Czy zaszyfrowane kopie zapasowe są dobrym pomysłem?

23

Jestem odpowiedzialny za niewielki zestaw laptopów i chciałem uruchomić jakieś automatyczne zdalne kopie zapasowe (przez sieć WAN); kopie zapasowe byłyby przesyłane na dysk RAID. Ponieważ tak naprawdę nie mamy bezpiecznego skarbca do przechowywania wszystkich naszych dysków (gdyby ktoś chciał, mogliby rozbić okna i zabrać nasze dyski), rozważałem użycie szyfrowania, może coś w rodzaju duplikatu ( http: //duplicity.nongnu .org / ). Omówiłem to z kilkoma programistami, ale wydaje się, że są przekonani, że szyfrowanie jest złym pomysłem, ponieważ pojedynczy zły bit może zepsuć cały blok. Jednak tak naprawdę nie słyszałem o żadnych horrorach, w których to się wydarzyło. Jakie jest Twoje zdanie? Czy korzyści przewyższają ryzyko związane z szyfrowaniem?

szyfrowanie kopii zapasowych
źródło
3
Jako ktoś, kto właśnie stracił sporo danych z powodu zaszyfrowanej kopii zapasowej, w której byłem pewien , że zapamiętam hasło, powstrzymam się od odpowiedzi. Klucze szyfrujące to nie żart, pamięć długoterminowa to zabawna rzecz.
Joris,
5
@Joris - Dlatego nigdy nie należy ufać pamięci. Dokument! Lubię myśleć (no, nie do końca, ale rozumiesz) o tym, co by się stało, gdybym został potrącony przez autobus (lub awansowany lub oderwany z dowolnego powodu).
Jason Berg,
Zadawanie rozsądnych pytań jest dobrym pomysłem.
poige
1
nigdy też nie lekceważ zakresu pamięci fizycznego sejfu :-)
Sirex,

Odpowiedzi:

22

Robię to i działa dla mnie (jak w, kopie zapasowe działają dobrze, a ja wykonałem kilka przywracania). Używam pałeczki, która ją obsługuje. Do moich pieniędzy, wskazówki dotyczące uzyskania tego prawa obejmują:

1) Klucz deszyfrujący jest przechowywany (niezaszyfrowany) na płycie CD-R, nie w mojej głowie. Jest kilka kopii CD-R i żadnej z nich nie ma przy mnie. Muszę tylko przywracać dane raz na kilka miesięcy i szczerze mówiąc prawdopodobnie zapomnę hasła, którego tak rzadko używałem. Oznacza to również, że moje bezpieczeństwo nie jest ograniczone długością niezapomnianego hasła.

2) Oprogramowanie do tworzenia kopii zapasowych musi już to obsługiwać; nie zaczynaj hakować tego w swoim ulubionym narzędziu, ponieważ możesz się pomylić i nie będziesz wiedział, dopóki nie będzie konieczne, aby działało (tj. przywracało czas).

3) Masz rację co do odwracania bitów, ale mogą one zniszczyć każdą kopię zapasową. Czyszczę głowice za każdym razem, gdy napęd tego zażąda, obracam taśmy co kilka lat, a przede wszystkim zachowuję wiele przyrostów. Jeśli bit-flip naprawdę zrujnował wczorajszy przyrost, zawsze mogę wrócić do poprzedniego dnia, co uratuje większość mojego tyłka.

4) Dokumentuj procedurę przywracania . Szyfrowanie zawsze komplikuje sprawy, a nawet więcej, jeśli jest wykonane dobrze i nie musisz ponownie odkrywać koła, gdy jesteś pod presją, aby odzyskać bazę danych kont. Napisałem krótki plik README z dużą ilością szczegółów, które są bardzo specyficzne dla mojej konfiguracji (prawdziwy przewodnik krok po kroku, wszystkie nazwy ścieżek wyraźnie wymienione, tego rodzaju rzeczy) i jest nagrany na te same dyski CD co klucze deszyfrowania.

5) Przede wszystkim dużo przetestuj . W każdym razie powinieneś regularnie testować swoje przywracania, ale gdy zrobisz coś tak mądrego, staje się absolutnie niezbędne, aby mieć pewność, że wszystko działa tak, jak powinno.

Zalety wynikające z tej praktyki obejmują brak konieczności dbania o to, gdy miejsce przechowywania poza siedzibą straci taśmę lub dwie, ponieważ - będąc tylko ludźmi - robią to od czasu do czasu; bezpieczne niszczenie starych taśm jest łatwe (wrzuć do kosza); a szyfrowanie wszystkich moich systemów plików na dysku nie jest już zagrożone przez posiadanie stosu niezaszyfrowanych taśm zapasowych w ognioodpornym budynku obok.

MadHatter obsługuje Monikę
źródło
4
Duży +1 przywracania dokumentacji i testowania przywraca.
andol
1
+1 nie może kłaść wystarczającej ilości dokumentacji i testów. Ktoś mi kiedyś powiedział, że to nie działa, dopóki go nie przetestujesz. Dotyczy to tym bardziej kopii zapasowych.
Nixphoe,
Ponadto, w większości trybów szyfrowania CTR, odrobina odwrócenia wpłynie tylko na ten pojedynczy blok danych. Reszta kopii zapasowej powinna być w porządku.
Jeff Ferland,
4

ale wydają się przekonani, że szyfrowanie to zły pomysł, ponieważ pojedynczy zły bit może zepsuć cały blok

To nie jest zbyt dobry powód, aby nie używać szyfrowania. To samo dotyczy większości skompresowanych kopii zapasowych. Najlepszym sposobem rozwiązania tego problemu byłoby użycie systemu plików odpornego na awarie (formaty plików odporne na awarie są bardzo cienkie w terenie - głównie dlatego, że nie radzą sobie z tyloma scenariuszami awarii, co systemy plików odporne na awarie).

Podobnie jak w przypadku każdej kopii zapasowej, musisz zapewnić dostęp do zasobów potrzebnych do przywrócenia danych oraz okresową weryfikację / uruchamianie przywracania testowego.

Jednak znacznie bardziej prawdopodobne jest, że stracisz laptopa niż serwer zapasowy - więc jeśli twoje dane są cenne, pierwszym portem połączenia powinno być ustalenie, jak zabezpieczyć dane na laptopie. Będzie to prawdopodobnie miało duży wpływ na wybór sposobu zabezpieczenia kopii zapasowej.

symcbean
źródło
3

Mają swoje zalety i wady, jak każdy inny. Problem polegający na tym, że bit-flips rujnuje wszystko 1, można obejść, odpowiednio weryfikując kopie zapasowe i mając więcej niż jedną kopię (co i tak zawsze jest dobrym pomysłem - jedna na stronie do szybkiego przywracania, a druga na zewnątrz do celów odzyskiwania po awarii ).

Jeśli chodzi o zalety samego szyfrowania, tak naprawdę sprowadza się to do tego, jak źle byłoby, gdyby kopie zapasowe zostały skradzione. Większość firm ma obecnie dość krytycznie wrażliwych danych, że warto przynajmniej przeprowadzić projekt pilotażowy (aby dowiedzieć się o praktycznych kwestiach związanych z zarządzaniem tą rzeczą) i przeprowadzić analizę ROI całości.


  1. Pactically mówiąc, bloki umrzeć w dyskach, nie bity, a jeśli nie ma niewykrywalny Bit-flipa w nie-szyfrowane zapasowych szanse są to prawdopodobnie uszkodzona coś cicho i tak ważne.
womble
źródło
2

Używam rsync over ssh do tworzenia kopii zapasowych 100 Gb danych zdalnego serwera WWW każdej nocy - przesłanie różnic zajmuje kilka minut i synchronizacja lokalnego serwera lustrzanego. Zależy to jednak od tego, czy miejsce docelowe nie jest szyfrowane.

Po otrzymaniu danych można je zarchiwizować za pomocą tar, skompresować za pomocą gzip (opcjonalnie przetestować za pomocą gzip -t), a następnie opcjonalnie zaszyfrować i zmienić nazwę z datą i zapisać w systemie raid. (Uważam, że łatwiej jest przechowywać całość niż bałagan z przyrostami).

Jeśli dysk rajdowy korzysta z zaszyfrowanego systemu plików, dalsze szyfrowanie kopii zapasowych nie powinno być konieczne. Jeśli dyski zostaną skradzione, powinny pozostać nieczytelne, ale jeśli zajmą cały system, a klucz jest dostępny w dowolnym miejscu, jest to kwestia sporna.

Możesz szyfrować pliki indywidualnie, ale ich bezpieczeństwo jest tak bezpieczne, jak lokalizacja klucza.

Możesz podać klucz nad https ze zdalnego serwera jako funkcję źródłowego adresu IP, w ten sposób, jeśli system i kopie zapasowe zostały skradzione, nadal możesz mieć kontrolę nad kluczem i można go z czasem wyłączyć.

Zawsze przechowuj wiele kopii, lokalnie i zdalnie.

Andy Lee Robinson
źródło