Zarządzanie szyfrowaniem taśm i najlepsze praktyki

16

Chcę włączyć szyfrowanie na wszystkich moich taśmach zapasowych. Mniej więcej wiem, jak to zrobić technicznie, ale elementy proceduralne i ludzkie związane z wdrażaniem tego są trudne.

Korzystam z napędów HP LTO4 z Bacillą, która nie ma żadnych funkcji zarządzania kluczami. W rzeczywistości obsługuje szyfrowanie sprzętowe w celu wywołania zewnętrznego skryptu, który ustawia klucz na dysku przed odczytem i zapisem.

Moje pytania:

  1. Jak powinienem śledzić, które taśmy mają szyfrowanie? Mam już kilkaset taśm bez szyfrowania. Nawet jeśli poświęcę trochę czasu na przepisanie ich wszystkich za pomocą szyfrowania, w niektórych krajach nakładają się na siebie miesiące, a niektóre nie. Skąd bacula będzie wiedział, czy ustawić klucz przed przeczytaniem danej taśmy? Czy dysk jest wystarczająco inteligentny, aby odczytać niezaszyfrowane taśmy nawet po ustawieniu klucza?
  2. Jeśli klucz zostanie kiedykolwiek naruszony, będziemy musieli go zmienić i będziemy mieli ten sam problem, co numer 1.
  3. Jeśli klucz zostanie zgubiony, skutecznie utraciliśmy wszystkie nasze kopie zapasowe. Jak mogę to złagodzić bez zwiększania ryzyka naruszenia bezpieczeństwa?
  4. Czy klucz powinien się zmieniać regularnie? Raz w roku? Jaka jest najlepsza praktyka?
  5. Jak duże systemy tworzenia kopii zapasowych ISV radzą sobie z tymi problemami?
lukecyca
źródło
To są doskonałe pytania, na które również chciałbym poznać odpowiedź.
Matt Simmons,
2
Chodź, regularni awarie serwera ... Czy są tam lepsze odpowiedzi? To dobre pytanie ...
Jesper M

Odpowiedzi:

7

Bardzo dobre pytania. Ja również chciałbym zobaczyć dobre odpowiedzi od ludzi, którzy wiedzą o tym więcej niż ja. :-)

3 W przypadku zgubienia klucza skutecznie utraciliśmy wszystkie nasze kopie zapasowe

Właśnie dlatego wiele osób lub większość nie używa szyfrowanych kopii zapasowych.

Jednym z możliwych sposobów jest zbudowanie kilku „łodzi ratunkowych”, tj. Pakietów z nośnikiem instalacyjnym, nazwami użytkowników i hasłami do niezbędnych systemów, takich jak kopie zapasowe, Active Directory i inne (tj. Rzeczy, których potrzebujesz, aby załadować kopię zapasową, jeśli główna witryna została całkowicie zniszczone w pożarze, ale nie same dane kopii zapasowej). Te łodzie ratunkowe należy przechowywać bezpiecznie poza miejscem, na przykład w skarbcu bankowym lub w sejfie o wysokim poziomie bezpieczeństwa w odległym biurze z systemem alarmowym. Na koniec udokumentuj to, aby w razie potrzeby inni mogli dowiedzieć się, jak korzystać z łodzi ratunkowych po odejściu z firmy.

4 Czy klucz powinien się zmieniać regularnie? Raz w roku? Jaka jest najlepsza praktyka?

Z praktycznego punktu widzenia powiedziałbym, aby nie zmieniać kluczy, ponieważ szybko stanie się to niemożliwe do zarządzania, jeśli to zrobisz. Jeśli martwisz się, że zabezpieczenia kopii zapasowych nie są wystarczająco dobre, wzmocnij bezpieczeństwo fizyczne wokół taśm, korzystając z usług takich jak Iron Mountain lub samodzielnie budując system pamięci masowej z dobrym zabezpieczeniem fizycznym.

Wreszcie: wolałbym mieć wszystkie funkcje szyfrowania i tworzenia kopii zapasowych w jednym systemie, więc ryzyko odzyskiwania nie będzie działać. Rozumiem przez to wbudowane szyfrowanie w oprogramowaniu takim jak Retrospect lub Backup Exec, a nie szyfrowanie na poziomie dysku.

Jesper M.
źródło
2

Używam dm-crypt FS, szyfrując go długim i silnym hasłem.

Aby uniknąć utraty hasła, napisałem je na woskowanym, zapieczętowanym liście, przekazałem na własność firmy i schowałem w sejfie.

Oczywiście możesz przekazać to notariuszowi lub cokolwiek innego.

Myślę, że hasło lepiej nadaje się do tej pracy, ponieważ może to być tylko w umyśle osób upoważnionych do jego poznania, podczas gdy urządzenie cyfrowe może zostać zgubione, skradzione i tak dalej.

Oczywiście możesz być torturowany :)

drAlberT
źródło
Możesz użyć Secret Sharing i podzielić klucz na wiele, indywidualnie bezużytecznych, elementów rozdzielonych między równie (nie) godnych zaufania strażników ...
Tobias Kienzler
2

Odpowiadam na to i robię z niego wiki społeczności, ponieważ kopiuję i wklejam z istniejącego dokumentu.

Dla przypomnienia, używam Amanda Enterprise jako mojego rozwiązania do tworzenia kopii zapasowych i nie używam dostarczonego przez nią szyfrowania z tych samych powodów, o których wspominasz.

Badałem szyfrowanie taśm i natknąłem się na świetny dokument HP dotyczący szyfrowania LTO-4 , a także wiele możliwości zarządzania kluczami. Oto podstawowe podsumowanie dostępnych opcji, które są przedstawione:

• Szyfrowanie w trybie macierzystym (czasami określane jako „ustaw i zapomnij”). Ta metoda kontroluje szyfrowanie LTO4 z biblioteki napędu taśm. Istnieje jeden klucz ustawiany za pomocą interfejsu zarządzania biblioteką (GUO sieci Web lub Panel sterowania operatora). Ta metoda szyfruje wszystkie taśmy za pomocą tego samego klucza, co ma negatywny wpływ na poziom bezpieczeństwa.

• Szyfrowanie programowe szyfruje dane przed opuszczeniem serwera, a klucze są przechowywane w wewnętrznej bazie danych lub katalogu aplikacji. Ta metoda szyfrowania powoduje duże obciążenie serwera, ponieważ oprogramowanie wykonuje wiele operacji matematycznych z wykorzystaniem mocy obliczeniowej hosta. Kilka aplikacji, w tym HP Open View Storage Data Protector 6.0, oferuje szyfrowanie jako funkcję. Chociaż bezpieczeństwo zaszyfrowanej daty w ten sposób jest bardzo wysokie (ponieważ dane są szyfrowane podczas przesyłania), ponieważ zaszyfrowane dane są wysoce losowe, wówczas niemożliwe staje się osiągnięcie kompresji danych w dalszej części napędu taśmowego, a zatem pamięć jest nieefektywna.

• Klucze zarządzane przez aplikację ISV, znane również jako zarządzanie kluczami wewnątrz pasma. Oprogramowanie ISV dostarcza klucze i zarządza nimi, a następnie napęd taśmowy Ultrium LTO4 wykonuje szyfrowanie. Klucze będą odnosić się do danych powiązanych z kluczem i przechowywane w wewnętrznej bazie danych aplikacji. (Informacje na temat obsługi tej funkcji można uzyskać od indywidualnego dostawcy aplikacji do tworzenia kopii zapasowych ISV).

• Wewnątrzpasmowe urządzenie szyfrujące przechwytuje łącza Fibre Channel i szyfruje dane podczas lotu. Produkty te są dostępne od kilku dostawców, takich jak Neoscale i Decru. Zarządzanie kluczami pochodzi z hartowanego urządzenia do zarządzania kluczami. Ta metoda jest niezależna od oprogramowania ISV i obsługuje starsze napędy taśm i biblioteki. Urządzenia te muszą wykonywać kompresję danych, ponieważ kompresja w napędzie taśm nie jest możliwa po szyfrowaniu.

• Przełącznik sieci SAN z funkcją szyfrowania jest podobny do urządzenia wewnątrzpasmowego, ale sprzęt szyfrujący jest wbudowany w przełącznik.

• Urządzenie do zarządzania kluczami współpracuje z bibliotekami klasy korporacyjnej, takimi jak biblioteki HP StorageWorks EML i ESL z serii E. Jest to znane jako zarządzanie kluczem poza pasmem, ponieważ klucz jest dostarczany do napędu taśmowego przez urządzenie do zarządzania kluczami. Rysunek 8 pokazuje podstawowe elementy urządzenia do zarządzania kluczami. Aplikacje do tworzenia kopii zapasowych nie mają wiedzy na temat możliwości szyfrowania napędu taśmowego. Klucze są dostarczane do kontrolera biblioteki taśm za pośrednictwem połączenia sieciowego za pomocą Secure Sockets Layer (SSL), ostatnio przemianowanej na Transport Layer Security (TLS). Jest to szyfrowane połączenie niezbędne do ochrony bezpieczeństwa kluczy przesyłanych z urządzenia. Aby skonfigurować zabezpieczenia, certyfikat cyfrowy jest instalowany w sprzęcie do zarządzania biblioteką. Ustanawia to niezbędne bezpieczne połączenie. Konfiguracja SSL / TLS wykorzystuje szyfrowanie kluczem publicznym, ale po zakończeniu uzgadniania przekazywany jest tajny klucz do szyfrowania łącza. Po przywróceniu taśm dane powiązane z kluczem (pobrane z taśmy) służą do odwołania się do żądania poprawnego klucza do odszyfrowania taśmy niezależnie od aplikacji do tworzenia kopii zapasowych.

To, czego tak naprawdę nam brakuje, to oczywiście to, co robią ludzie w prawdziwym świecie. Oficjalne dokumenty są świetne, ale niekoniecznie odzwierciedlają rzeczywistość.

Zadałem też to pytanie na swoim blogu , więc niektóre odpowiedzi lub przykłady też mogą się tam pojawić.

Matt Simmons
źródło
+1. Z białej księgi „Tam, gdzie dyski mają włączone szyfrowanie, wymiana zaszyfrowanych danych jest… możliwa… bez względu na producenta”. Szyfrowanie LTO4 to otwarty standard, to dobrze. (Artykuł mówi również, że nie wszystkie dyski LTO4 obsługują szyfrowanie i że szyfrowanie nie było częścią LTO3 i wcześniejszych standardów.)
Jesper,