Назад | Перейти на главную страницу

Управление шифрованием на магнитной ленте и лучшие практики

Я хочу включить шифрование на всех моих лентах с резервными копиями. Я более или менее знаю, как это сделать технически, но процедурные и человеческие элементы реализации этого сложны.

Я использую диски HP LTO4 с bacula, в котором нет функций управления ключами. Фактически, поддержка аппаратного шифрования заключается в вызове внешнего сценария, который устанавливает ключ на диске перед чтением и записью.

Мои вопросы:

  1. Как мне отслеживать, какие ленты имеют шифрование? У меня уже есть несколько сотен кассет без шифрования. Даже если я найду время, чтобы переписать их все с шифрованием, будут месяцы совпадения, когда у некоторых оно есть, а у некоторых нет. Как bacula узнает, нужно ли устанавливать ключ перед чтением данной ленты? Достаточно ли умен накопитель, чтобы читать незашифрованные ленты, даже если установлен ключ?
  2. Если ключ когда-либо будет скомпрометирован, нам придется его изменить, и у нас будет та же проблема, что и №1.
  3. Если ключ потерян, мы фактически потеряем все наши резервные копии. Как я могу уменьшить это, не увеличивая риск взлома?
  4. Следует ли менять ключ регулярно? Один раз в год? Какая лучшая практика?
  5. Как крупные системы резервного копирования независимых поставщиков программного обеспечения справляются с этими проблемами?

Очень хорошие вопросы. Я тоже хотел бы получить хорошие ответы от людей, которые знают об этом больше, чем я. :-)

3 Если ключ потерян, мы фактически потеряли все наши резервные копии

Именно поэтому многие или большинство людей не используют зашифрованные резервные копии.

Один из возможных вариантов - создать пару «спасательных шлюпок», то есть пакетов с установочными носителями, именами пользователей и паролями для важных систем, таких как резервные копии, Active Directory и другие (то есть то, что вам нужно для загрузки резервной копии, если основной сайт был полностью уничтожены в результате пожара, но не сами данные резервной копии). Вы должны надежно хранить эти спасательные шлюпки за пределами площадки, например, в банковском хранилище или в сейфе с высоким уровнем безопасности в удаленном офисе с системой сигнализации. И, наконец, задокументируйте это, чтобы другие могли понять, как использовать спасательные шлюпки после того, как вы уволились из компании, если это необходимо.

4 Следует ли регулярно менять ключ? Один раз в год? Какая лучшая практика?

С практической точки зрения я бы сказал не поменяйте клавиши, так как это быстро становится неуправляемым. Если вы беспокоитесь о том, что безопасность резервного копирования недостаточно высока, усилите физическую защиту ваших лент с помощью службы такие как Iron Mountainили самостоятельно построив систему хранения с хорошей физической защитой.

Наконец: Я бы предпочел, чтобы все шифрование и обработка резервных копий находились в одной системе, чтобы снизить риск того, что восстановление не сработает. Под этим я подразумеваю использование встроенного шифрования в программном обеспечении, таком как Retrospect или Backup Exec, а не шифрование на уровне диска.

Я отвечаю на это и делаю это вики-сообществом, поскольку копирую и вставляю из существующего документа.

Для записи, я использую Amanda Enterprise в качестве своего решения для резервного копирования и не использую обеспечиваемое им шифрование на магнитной ленте по тем же причинам, которые вы упомянули.

Я исследовал шифрование на магнитной ленте и наткнулся на отличный технический документ от HP, в котором говорилось о LTO-4 шифрование, и включены многие возможности для управления ключами. Вот краткое изложение представленных доступных опций:

• Шифрование в собственном режиме (иногда его называют «установил и забыл»). Этот метод управляет шифрованием LTO4 из библиотеки ленточного накопителя. Есть один ключ, который задается через интерфейс управления библиотекой (Web GUO или Operator Control Panel). Этот метод шифрует все ленты одним и тем же ключом, что отрицательно сказывается на уровне безопасности.

• Программное шифрование шифрует данные до того, как они покидают сервер, а ключи хранятся во внутренней базе данных или каталоге приложения. Этот метод шифрования создает высокую нагрузку на сервер, поскольку программное обеспечение выполняет множество математических операций, используя вычислительную мощность хоста. Некоторые приложения, включая HP Open View Storage Data Protector 6.0, предлагают шифрование как функцию. Хотя безопасность данных, зашифрованных таким образом, очень высока (поскольку данные шифруются при передаче), поскольку зашифрованные данные очень случайны, становится невозможным достичь какого-либо сжатия данных в нисходящем потоке на ленточном накопителе, и поэтому хранение неэффективно.

• Ключи, управляемые приложением ISV, также известное как внутриполосное управление ключами. Программное обеспечение ISV предоставляет ключи и управляет ими, а затем ленточный накопитель Ultrium LTO4 выполняет шифрование. На ключи будут ссылаться данные, связанные с ключами, и они будут храниться во внутренней базе данных приложения. (За поддержкой этой функции обращайтесь к поставщику приложения резервного копирования вашего независимого поставщика программного обеспечения).

• Устройство внутриполосного шифрования перехватывает каналы Fibre Channel и шифрует данные на лету. Эти продукты доступны от нескольких поставщиков, таких как Neoscale и Decru. Управление ключами осуществляется с помощью надежного устройства управления ключами. Этот метод не зависит от программного обеспечения независимых поставщиков программного обеспечения и поддерживает устаревшие ленточные накопители и библиотеки. Эти устройства должны выполнять сжатие данных, поскольку после шифрования сжатие на ленточном накопителе невозможно.

• Коммутатор SAN Fabric с возможностью шифрования аналогичен внутриполосному устройству, но в коммутатор встроено оборудование для шифрования.

• Устройство управления ключами работает с библиотеками корпоративного класса, такими как библиотеки HP StorageWorks EML и ESL серии E. Это называется внеполосным управлением ключами, поскольку ключ передается на ленточный накопитель устройством управления ключами. На рисунке 8 показаны основные компоненты устройства управления ключами. Приложениям резервного копирования не известны возможности шифрования ленточного накопителя. Ключи передаются контроллеру ленточной библиотеки через сетевое соединение с использованием протокола защищенных сокетов (SSL), недавно переименованного в Transport Layer Security (TLS). Это зашифрованное соединение, необходимое для защиты ключей, передаваемых от устройства. Для настройки безопасности в аппаратное обеспечение управления библиотекой устанавливается цифровой сертификат. Это устанавливает необходимое безопасное соединение. При настройке SSL / TLS используется шифрование с открытым ключом, но затем после завершения рукопожатия секретный ключ передается для шифрования ссылки. При восстановлении лент данные, связанные с ключом (извлеченные с ленты), используются для ссылки на запрос правильного ключа для расшифровки ленты независимо от приложения резервного копирования.

Что нам действительно не хватает, так это того, что делают люди в реальном мире. Технические документы - это здорово, но это не обязательно отражает реальность.

Кроме того, я разместил этот вопрос на мой блог, так что там тоже могут быть некоторые ответы или примеры.

Я использую файловую систему dm-crypt, шифруя ее длинным и надежным паролем.

Чтобы не потерять пароль, я написал его на запечатанном сургучом письме, передал в собственность компании, а он спрятал в сейфе.

Конечно, вы можете передать его нотариусу или кому как угодно.

Я думаю, что пароль лучше для этой работы, поскольку он может быть только в сознании людей, уполномоченных знать его, в то время как цифровое устройство может быть потеряно, украдено и так далее.

Помучиться можно конечно :)