のアプリケーションポート (可能な場合) のみが、DMZ とのデータ通信を行うことが できます。外部ファイアウォールで開かれている HTTP ポートは、インターネットから内部ファイア ウォールを通過できません。内部ファイアウォールは、ワークグループ配置モデルでは使用されま せん。この例では、内部ファイアウォールにアクセスするクライアントが存在しないため、内部ファイ アウォールを通過する NetBackup ポートを開く必要はありません。
メモ: この例では、内部ファイアウォールの外側にクライアントは存在しません。このため、内部ファ イアウォールを通過する NetBackup ポートを開く必要はありません。
内部ファイアウォール
内部ファイアウォールと外部ファイアウォールの間に存在している NetBackup クライアントに「安 全な」操作領域を提供します。DMZ で操作を行う可能性のあるクライアントには、標準的な NetBackup クライアントまたは暗号化を行う NetBackup クライアントのいずれかを使用する Web サーバー NetBackup クライアントがあります。DMZ 内のクライアントは、指定の NetBackup ポー トを使用して内部ファイアウォールを通過し、NetBackup と通信できます。Web サーバー NetBackup クライアントは、一般的な HTTP ポートを使用して、外部ファイアウォールからのイン ターネットへの接続を受信できます。ワークグループ配置モデル内のクライアントは、DMZ にアク セスできません。
非武装地帯 (DMZ)
外部ユーザーは、一般的に HTTP ポートを経由してインターネットから外部ファイアウォールを通 過して、DMZ 内にある Web サーバー NetBackup クライアントにアクセスできます。内部ファイア ウォールを通過して通信を行うクライアント向けに開かれた NetBackup ポートは、外部ファイア ウォールを通過してインターネットにアクセスすることはできません。
外部ファイアウォール
相互に接続されたコンピュータネットワークの集まりで、銅線、ファイバー光ケーブル、および無線 接続によってリンクされています。ワークグループ配置モデル内のクライアントでは、インターネット は使用されません。
注意: NetBackup クライアントは、DMZ の外側に配置したり、インターネット上に直接配置したり
しないでください。外部ファイアウォールを使用して、常に NetBackup ポートを外部からブロック する必要があります。
インターネット
第 2 章 セキュリティの配置モデル 37 NetBackup を使用するワークグループ
標準の NetBackup を使用する単一のデータセンター
標準的な NetBackup を使用する単一のデータセンターは、中規模から大規模な (50 を 超える) ホストのグループとして定義されます。単一のデータセンターには、内部専用の ホストと、DMZ を介してインターネットに展開するホストの両方が含まれます。通常、この 構成には、ホスト向けの中央集中型ネーミングサービス (DNS、WINS など) が含まれま す。また、ユーザー向けの中央集中型ネーミングサービス (NIS、Active Directory など) も含まれます。
標準の NetBackup を使用する単一のデータセンターには、次の特徴があります。
■ 外部に接続するホストがある
■ 通常、中央集中型ネーミングサービスが存在する
■ ホスト数が 50 を超える
■ 最も単純な構成で、NetBackup の一般的な知識のみが必要である
■ NetBackup ユーザー用に使用される標準的な構成である
■ バックアップ時に、回線上でデータの消極的な妨害が行われる危険性がほとんどな い
図 2-2 に、標準の NetBackup を使用する単一のデータセンターの例を示します。
第 2 章 セキュリティの配置モデル 38 標準の NetBackup を使用する単一のデータセンター
図 2-2 標準の NetBackup を使用する単一のデータセンター
マスター
サーバー メディア
サーバー クライアント
4 および 5 の暗号化され
ていない データ
クライアント 4 の標準 NetBackup
クライアント 5 Web Server
内部ファイアウォール – NetBackup ポートを許可
外部ファイアウォール – Https ポートのみを許可
インター ネット
単一のデータセンター – 標準の NetBackup
第 2 章 セキュリティの配置モデル 39 標準の NetBackup を使用する単一のデータセンター
次の表に、標準的な NetBackup を使用する単一のデータセンターで使われる NetBackup の構成要素を示します。
表 2-2 標準的な NetBackup を使用する単一のデータセンターにおける NetBackup の構成要素
説明 構成要素
メディアサーバー、標準的な NetBackup クライアント 4 および DMZ 内の Web サーバー NetBackup クライアント 5 と通信します。
マスターサーバー
マスターサーバー、標準的な NetBackup クライアント 4 および DMZ 内の Web サーバー NetBackup クライアント 5 と通信します。メディアサーバーは、クライアント 4、5 の暗号化されてい ないデータのテープへの書き込みを管理します。
メディアサーバー
クライアント 4、5 の暗号化されていないバックアップデータが格納されます。
テープ
クライアント 4 は標準的な NetBackup 形式であり、クライアント 5 は Web サーバー形式です。こ れらのクライアントはどちらもマスターサーバーによって管理され、それらの暗号化されていない データはメディアサーバーによってテープにバックアップされます。クライアント 4 は、データセン ター内に存在します。クライアント 5 は、DMZ 内に存在します。クライアント 5 は、NetBackup ポー トのみを使用して内部ファイアウォールを通過し、NetBackup と通信します。クライアント 5 は、
HTTP ポートのみを使用して外部ファイアウォールを通過し、インターネットからの接続を受信しま
す。照合を行うすべての NetBackup 通信は、暗号化されていない状態で回線を介して送信され ることに注意してください。
クライアント
NetBackup は、DMZ 内の Web サーバー NetBackup クライアント 5 にアクセスできます。選択 された NetBackup ポートおよび他のアプリケーションポート (可能な場合) のみが、DMZ とのデー タ通信を行うことができます。外部ファイアウォールで開かれている HTTP ポートは、インターネッ トから内部ファイアウォールを通過できません。
内部ファイアウォール
内部ファイアウォールと外部ファイアウォールの間に存在している NetBackup クライアント 5 Web サーバーに「安全な」操作領域を提供します。DMZ 内のクライアント 5 は、指定の NetBackup ポートを使用して内部ファイアウォールを通過し、NetBackup と通信できます。Web サーバークラ イアント 5 は、HTTP ポートを使用して外部ファイアウォールを通過し、インターネットに接続する ことができます。
非武装地帯 (DMZ)
外部ユーザーは HTTP ポートを経由して外部ファイアウォールを通過し、インターネットから DMZ 内の Web サーバークライアント 5 にアクセスできます。NetBackup ポートはクライアント 5 に対し て開かれており、内部ファイアウォールを通過して通信が行われます。
注意: NetBackup ポートは、外部ファイアウォールを通過してインターネットに接続することはで
きません。外部ファイアウォールでは、クライアント 5 に対する HTTP ポートだけが開かれており、
インターネットに接続することができます。
外部ファイアウォール
相互に接続されたコンピュータネットワークの集まりで、銅線、ファイバー光ケーブル、および無線 接続によってリンクされています。Web サーバークライアント 5 は、HTTP ポートを使用して外部 ファイアウォールを通過し、インターネットを介した接続を受信できます。
インターネット
第 2 章 セキュリティの配置モデル 40 標準の NetBackup を使用する単一のデータセンター