バックアップと復元の概要
災害から回復する能力は、システム保守計画の重要な部分を占めます。
Firepower Management Center または 7000/8000 シリーズ デバイスでデータをバックアップしたり復元したりすることができます。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
次のトピックでは、Firepower システムでバックアップおよび復元機能を使用する方法について説明します。
災害から回復する能力は、システム保守計画の重要な部分を占めます。
Firepower Management Center または 7000/8000 シリーズ デバイスでデータをバックアップしたり復元したりすることができます。
アプライアンスまたはローカル コンピュータにバックアップ ファイルを保存できます。Firepower Management Center を使用してバックアップを実行する場合は、リモート ストレージを使用できます。
(注) |
バックアップ データの収集中に、データの相関付けが一時的に停止してバックアップ関連の設定を変更できなくなることがあります。 |
バックアップと復元に関する次の制限事項に注意してください。
代替アプライアンスにバックアップを復元できるのは、2 台のアプライアンスが同じモデルであり、同じバージョンの Firepower システム ソフトウェアを実行している場合のみです。
バックアップには、キャプチャされたファイル データは含まれません。
NGIPSv、Firepower Threat Defense物理または仮想管理対象デバイス、あるいは ASA FirePOWER モジュールのバックアップ ファイルを作成または復元することはできません。イベント データをバックアップするには、管理元の Firepower Management Center のバックアップを実行します。
アプライアンス間で設定をコピーするためにバックアップおよび復元プロセスを使用しないでください。バックアップ ファイルは、アプライアンスを一意に識別する情報を含んでおり、共有することはできません。
Firepower Management Center を復元した後、最新の侵入ルールの更新を適用する必要があります。
PKI オブジェクトに関連付けられた秘密キーは、アプライアンスに保存されるときに、ランダムに生成されたキーで暗号化されます。PKI オブジェクトに関連付けられた秘密キーを含むバックアップを実行する場合、秘密キーは、暗号化されないバックアップ ファイルに組み込まれる前に復号化されます。バックアップ ファイルを安全な場所に保存します。
PKI オブジェクトに関連付けられている秘密キーを含むバックアップを復元すると、その秘密キーはランダムに生成されたキーで暗号化されてからアプライアンスに保存されます。
クリーン リストとカスタム検出リストのいずれかを有効にしてファイル ポリシーを含むバックアップを復元すると、復元されるファイルのリストとあらゆる既存のファイル リストがマージされます。
バックアップを実行してから、確認済みの侵入イベントを削除し、そのバックアップを使用して復元すると、削除された侵入イベントは復元されますが、それらの確認済みステータスは復元されません。それらの復元された侵入イベントは、[確認済みイベント(Reviewed Events)] ではなく [侵入イベント(Intrusion Events)] に表示されます。
侵入イベントのデータを含むバックアップを、そのデータがすでに含まれているアプライアンスに復元すると、重複したイベントが作成されることになります。これを回避するため、以前の侵入イベント データが含まれていないアプライアンスにのみ、侵入イベント バックアップを復元します。
セキュリティ ゾーンまたはインターフェイス グループとのインターフェイス アソシエーションが設定されている場合、それらのアソシエーションはバックアップされません。それらは、復元後に再設定する必要があります。
Firepower Management Center では、バックアップ機能と復元機能はグローバル ドメインのみで使用できます。サブドメインの範囲内では、バックアップと復元の代わりにエクスポート機能とインポート機能を使用することができます。
実行するバックアップのタイプに応じて、さまざまなデータがバックアップされます。キャプチャされたファイル データはバックアップされないことに注意してください。次の表を使用して、どんな種類のバックアップを実行するかを決定します。
バックアップ タイプ |
構成データが含まれるか |
イベント データが含まれるか |
統合ファイルが含まれるか |
---|---|---|---|
Firepower Management Center |
○ |
○ |
[いいえ(No)] |
7000 & 8000 シリーズ(デバイス自体から実行) |
[はい(Yes)] |
[いいえ(No)] |
[いいえ(No)] |
7000 & 8000 シリーズ(管理元の Firepower Management Center から実行) |
[はい(Yes)] |
[いいえ(No)] |
○ |
(注) |
NGIPSv デバイス、Firepower Threat Defense 物理または仮想管理対象デバイス、あるいは ASA FirePOWER モジュールについては、バックアップ ファイルを作成または復元することはできません。イベント データをバックアップするには、管理元の Firepower Management Center のバックアップを実行します。 |
イベント データに加えて、アプライアンスの復元に必要なすべてのコンフィギュレーション ファイルを含むバックアップ ファイルを定期的に保存する必要があります。設定の変更をテストする際にもシステムをバックアップして、必要に応じて保存されている設定に戻すことができます。バックアップ ファイルを、アプライアンスに保存するか、ローカル コンピュータに保存するかを選択できます。
あるいは、バックアップ ファイルが 4GB を超える場合は、SCP 経由でリモート ホストにコピーします。4 GB を超えるファイルのアップロードは Web ブラウザでサポートされていないため、バックアップ ファイルがそのように大きい場合には、ローカル コンピュータからバックアップをアップロードすることはできません。Firepower Management Center では、バックアップ ファイルをリモート ロケーションに保存できます。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
任意(Any) |
グローバルだけ |
Admin/Maint |
アプライアンスに十分なディスク領域があることを確認してください。バックアップの処理で使用可能なディスク領域の 90%以上を使用すると、バックアップは失敗することがあります。必要に応じて、古いバックアップ ファイルを削除するか、古いバックアップ ファイルをアプライアンスの外部に転送するか、リモート ストレージを使用してください。リモート ストレージ管理 を参照してください。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[Firepower 管理バックアップ(Firepower Management Backup)] をクリックします。 |
||
ステップ 3 |
[名前(Name)] を入力します。 |
||
ステップ 4 |
その他以下の 2 つの対処法があります。
|
||
ステップ 5 |
バックアップの完了時に通知を受けるためには、[電子メール(Email)] チェックボックスを選択して、用意されているテキスト ボックスに電子メール アドレスを入力します。
|
||
ステップ 6 |
セキュアなコピー(
|
||
ステップ 7 |
次の選択肢があります。
|
バックアップファイルに PKI オブジェクトデータが含まれる場合は、バックアップ内に暗号化されていない秘密キーが含まれています。このため、バックアップはセキュアな場所に保存してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
該当なし |
Admin/Maint |
アプライアンスのローカル Web インターフェイスを使用して、次の手順を実行する必要があります。
アプライアンスに十分なディスク領域があることを確認してください。バックアップの処理で使用可能なディスク領域の 90%以上を使用すると、バックアップは失敗することがあります。必要に応じて、古いバックアップ ファイルを削除するか、古いバックアップ ファイルをアプライアンスの外部に転送してください。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[デバイス バックアップ(Device Backup)] をクリックします。 |
||
ステップ 3 |
[名前(Name)] フィールドに、バックアップ ファイルの名前を入力します。 |
||
ステップ 4 |
バックアップの完了時に通知を受けるためには、[電子メール(Email)] チェックボックスを選択して、用意されているテキスト ボックスに電子メール アドレスを入力します。
|
||
ステップ 5 |
セキュアなコピー(
|
||
ステップ 6 |
次の選択肢があります。
|
バックアップファイルに PKI オブジェクトデータが含まれる場合は、バックアップ内に暗号化されていない秘密キーが含まれています。このため、バックアップはセキュアな場所に保存してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
グローバルだけ |
Admin/Maint |
アプライアンスに十分なディスク領域があることを確認してください。バックアップの処理で使用可能なディスク領域の 90%以上を使用すると、バックアップは失敗することがあります。必要に応じて、古いバックアップ ファイルを削除するか、古いバックアップ ファイルをアプライアンスの外部に転送するか、リモート ストレージを使用してください。リモート ストレージ管理 を参照してください。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
[管理対象デバイスのバックアップ(Managed Device Backup)] をクリックします。 |
||
ステップ 3 |
[管理対象デバイス(Managed Devices)] フィールドで、1 つ以上の管理対象デバイスを選択します。 |
||
ステップ 4 |
設定データと共に統合ファイルも含めるには、[すべての統合ファイルを含める(Include All Unified Files)] チェックボックスを選択します。統合ファイルは、管理対象デバイスがまだ Firepower Management Center へ送っていない、分析と保管のためのイベントデータのバイナリファイルです。 |
||
ステップ 5 |
Firepower Management Center にバックアップファイルのコピーを保存するには、[管理センターで取得する(Retrieve to Management Center)] チェックボックスを選択します。各デバイスのバックアップ ファイルをそのデバイス自体のみに保存するには、このチェックボックスをオフにしておいてください。
|
||
ステップ 6 |
[バックアップ開始(Start Backup)] をクリックします。バックアップ ファイルは |
バックアップファイルに PKI オブジェクトデータが含まれる場合は、バックアップ内に暗号化されていない秘密キーが含まれています。このため、バックアップはセキュアな場所に保存してください。
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
グローバルだけ |
Admin/Maint |
この手順は、デバイスの Web ユーザ インターフェイスを使用して実行する必要があります。
さまざまな種類のバックアップに使用する設定値を含むバックアップ プロファイルを作成できます。後にアプライアンスのファイルをバックアップするときに、これらのプロファイルの 1 つを選択できます。
ヒント |
新規ファイル名を使用して Firepower Management Center のバックアップ ファイルを作成する場合、システムにより自動的に、その名前でバックアップ プロファイルが作成されます。 |
ステップ 1 |
を選択します。 |
ステップ 2 |
[バックアップ プロファイル(Backup Profiles)] タブをクリックします。 |
ステップ 3 |
[プロファイルの作成(Create Profile)] をクリックします。 |
ステップ 4 |
バックアップ プロファイルの名前を入力します。 |
ステップ 5 |
バックアップ プロファイルを設定します。Firepower Management Center のバックアップを参照してください。 |
ステップ 6 |
バックアップ プロファイルを保存するには、[新規として保存(Save As New)] をクリックします。 |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
グローバルだけ |
Admin/Maint |
ローカル ホストからアプライアンスにバックアップ ファイルをアップロードできます。この手順は、デバイスの Web インターフェイスを使用して実行する必要があります。
バックアップ ファイルに PKI オブジェクトが含まれている場合、アップロード時に、システムはランダム生成されたキーを使用して、内部 CA および内部証明書オブジェクトに関連付けられた秘密キーを再暗号化します。
[バックアップ管理(Backup Management)] ページの説明に従って、ダウンロード機能を使用し、バックアップ ファイルをローカル ホストにダウンロードします。
SCP を介してローカル ホストからリモート ホストに 4GB より大きいバックアップをコピーし、そこから Firepower Management Center に取り出します(Web ブラウザではその大きさのファイルのアップロードがサポートされていないため)。詳細については、リモート ストレージ管理を参照してください。
ステップ 1 |
を選択します。 |
ステップ 2 |
[バックアップのアップロード(Upload Backup)] をクリックします。 |
ステップ 3 |
[参照(Browse)] をクリックし、アップロードするバックアップ ファイルまで移動して選択します。 |
ステップ 4 |
[バックアップのアップロード(Upload Backup)] をクリックします。 |
ステップ 5 |
[バックアップ管理(Backup Management)] をクリックして、[バックアップ管理(Backup Management)] ページに戻ります。 |
アプライアンスによってファイルの整合性が確認された後、[バックアップ管理(Backup Management)] ページを更新し、詳細なファイル システム情報を表示します。
バックアップ ファイルに PKI オブジェクトが含まれている場合は、アップロード時に、内部 CA および内部証明書オブジェクトに関連付けられている秘密キーが、ランダムに生成されたキーで再暗号化されます。
ローカル ストレージを使用する場合、バックアップ ファイルは /var/sf/backup
に保存されて、/var
パーティションで使用されているディスク領域量と共に [バックアップ管理(Backup Management)] ページの下部にリストされます。Firepower Management Center で、[バックアップ管理(Backup Management)] ページの上部にある [リモート ストレージ(Remote Storage)] を選択して、リモート ストレージ オプションを設定します。その後、リモート ストレージを有効にするには [バックアップ管理(Backup Management)] ページの [バックアップ用にリモート ストレージを有効にする(Enable Remote
Storage for Backups)] チェック ボックスをオンにします。リモート ストレージを使用している場合は、プロトコル、バックアップ システム、およびバックアップ ディレクトリがページの下部に表示されます。
次の表では、[バックアップ管理(Backup Management)] ページの各列とアイコンについて説明します。
機能 |
説明 |
---|---|
システム情報(System Information) |
元のアプライアンスの名前、タイプ、バージョン。バックアップを復元できるのは、同一のアプライアンス タイプとバージョンに対してだけであることに注意してください。 |
作成日 |
バックアップ ファイルが作成された日時 |
ファイル名(File Name) |
バックアップ ファイルのフルネーム |
VDBバージョン(VDB Version) |
バックアップ時にアプライアンスで実行されている脆弱性データベース(VDB)のビルド。 |
参照先 |
バックアップ ファイルの場所 |
サイズ(MB)(Size (MB)) |
バックアップ ファイルのサイズ(メガバイト) |
イベント(Events?) |
[はい(Yes)] は、バックアップにイベント データが含まれていることを示します |
表示(View) |
バックアップ ファイルの名前をクリックすると、圧縮されたバックアップ ファイルに含まれるファイルのリストが表示されます。 |
復元(Restore) |
バックアップ ファイルを選択した状態でクリックすると、そのバックアップ ファイルがアプライアンスに復元されます。VDB バージョンがバックアップ ファイルの VDB のバージョンと一致しない場合、このオプションは無効になります。 |
ダウンロード(Download) |
バックアップ ファイルが選択された状態でクリックすると、そのバックアップ ファイルがローカル コンピュータに保存されます。 |
削除(Delete) |
バックアップ ファイルが選択された状態でクリックすると、そのバックアップ ファイルが削除されます。 |
[移動(Move)] をクリックします |
Firepower Management Center で、以前に作成したローカル バックアップが選択された状態でクリックすると、そのバックアップが指定のリモート バックアップ ロケーションに送信されます。 |
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
---|---|---|---|---|
任意(Any) |
任意(Any) |
7000 & 8000 シリーズ |
グローバルだけ |
Admin/Maint |
[バックアップ管理(Backup Management)] ページを使用して、バックアップ ファイルからアプライアンスを復元できます。この手順は、デバイスの Web インターフェイスを使用して実行する必要があります。
注意 |
|
(注) |
バックアップが完了した後にライセンスを追加した場合は、このバックアップを復元するときに、それらのライセンスが削除されたり上書きされたりすることはありません。復元の際の競合を防止するためにも、バックアップを復元する前に、これらのライセンスを(それらが使用されている場所をメモした上で)削除し、バックアップを復元した後で、追加して再設定してください。競合が発生した場合は、サポートに連絡してください。 |
バックアップ ファイル内の VDB のバージョンが、アプライアンスの現在の VDB のバージョンと一致していることを確認します。詳細については、ダッシュボードの表示を参照してください。
バックアップの完了後にアプライアンスに追加したライセンスは、リストア時の競合を避けるために、バックアップの復元前に削除します。詳細については、Firepower の機能ライセンスについてを参照してください。
バックアップに保管されているものと同じ侵入イベント データがアプライアンスに存在しないことを確認します。これは、そのような状況下でバックアップを復元すると、重複するイベントが作成されるためです。詳細については、侵入イベントについてを参照してください。
ステップ 1 |
を選択します。 |
||
ステップ 2 |
バックアップ ファイルをクリックして、そのコンテンツを表示します。詳細には、ファイルの所有者、ファイルの権限、ファイル サイズ、および日付が含まれています。 |
||
ステップ 3 |
を選択して、[バックアップ管理(Backup Management)] ページに戻ります。 |
||
ステップ 4 |
復元するバックアップ ファイルを選択します。 |
||
ステップ 5 |
[復元(Restore)] をクリックします。
|
||
ステップ 6 |
ファイルを復元するには、次のいずれかまたは両方のオプションを選択します。
|
||
ステップ 7 |
[復元(Restore)] をクリックします。 |
||
ステップ 8 |
アプライアンスを再起動します。 |
最新のシスコ ルール アップデートをインポートします。侵入ルールのワンタイム手動更新を参照してください。インポートの一環としてポリシーを再展開する場合、設定の変更を展開する必要はありません(後述)。
設定変更を展開します。設定変更の導入を参照してください。
バックアップの復元前に、アプライアンスから削除したライセンスを追加して再設定します。
復元時にアプライアンスがライセンスの競合を示した場合は、サポートまでお問い合わせください。