Вопрос: Управление и перехват ленточных шифров


Я хочу включить шифрование на всех моих лентах резервного копирования. Я более или менее знаю, как это сделать технически, но процедурные и человеческие элементы реализации этого сложны.

Я использую диски HP LTO4 с бакулой, у которой нет функций управления ключами. Фактически, его поддержка аппаратного шифрования заключается в вызове внешнего скрипта, который устанавливает ключ на диске перед чтением и записью.

Мои вопросы:

  1. Как следует отслеживать, какие ленты имеют шифрование? У меня уже есть несколько сотен лент без шифрования. Даже если я потрачу время, чтобы переписать их все с помощью шифрования, будут месяцы перекрытия, если у кого-то есть это, а у некоторых нет. Как бакула узнает, следует ли устанавливать ключ перед чтением данной ленты? Является ли диск достаточно умным для чтения незашифрованных лент, даже когда установлен ключ?
  2. Если ключ когда-либо был скомпрометирован, нам придется его изменить, и у нас будет такая же проблема, как и # 1.
  3. Если ключ потерян, мы фактически потеряли все наши резервные копии. Как я могу смягчить это, не увеличивая риск того, что он будет скомпрометирован?
  4. Должен ли ключ регулярно меняться? Раз в год? Какова наилучшая практика?
  5. Как большие системы резервного копирования ISV справляются с этими проблемами?

16
2017-09-24 18:15


Источник


Это отличные вопросы, о которых я тоже хотел бы знать ответ. - Matt Simmons
Пойдем, завсегдатаи Serverfault ... Там должны быть лучшие ответы? Это хороший вопрос ... - Jesper Mortensen


Ответы:


Очень хорошие вопросы. Я тоже хотел бы получить хорошие ответы от людей, которые знают об этом больше, чем я. :-)

3 Если ключ потерян, мы фактически потеряли все наши резервные копии

Именно поэтому многие или большинство людей не используют зашифрованные резервные копии.

Один из возможных способов - создать пару «спасательных шлюпок», то есть пакеты с установочными носителями, именами пользователей и паролями для таких важных систем, как резервные копии, Active Directory и другие (то есть материал, который вам нужно загрузить, если основной сайт был полностью уничтожены при пожаре, но не сами резервные данные). Вы должны надежно хранить эти спасательные шлюпки за пределами площадки, например, в банковском хранилище или в безопасном сейфе в удаленном офисе с системой сигнализации. И, наконец, документируйте это, чтобы другие могли выяснить, как использовать спасательные шлюпки после того, как вы покинули компанию, если это необходимо.

4 Следует ли регулярно менять ключ? Раз в год? Какова наилучшая практика?

С практической точки зрения, я бы сказал не измените ключи, так как это быстро становится неуправляемым, если вы это сделаете. Если вы беспокоитесь о том, что безопасность резервного копирования недостаточно хороша, то повышайте физическую безопасность вокруг ваших лент, используя службу таких как Железная гора, или путем создания системы хранения с хорошей физической защитой.

И, наконец: Я бы предпочел, чтобы все шифрование и резервное копирование обрабатывались в одной системе, поэтому риск восстановления невелик. Под этим я подразумеваю использование встроенного шифрования в программном обеспечении, таком как Retrospect или Backup Exec, а не шифрование на уровне диска.


7
2017-09-29 10:24





Я использую dm-crypt FS, шифруя его длинной и сильной парольной фразой.

Чтобы не потерять пароль, я написал его на запечатанном письмом с воском, передал его в собственность компании, и он сохранил его в безопасном ящике.

Конечно, вы можете дать его нотариусу или тому, что вы думаете.

Я думаю, что для этой работы лучше использовать пароль, поскольку это может быть только умом людей, которым это известно, в то время как цифровое устройство может быть потеряно, украдено и так далее.

Конечно, вы можете быть подвергнуты пыткам :)


2
2017-09-30 09:06



Вы можете использовать Секретный обмен и разделить ключ на несколько, индивидуально бесполезных, штук, распределенных среди одинаково (неуверенных) опекунов ... - Tobias Kienzler


Я отвечаю на это, и я делаю его вики-сообществом, так как копирую и вставляя из существующего документа.

Для записи я использую Amanda Enterprise в качестве моего резервного решения, и я не использую шифрование ленты, которое оно предоставляет, по тем причинам, о которых вы упоминаете.

Я изучал шифрование на ленте, и я наткнулся на большой документ из HP, говорящий о Шифрование LTO-4, и включены многие возможности для управления ключами. Ниже приведено краткое описание доступных вариантов:

• Встроенное шифрование (иногда называемое set and forget). Этот метод контролирует шифрование LTO4 из библиотеки ленточных накопителей. Существует один ключ, который устанавливается через интерфейс управления библиотекой (Web GUO или панель управления оператора). Этот метод шифрует все ленты одним и тем же ключом, а отрицательный эффект оказывает негативное влияние на уровень безопасности.

• Шифрование на основе программного обеспечения шифрует данные до его выхода из сервера, а ключи хранятся во внутренней базе данных или в каталоге приложения. Этот метод шифрования создает большую нагрузку на сервер, поскольку программное обеспечение выполняет множество математических операций с использованием мощности обработки хоста. Несколько приложений, включая HP Open View Storage Data Protector 6.0, предлагают шифрование как функцию. Хотя безопасность даты, зашифрованная таким образом, очень высока (поскольку данные зашифрованы в пути), поскольку зашифрованные данные являются очень случайными, тогда становится невозможным добиться сжатия данных по течению в ленточном накопителе, и поэтому хранение неэффективно.

• Ключи, управляемые программным обеспечением ISV, также известные как управление внутриполосным ключом. Программное обеспечение ISV поставляет ключи и управляет ими, а ленточный накопитель Ultrium LTO4 выполняет шифрование. Ключи будут ссылаться на связанные с ключом данные и сохраняться в внутренней базе данных приложений. (Обратитесь к своему индивидуальному поставщику приложений резервного копирования ISV для поддержки этой функции).

• Встроенное устройство шифрования перехватывает каналы Fibre Channel и шифрует данные в полете. Эти продукты доступны от нескольких поставщиков, таких как Neoscale и Decru. Управление ключами осуществляется из упрочненного устройства управления ключами. Этот метод не зависит от программного обеспечения ISV и поддерживает устаревшие ленточные накопители и библиотеки. Сжатие данных должно выполняться этими устройствами, поскольку сжатие в ленточном накопителе невозможно после шифрования.

• Сетевой коммутатор SAN с возможностью шифрования аналогичен встроенному устройству, но в коммутаторе встроено аппаратное обеспечение шифрования.

• Устройство управления ключами работает с библиотеками классов предприятия, такими как библиотеки HP StorageWorks EML и ESL E-series. Он известен как управление внеполосным ключом, поскольку ключ подается на ленточный накопитель с помощью устройства управления ключами. На рисунке 8 показаны основные компоненты устройства управления ключами. Приложения резервного копирования не знают о возможности шифрования стримера. Ключи подаются на контроллер библиотеки ленты посредством сетевого подключения с использованием протокола Secure Sockets Layer (SSL), недавно переименованного в Transport Layer Security (TLS). Это зашифрованное соединение, необходимое для защиты безопасности транзитных ключей от устройства. Чтобы настроить безопасность, в аппаратное обеспечение управления библиотекой устанавливается цифровой сертификат. Это устанавливает необходимое безопасное соединение. Настройка SSL / TLS использует шифрование с открытым ключом, но после того, как рукопожатие завершено, секретный ключ переходит для шифрования ссылки. Когда ленты восстанавливаются, связанные с ключом данные (извлекаемые с ленты) используются для ссылки на запрос на правильный ключ для дешифрования ленты независимо от приложения резервного копирования.

То, что нам действительно не хватает, это, конечно, то, что делают люди в реальном мире. Белые книги велики, но это не обязательно отражает реальность.

Кроме того, я разместил этот вопрос на мой блог, поэтому могут появиться некоторые ответы или примеры.


2



+1. Из технического документа «Если в приводах включено шифрование, обмен зашифрованными данными возможен .. независимо от производителя». Таким образом, шифрование LTO4 является открытым стандартом, это хорошо. (В документе также говорится, что не все диски LTO4 поддерживают шифрование, и это шифрование не является частью стандартов LTO3 и более ранних версий). - Jesper Mortensen