Teyp şifreleme yönetimi ve en iyi uygulamalar

16

Tüm yedekleme bantlarımda şifrelemeyi etkinleştirmek istiyorum. Bunu teknik olarak nasıl yapacağımı az çok biliyorum, ama bunu uygulamanın prosedürel ve insani unsurları aldatıcı.

Herhangi bir anahtar yönetimi özelliği olmayan, bakterili HP LTO4 sürücüleri kullanıyorum. Aslında, donanım şifreleme desteği, okuma ve yazma işleminden önce sürücüdeki anahtarı ayarlayan harici bir komut dosyası çağırmaktır.

Sorularım:

  1. Hangi bantların şifrelemeye sahip olduğunu nasıl takip etmeliyim? Zaten şifreleme olmadan birkaç yüz kasetim var. Hepsini şifreleme ile yeniden yazmak için zaman ayırsam bile, bazılarının sahip olduğu ve bazılarının olmadığı aylarca çakışma olacak. Bacula, verilen bir bandı okumadan önce anahtarı ayarlayıp ayarlamayacağını nasıl bilecek? Sürücü, bir anahtar ayarlanmış olsa bile şifrelenmemiş bantları okuyacak kadar akıllı mı?
  2. Anahtarın güvenliği ihlal edilirse, onu değiştirmek zorunda kalırız ve # 1 ile aynı soruna sahip oluruz.
  3. Anahtar kaybedilirse, tüm yedeklerimizi etkili bir şekilde kaybettik. Güvenliği tehlikeye atma riskini artırmadan bunu nasıl azaltabilirim?
  4. Anahtar düzenli olarak değişmeli mi? Yılda bir kez? En iyi uygulama nedir?
  5. Büyük ISV yedekleme sistemleri bu sorunları nasıl ele alıyor?
backup  encryption  tape  bacula 
lukecyca
kaynak
Bunlar da cevabını bilmek istediğim mükemmel sorular.
Matt Simmons
2
Haydi, Serverfault düzenli ... Orada daha iyi cevaplar olmalı mı? Bu iyi bir soru ...
Jesper M

Yanıtlar:

7

Çok güzel sorular. Ben de benden daha fazla bilen insanlardan iyi cevaplar görmek istiyorum. :-)

3 Anahtar kaybedilirse, tüm yedeklerimizi etkili bir şekilde kaybettik

Tam olarak, bu yüzden birçok veya çoğu kişi şifreli yedeklemeler kullanmaz.

Gitmek için olası bir yol, birkaç "cankurtaran botu", yani yedekleme ortamı, Active Directory ve diğerleri gibi temel sistemler için yükleme medyası, kullanıcı adları ve parolaları içeren paketler oluşturmaktır (yani, ana site, bir yangında tamamen yok edildi, ancak yedek verilerin kendisi değil). Bu cankurtaranları güvenli bir şekilde, örneğin bir banka kasasında veya alarm sistemi olan uzak bir ofiste yüksek güvenlikli bir kasada güvenli bir şekilde saklamalısınız. Ve son olarak bunu belgeleyin, böylece başkaları gerekirse şirketten ayrıldıktan sonra cankurtaran botlarını nasıl kullanacaklarını anlayabilirler.

4 Anahtar düzenli olarak değişmeli mi? Yılda bir kez? En iyi uygulama nedir?

Görüş pratik açıdan, ben söyleyebilirim değil bunu yaparsanız hızla yönetilemez hale gelmesi nedeniyle anahtarlarını değiştirin. Yedek güvenliğin yeterince iyi olmadığından endişe ediyorsanız , Iron Mountain gibi bir hizmet kullanarak veya kendiniz iyi bir fiziksel güvenliğe sahip bir depolama sistemi oluşturarak bantlarınızın etrafında fiziksel güvenliği artırın .

Son olarak: Tüm şifreleme ve yedekleme işlemlerini tek bir sistemde yapmayı tercih ederim, bu nedenle kurtarma işleminin çalışma riski daha azdır. Bununla, yerleşik şifrelemeyi sürücü düzeyinde şifreleme yerine Retrospect veya Backup Exec gibi yazılımlarda kullanmak istedim.

Jesper M
kaynak
2

Uzun ve güçlü bir parola ile şifreleyen bir dm-crypt FS kullanıyorum.

Parola kaybını önlemek için onu mum mühürlü bir mektup üzerine yazdım, şirket mülküne verdim ve bir güvenlik kasasında sakladı.

Tabii notere ya da ne düşünürseniz verebilirsiniz.

Bir dijital cihaz kaybolabilir, çalınabilir vb.

Elbette işkence görebilirsin :)

drAlberT
kaynak
Gizli Paylaşımı kullanabilir ve anahtarı eşit (güvenilir olmayan) koruyucular arasında dağıtılan birden fazla, bireysel olarak işe yaramayan parçalara
bölebilirsiniz
2

Bunu cevaplıyorum ve mevcut bir belgeyi kopyalayıp yapıştırdığım için bunu bir topluluk wiki'si haline getiriyorum.

Kayıt için, Amanda Enterprise'ı yedekleme çözümüm olarak kullanıyorum ve bahsettiğiniz nedenlerden ötürü sağladığı teyp şifrelemesini kullanmıyorum.

Teyp şifrelemesini araştırıyordum ve HP'den LTO-4 şifrelemesinden bahseden harika bir teknik incelemeye rastladım ve anahtar yönetimi için birçok olasılık var. Sunulan mevcut seçeneklerin temel bir özeti:

• Yerel mod şifrelemesi (bazen ayarla ve unut olarak da adlandırılır). Bu yöntem, teyp sürücüsü kitaplığından LTO4 şifrelemesini denetler. Kütüphane yönetim arayüzü (Web GUO veya Operatör Kontrol Paneli) ile ayarlanan bir anahtar vardır. Bu yöntem, güvenlik düzeyini olumsuz etkilemenin dezavantajı ile tüm bantları aynı anahtarla şifreler.

• Yazılım tabanlı şifreleme, verileri sunucudan ayrılmadan önce şifreler ve anahtarlar uygulamanın dahili veritabanında veya kataloğunda saklanır. Bu şifreleme yöntemi, yazılım ana bilgisayar işlem gücünü kullanarak birçok matematik işlemi gerçekleştirdiğinden sunucuya büyük bir yük getirir. HP Open View Depolama Veri Koruyucu 6.0 da dahil olmak üzere birçok uygulama, özellik olarak şifreleme sunar. Her ne kadar bu şekilde şifrelenmiş tarih güvenliği çok yüksek olsa da (veriler aktarımda şifrelendiğinden), şifrelenmiş veriler oldukça rasgele olduğundan teyp sürücüsünde akış aşağısında herhangi bir veri sıkıştırması elde etmek imkansız hale gelir ve bu nedenle depolama verimsiz olur.

• Bant içi anahtar yönetimi olarak da bilinen ISV uygulaması tarafından yönetilen anahtarlar. ISV yazılımı anahtarları sağlar ve yönetir ve Ultrium LTO4 Teyp Sürücüsü şifrelemeyi gerçekleştirir. Anahtarlar, anahtarla ilişkili veriler tarafından referanslandırılır ve uygulamaların dahili veritabanında depolanır. (Bu işlevselliği desteklemek için lütfen bireysel ISV yedekleme uygulaması satıcınıza başvurun).

• Bant içi şifreleme aracı Fiber Kanal bağlantılarını durdurur ve uçuş sırasındaki verileri şifreler. Bu ürünler Neoscale ve Decru gibi çeşitli satıcılardan edinilebilir. Anahtar yönetimi, güçlendirilmiş bir anahtar yönetim cihazından alınmıştır. Bu yöntem ISV ​​yazılımından bağımsızdır ve eski teyp sürücülerini ve kitaplıkları destekler. Veri sıkıştırma bu aygıtlar tarafından gerçekleştirilmelidir çünkü şifreleme sonrasında manyetik bant sürücüsündeki sıkıştırma mümkün değildir.

• Şifreleme özelliğine sahip bir SAN yapı anahtarı bant içi cihaza benzer, ancak anahtarlamada şifreleme donanımı bulunur.

• Bir Anahtar Yönetim Cihazı, HP StorageWorks EML ve ESL E serisi kütüphaneleri gibi kurumsal sınıf kütüphanelerle çalışır. Anahtar, teyp sürücüsüne anahtar yönetim aracı tarafından sağlandığından bant dışı anahtar yönetimi olarak bilinir. Şekil 8, bir anahtar yönetim cihazının temel bileşenlerini göstermektedir. Yedekleme uygulamalarının manyetik bant sürücüsünün şifreleme yeteneği hakkında bilgisi yoktur. Anahtarlar, yakın zamanda Aktarım Katmanı Güvenliği (TLS) olarak adlandırılan Güvenli Yuva Katmanı (SSL) kullanılarak teyp kitaplığı denetleyicisine bir ağ bağlantısı aracılığıyla sağlanır. Bu, aktarılan anahtarların cihazdan güvenliğini korumak için gerekli olan şifreli bir bağlantıdır. Güvenliği ayarlamak için, kütüphane yönetim donanımına bir dijital sertifika yüklenir. Bu, gerekli güvenli bağlantıyı kurar. SSL / TLS kurulumu genel anahtar şifrelemesi kullanır, ancak el sıkışma tamamlandıktan sonra bağlantıyı şifrelemek için gizli bir anahtar geçer. Bantlar geri yüklendiğinde, yedekleme uygulamasından bağımsız olarak kasetin şifresini çözmek için doğru anahtar talebine başvurmak için anahtarla ilişkili veriler (banttan alınır) kullanılır.

Gerçekten eksik olduğumuz şey, elbette, gerçek dünyadaki insanların ne yaptığıdır. Teknik incelemeler harikadır, ancak bu mutlaka gerçeği yansıtmaz.

Ayrıca, bu soru haberi bloguma bazı yanıtları veya örnekler de orada gösterilebilir yüzden.

Matt Simmons
kaynak
+1. Teknik incelemede "Sürücülerin şifrelemenin etkinleştirildiği yerlerde, üreticiden bağımsız olarak şifrelenmiş verilerin değişimi mümkündür." LTO4 şifrelemesi açık bir standarttır, bu iyidir. (Makalede ayrıca, tüm LTO4 sürücülerinin şifrelemeyi desteklemediği ve şifrelemenin LTO3 ve önceki standartların bir parçası olmadığı belirtilmektedir.)
Jesper M
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.