バックアップサーバーキー

盗聴者がVeeam Backup Enterprise Managerを使用して、Veeam Backup & Replicationで暗号化されたファイルのロックを解除する可能性があります。盗聴者は、暗号化されたファイルをインターセプトすると、ファイルのロック解除のリクエストを生成して、このリクエストをVeeam Backup Enterprise Manager管理者に送信します。Veeam Backup Enterprise Managerからの応答を受け取ると、盗聴者は暗号化されたファイルのロックをパスワードなしに解除できるようになります。

この中間者攻撃を防ぐために、Veeam Backup & Replicationではバックアップ・サーバー キーを使用しています。バックアップサーバーキーは、バックアップサーバーで生成されるパブリックとプライベートのRSAキーペアです。

  • パブリックバックアップサーバーキーは、バックアップサーバーが接続されているVeeam Backup Enterprise Managerに送信されて Veeam Backup Enterprise Manager構成データベースに保存されます。
  • プライベートバックアップサーバーキーは、バックアップサーバー上のVeeam Backup & Replication構成データベース内に保存されます。

バックアップサーバーキーは、リクエスト送信者の身元を認証するために使用されます。バックアップサーバーは、ファイルのロック解除のリクエストを生成すると、このリクエストにプライベートバックアップサーバーキーで暗号化された署名を追加します。

Veeam Backup Enterprise Managerは、リクエストを処理するときに、パブリック・バックアップ・サーバー・キーを使用して署名を復号化し、リクエスト送信者を識別します。リクエストの生成に使用されるバックアップ・サーバーがVeeam Backup Enterprise Managerに追加されていない場合、Veeam Backup Enterprise Managerでは、データベースで一致するパブリック・キーは検出されません。その結果、Veeam Backup Enterprise Managerでは送信者を識別できないため、ストレージ・キー復号化プロセスが失敗します。