Quản lý mã hóa băng & thực hành tốt nhất

Tôi muốn kích hoạt mã hóa trên tất cả các băng dự phòng của mình. Tôi ít nhiều biết làm thế nào để làm điều này về mặt kỹ thuật, nhưng các yếu tố thủ tục và con người để thực hiện điều này là khó khăn.

Tôi sử dụng ổ HP LTO4 với bacula, không có bất kỳ tính năng quản lý khóa nào. Trong thực tế, hỗ trợ của nó cho mã hóa phần cứng là gọi một tập lệnh bên ngoài đặt khóa trên ổ đĩa trước khi đọc và ghi.

Những câu hỏi của tôi:

1. Làm thế nào tôi nên theo dõi băng nào có mã hóa? Tôi đã có vài trăm băng mà không cần mã hóa. Ngay cả khi tôi dành thời gian để viết lại tất cả bằng mã hóa, sẽ có nhiều tháng trùng lặp khi một số có nó và một số thì không. Làm thế nào bacula sẽ biết có nên đặt chìa khóa trước khi đọc một băng cho trước? Ổ đĩa có đủ thông minh để đọc băng không được mã hóa ngay cả khi khóa được đặt không?
2. Nếu khóa bị xâm phạm, chúng tôi sẽ phải thay đổi và chúng tôi sẽ gặp vấn đề tương tự như # 1.
3. Nếu khóa bị mất, chúng tôi thực sự đã mất tất cả các bản sao lưu. Làm thế nào tôi có thể giảm thiểu điều này mà không làm tăng nguy cơ rằng nó bị xâm phạm?
4. Chìa khóa có nên thay đổi thường xuyên? Mỗi năm một lần? Thực hành tốt nhất là gì?
5. Làm thế nào để các hệ thống sao lưu ISV lớn xử lý các vấn đề này?

Câu hỏi rất hay. Tôi cũng muốn thấy câu trả lời tốt từ những người biết nhiều về điều này hơn tôi. :-)

3 Nếu khóa bị mất, chúng tôi đã mất tất cả các bản sao lưu một cách hiệu quả

Chính xác, đó là lý do tại sao nhiều hoặc hầu hết mọi người không sử dụng sao lưu được mã hóa.

Một cách khả thi là xây dựng một vài "xuồng cứu sinh", tức là các gói có cài đặt phương tiện, tên người dùng và mật khẩu cho các hệ thống thiết yếu như sao lưu, Active Directory và các thứ khác (tức là những thứ bạn cần tải một bản sao lưu nếu trang web chính đã được bị phá hủy hoàn toàn trong một đám cháy, nhưng không phải là dữ liệu sao lưu). Bạn nên lưu trữ các xuồng cứu sinh này một cách an toàn ngoài trang web, ví dụ như trong kho tiền ngân hàng hoặc trong một két an toàn cao trong một văn phòng từ xa có hệ thống báo động. Và cuối cùng là tài liệu này, để những người khác có thể tìm ra cách sử dụng xuồng cứu sinh sau khi bạn rời công ty, nếu cần.

4 Chìa khóa có nên thay đổi thường xuyên không? Mỗi năm một lần? Thực hành tốt nhất là gì?

Từ quan điểm thực tế, tôi sẽ nói không thay đổi các phím, vì nó nhanh chóng trở nên không thể quản lý nếu bạn làm. Nếu bạn lo lắng về bảo mật dự phòng không đủ tốt, thì hãy tăng cường bảo mật vật lý xung quanh băng của bạn, bằng cách sử dụng một dịch vụ như Iron Mountain hoặc tự xây dựng hệ thống lưu trữ với bảo mật vật lý tốt.

Cuối cùng: Tôi muốn có tất cả xử lý mã hóa & sao lưu trong một hệ thống, do đó ít có nguy cơ phục hồi không hoạt động. Bằng cách này, tôi có nghĩa là sử dụng mã hóa tích hợp trong phần mềm như Retrospect hoặc Backup Exec, thay vì mã hóa cấp ổ đĩa.

Tôi sử dụng một dm-crypt FS, mã hóa nó bằng một mật khẩu dài và mạnh.

Để tránh mất mật khẩu, tôi đã viết nó trên một lá thư được niêm phong bằng sáp, đưa nó cho tài sản của công ty và anh ấy đã lưu nó trong một hộp bảo mật.

Tất nhiên bạn có thể đưa nó cho một công chứng viên, hoặc bất cứ điều gì bạn nghĩ.

Tôi nghĩ rằng một mật khẩu tốt hơn cho công việc này, vì nó chỉ có thể trong tâm trí của những người được ủy quyền biết nó, trong khi một thiết bị kỹ thuật số có thể bị mất, bị đánh cắp, v.v.

Bạn có thể bị tra tấn, tất nhiên :)

Tôi đang trả lời điều này và tôi đang biến nó thành một wiki cộng đồng, vì tôi đang sao chép và dán từ một tài liệu hiện có.

Đối với hồ sơ, tôi sử dụng Amanda Enterprise làm giải pháp sao lưu của mình và tôi không sử dụng mã hóa băng mà nó cung cấp, vì những lý do mà bạn đề cập.

Tôi đang nghiên cứu mã hóa băng và tôi đã bắt gặp một whitepaper tuyệt vời từ HP nói về mã hóa LTO-4 , và bao gồm rất nhiều khả năng để quản lý khóa. Dưới đây là danh sách cơ bản của các tùy chọn khả dụng được trình bày:

• Mã hóa chế độ gốc (đôi khi được gọi là thiết lập và quên). Phương pháp này kiểm soát mã hóa LTO4 từ trong thư viện ổ đĩa băng. Có một khóa được đặt theo giao diện quản lý thư viện (Web GUO hoặc Bảng điều khiển toán tử). Phương pháp này mã hóa tất cả các băng có cùng khóa, với nhược điểm là ảnh hưởng tiêu cực đến mức độ bảo mật.

• Mã hóa dựa trên phần mềm mã hóa dữ liệu trước khi nó rời khỏi máy chủ và các khóa được lưu trữ trong cơ sở dữ liệu hoặc danh mục của ứng dụng. Phương pháp mã hóa này đặt tải cao lên máy chủ vì phần mềm thực hiện nhiều hoạt động toán học sử dụng sức mạnh xử lý của máy chủ. Một số ứng dụng bao gồm HP Open View Storage Data Protector 6.0 cung cấp mã hóa như một tính năng. Mặc dù tính bảo mật của ngày được mã hóa theo cách này rất cao (vì dữ liệu được mã hóa quá cảnh), vì dữ liệu được mã hóa rất ngẫu nhiên nên sau đó không thể đạt được bất kỳ nén dữ liệu nào trong ổ đĩa băng và do đó việc lưu trữ không hiệu quả.

• Các khóa được quản lý bởi ứng dụng ISV, còn được gọi là quản lý khóa trong băng. Phần mềm ISV ​​cung cấp các khóa và quản lý chúng, và Ổ đĩa băng Ultrium LTO4 sau đó thực hiện mã hóa. Các khóa sẽ được tham chiếu bởi dữ liệu liên quan đến khóa và được lưu trữ trong cơ sở dữ liệu nội bộ của ứng dụng. (Vui lòng tham khảo nhà cung cấp ứng dụng sao lưu ISV cá nhân của bạn để được hỗ trợ chức năng này).

• Thiết bị mã hóa trong băng chặn các liên kết Kênh sợi quang và mã hóa dữ liệu trên máy bay. Những sản phẩm này có sẵn từ một số nhà cung cấp như Neoscale và Decru. Quản lý khóa là từ một thiết bị quản lý khóa cứng. Phương pháp này độc lập với phần mềm ISV ​​và hỗ trợ các ổ đĩa và thư viện băng cũ. Việc nén dữ liệu phải được thực hiện bởi các thiết bị này vì không thể nén được trong ổ băng từ sau khi mã hóa.

• Công tắc vải SAN có khả năng mã hóa tương tự như thiết bị trong băng tần, nhưng phần cứng mã hóa được nhúng trong công tắc.

• Công cụ quản lý khóa hoạt động với các thư viện lớp doanh nghiệp, chẳng hạn như thư viện EML series của HP StorageWorks. Nó được gọi là quản lý khóa ngoài băng, vì khóa được cung cấp cho ổ băng từ thiết bị quản lý khóa. Hình 8 cho thấy các thành phần cơ bản của một thiết bị quản lý khóa. Các ứng dụng sao lưu không có kiến ​​thức về khả năng mã hóa của ổ băng từ. Các khóa được cung cấp cho bộ điều khiển thư viện băng thông qua kết nối mạng bằng Lớp cổng bảo mật (SSL), gần đây được đổi tên thành Bảo mật lớp vận chuyển (TLS). Đây là một kết nối được mã hóa cần thiết để bảo vệ tính bảo mật của các khóa truyền từ thiết bị. Để thiết lập bảo mật, chứng chỉ kỹ thuật số được cài đặt vào phần cứng quản lý thư viện. Điều này thiết lập kết nối an toàn cần thiết. Việc thiết lập SSL / TLS sử dụng mã hóa khóa chung, nhưng sau khi bắt tay hoàn tất, một khóa bí mật sẽ chuyển qua để mã hóa liên kết. Khi băng được khôi phục, dữ liệu liên quan đến khóa, (được lấy từ băng), được sử dụng để tham chiếu yêu cầu cho khóa chính xác để giải mã băng độc lập với ứng dụng sao lưu.

Tất nhiên, những gì chúng ta thực sự đang thiếu là những gì mọi người trong thế giới thực đang làm. Whitepapers là tuyệt vời, nhưng điều đó không nhất thiết phải phản ánh trên thực tế.

Ngoài ra, tôi đã đăng câu hỏi này lên blog của mình , vì vậy một số câu trả lời hoặc ví dụ cũng có thể xuất hiện ở đó.