バックアップと復元

本ページでは、バックアップ対象、手順、復元方法、環境でのバックアップ自動化を取り扱います。アップグレード前、エージェントの新ハードウェアへの移行時、標準的な災害復旧計画の一項として、定期的なバックアップは重要です。

バックアップ対象

KEPMの完全なバックアップには4つのコンポーネントがあります。

ポリシー

多くの展開で最も重要な項目です。ローカル展開ポリシーファイルを含む policies/ フォルダと、サーバー同期ポリシーを含む完全なアクティブ前処理済みポリシー状態を記録した currentPolicies.json エクスポートが対象です。

構成

appsettings.json、すべてのプラグイン構成ファイル (Plugins/*.json)、すべてのジョブ構成ファイル (Jobs/*.json) です。エージェントの動作を定義するため、構成変更のたびに保持してください。

ストレージ

エージェントの登録状態、統合ストレージデータ、プラグイン固有の状態を含む KeeperStorage/ ディレクトリです。このディレクトリを失うと、復元後にエージェントの再登録が必要になります。

証明書

カスタム証明書を使用する場合 (デフォルトの自動生成自己署名証明書ではなく)、証明書ファイルを含めるか、KEPM証明書に対応するWindows証明書ストアのエントリを文書化してください。

バックアップの場所

プラットフォーム

インストールディレクトリ

ストレージディレクトリ

Windows

C:\Program Files\Keeper Security\Endpoint Privilege Management\

...\KeeperStorage\

Linux

/opt/keeper/sbin/

/opt/keeper/sbin/KeeperStorage/

macOS

/Library/Keeper/sbin/

/Library/Keeper/sbin/KeeperStorage/

手動バックアップの取得

ストレージファイルを一貫した状態にするため、ファイルシステムバックアップの前に必ずサービスを停止してください。

Windows:

powershell

# Stop the service
Stop-Service -Name "KeeperPrivilegeManager"

# Back up the full installation directory
xcopy "C:\Program Files\Keeper Security\Endpoint Privilege Management" `
      "C:\Backup\KEPM\$(Get-Date -Format 'yyyyMMdd')" /E /I /H /Y

# Restart the service
Start-Service -Name "KeeperPrivilegeManager"

Linux:

bash

sudo systemctl stop keeper-privilege-manager
sudo tar -czf "/backup/keeper-backup-$(date +%Y%m%d).tar.gz" /opt/keeper/sbin/
sudo systemctl start keeper-privilege-manager

macOS:

bash

sudo launchctl stop com.keeper.privilegemanager
sudo tar -czf "$HOME/backup/keeper-backup-$(date +%Y%m%d).tar.gz" /Library/Keeper/sbin/
sudo launchctl start com.keeper.privilegemanager

バックアップからの復元

完全復元 (新マシンまたは完全障害):

バックアップを作成したのと同じバージョンのKEPMをインストールします。アップグレードガイドを確認せずに、新しいまたは古いバージョンへバックアップを復元しないでください。
サービスが実行中の場合は停止します。
バックアップをインストールディレクトリへ復元します。

bash

# Linux example
sudo systemctl stop keeper-privilege-manager
sudo tar -xzf /backup/keeper-backup-YYYYMMDD.tar.gz -C /
sudo systemctl start keeper-privilege-manager

サービス起動後、正常性を確認します。

bash

curl -sk https://localhost:6889/health
curl -sk https://localhost:6889/api/Keeper/registration

登録状態が true であること、ポリシーが読み込まれていることを確認します。

ポリシーのみ (登録に影響せずポリシー構成を復元):

ポリシーJSONファイルを policies/ フォルダにコピーします。
KeeperPolicyプラグインがファイル変更を検出し、ポリシーを自動的に再読み込みします。サービスの再起動は不要です。
currentPolicies.json を確認するか、ポリシーの動作を観察して、アクティブなポリシー状態を確認します。

構成のみ:

サービスを停止します。
対象の構成ファイルを置き換えます。
サービスを開始します。
影響を受けるプラグインが実行中であることを確認します。

バックアップの自動化

Windowsタスクスケジューラ:

powershell

$action = New-ScheduledTaskAction `
  -Execute "powershell.exe" `
  -Argument "-File C:\Scripts\backup-keeper.ps1"
$trigger = New-ScheduledTaskTrigger -Daily -At 2am
Register-ScheduledTask `
  -TaskName "KEPM-Daily-Backup" `
  -Action $action `
  -Trigger $trigger `
  -RunLevel Highest

Linux cron:

bash

# Add to root crontab: crontab -e
0 2 * * * /opt/scripts/backup-keeper.sh

Linuxバックアップスクリプトの例:

bash

#!/bin/bash
BACKUP_DIR="/backup/keeper"
DATE=$(date +%Y%m%d)
KEEP_DAYS=30

# Create backup
systemctl stop keeper-privilege-manager
tar -czf "$BACKUP_DIR/keeper-backup-$DATE.tar.gz" /opt/keeper/sbin/
systemctl start keeper-privilege-manager

# Remove backups older than KEEP_DAYS
find "$BACKUP_DIR" -name "keeper-backup-*.tar.gz" -mtime +$KEEP_DAYS -delete

災害復旧チェックリスト

新規または再構築したマシンでKEPMを復旧する際は、以下のチェックリストを使用してください。

バックアップと同じKEPMバージョンをインストール
完全バックアップアーカイブをインストールパスへ復元
ファイルの所有権と権限がセキュリティ強化ガイドの要件と一致していることを確認
サービスを開始し、正常状態に到達することを確認
エージェントが登録済みであることを確認 ("IsRegistered": true)
KeeperAPIおよびKeeperPolicyプラグインがRunningであることを確認
アクティブなポリシーが読み込まれていることを確認 (currentPolicies.json を確認)
少なくとも1つの制御されたアクションでポリシー評価をテスト
復旧日と元の構成との差異を文書化

四半期ごとに復旧手順をテストしてください。 一度もテストされていないバックアップは、信頼できるバックアップとは言えません。

前へエアギャップ対応次へ承認期間の構成

最終更新 6 日前