Arcserve UDP 復旧ポイント サーバ利用時のデータの暗号化
Arcserve Backup や Arcserve UDP ではバックアップ データを暗号化する事で第三者が勝手にデータを取り出すのを防げる、という話を以前の記事でご説明しました。
<関連記事>
本日はこのうち、Arcserve UDP 復旧ポイントサーバ(以下 RPS と表記)を使用している環境でバックアップ データを暗号化する方法について解説します。
■ データストアとプランの二か所でパスワードを設定できる。
RPS を使用する場合、バックアップデータの保管庫であるデータストアを作成する必要があります。この時 [暗号化の有効化] にチェックを入れて [暗号化パスワード] を設定する事で、データストアを暗号化し鍵をかけることができます。
また、RPS にバックアップするには Arcserve UDP コンソールでプランを作成します。この時 [デスティネーション] タブの中で [パスワードによる保護] を有効にすると、[セッション パスワード] でデータを暗号化できます。
なお、データストア側で [暗号化パスワード] が有効になっている場合は [セッション パスワード] の入力が必須になります。
このように、RPS を利用する場合、データストアとプランの二か所でパスワードを設定して二重に鍵をかけることができます。
■ データストア暗号化パスワードとセッション パスワードの違い
さて、ここで「(データストアの)暗号化パスワード」と「セッション パスワード」という2つのパスワードが出てきました。この違いは何でしょうか?
まず、暗号化パスワードはデータストアを保護するためのもので、バックアップ データを他の RPS にインポートする際に再入力を求められます。
(データストアのインポートの際に入力を求められるのが「暗号化パスワード」)
インポートの例としては RPS ジャンプスタートがあります。RPS ジャンプスタートでは NAS 等の物理媒体でバックアップデータを運搬しますが、この NAS が盗まれてしまった場合にデータストアの暗号化パスワードが有効です。
NAS にあるデータを取り出すにはデータストアをインポートする必要がありますが、暗号化パスワードを知らないとインポートができません。データストアをインポートできないので、結果としてその中にあるデータをリストアする事もできません。
<関連記事>
一方で、セッション パスワードはバックアップ セッションに対して鍵をかけるもので、ベアメタル復旧(BMR)時やバックアップ元とは別なサーバへのリストアの際に再入力が求められます。
下の画像はベアメタル復旧での復旧ポイント選択画面で、正しいセッション パスワードを入力しないとベアメタル復旧を続けることができません。
(BMRの際に入力が求められるのは「セッション パスワード」)
2つのパスワードの違いを表にまとめました。
パスワードの種類 | 設定箇所 | 入力が求められる場面 |
(データストアの)暗号化パスワード | データストア | データストアのインポート |
セッション パスワード | プラン | ベアメタル復旧 別なサーバへのファイル リストア |
Arcserve UDP で RPS を使う構成では、データストアとプランの二か所でパスワードを設定する事で、より厳重にデータを守れます。
逆に、パスワードが2種類あるので、再入力を求められたときにどのパスワードを入れれば良いのか混乱してしまう事もあるかもしれません。RPS を使っている環境でバックアップ データを暗号化する場合は、2つのパスワードを区別して記録しておくようにしてください。
以上、ホテがお伝えしました。
« Arcserveサポートポータルへのログインパスワードを忘れた場合にSMS認証で再設定する方法をまとめました。 | トップページ | Windows Server 2012 サポート終了! Azure移行のススメ »
「Arcserve UDP」カテゴリの記事
« Arcserveサポートポータルへのログインパスワードを忘れた場合にSMS認証で再設定する方法をまとめました。 | トップページ | Windows Server 2012 サポート終了! Azure移行のススメ »
コメント