磁带加密管理和最佳实践

磁带加密管理和最佳实践

我想对所有备份磁带启用加密。从技术上讲,我或多或少知道如何做到这一点,但实现这一目标的程序和人为因素很棘手。

我使用 HP LTO4 驱动器和 bacula,它没有任何密钥管理功能。事实上,它对硬件加密的支持是调用一个外部脚本,该脚本在读写之前在驱动器上设置密钥。

我的问题:

  1. 我应该如何跟踪哪些磁带已加密?我已经有几百盘未加密的磁带了。即使我花时间将它们全部重写并加密,也会有几个月的重叠,有些磁带已加密,有些磁带未加密。bacula 如何知道在读取给定磁带之前是否要设置密钥?即使设置了密钥,驱动器是否足够智能以读取未加密的磁带?
  2. 如果密钥被泄露,我们就必须更改它,并且会遇到与#1 相同的问题。
  3. 如果密钥丢失,我们实际上就丢失了所有备份。我该如何缓解这种情况而不增加密钥被泄露的风险?
  4. 密钥是否应该定期更改?每年一次?最佳做法是什么?
  5. 大型 ISV 备份系统如何处理这些问题?

答案1

非常好的问题。我也希望看到比我更了解这方面的人给出好的答案。:-)

3 如果密钥丢失,我们实际上就丢失了所有的备份

确切的说,这就是为什么许多或大多数人不使用加密备份的原因。

一种可行的方法是构建几个“救生艇”,即包含安装介质、用户名和密码的软件包,用于备份、Active Directory 等基本系统(即,如果主站点在火灾中被彻底摧毁,则需要加载备份的内容,而不是备份数据本身)。您应该将这些救生艇安全地存放在场外,例如存放在银行金库中,或者存放在具有警报系统的远程办公室的高安全性保险箱中。最后记录下来,以便在您离开公司后,其他人可以在需要时弄清楚如何使用救生艇。

4 密钥是否应定期更改?每年一次?最佳做法是什么?

从实际角度来看,我想说不是更改密钥,因为如果你这样做,很快就会变得难以管理。如果你担心备份安全性不够好,那么可以使用服务来加强磁带的物理安全性例如铁山或者自己构建一个物理安全性良好的存储系统。

最后:我希望在一个系统中完成所有加密和备份处理,这样恢复失败的风险就会降低。我的意思是使用 Retrospect 或 Backup Exec 等软件中的内置加密,而不是驱动器级加密。

答案2

我使用 dm-crypt FS,用长而强的密码对其进行加密。

为了避免丢失密码,我将其写在一封蜡封信上,交给公司财产,他将其存放在一个安全保险箱中。

当然你可以把它交给公证人,或者随便你怎么想。

我认为密码更适合这项工作,因为它只能存在于有权知道它的人的脑海中,而数字设备可能会丢失、被盗等等。

当然,你可能会被折磨:)

答案3

我正在回答这个问题,并将其作为社区维基,因为我正在从现有文档中复制和粘贴。

顺便说一下,我使用 Amanda Enterprise 作为我的备份解决方案,并且我不使用它提供的磁带加密,原因正如您所说。

我正在研究磁带加密,偶然发现了 HP 的一份很棒的白皮书,其中讨论了LTO-4 加密,其中包括许多密钥管理的可能性。以下是所介绍的可用选项的基本概述:

• 本机模式加密(有时称为设置后就忘记)。此方法从磁带驱动器库内控制 LTO4 加密。有一个密钥是通过库管理界面(Web GUO 或操作员控制面板)设置的。此方法使用相同的密钥加密所有磁带,但缺点是会对安全级别产生负面影响。

• 基于软件的加密在数据离开服务器之前对其进行加密,密钥存储在应用程序的内部数据库或目录中。这种加密方法会给服务器带来很大的负载,因为软件会使用主机处理能力执行许多数学运算。包括 HP Open View Storage Data Protector 6.0 在内的多个应用程序都提供加密功能。虽然以这种方式加密的数据的安全性非常高(因为数据在传输过程中被加密),但由于加密数据的随机性很高,因此无法在磁带驱动器的下游实现任何数据压缩,因此存储效率低下。

• 由 ISV 应用程序管理的密钥,也称为带内密钥管理。ISV 软件提供密钥并对其进行管理,然后 Ultrium LTO4 磁带驱动器执行加密。密钥将由与密钥相关的数据引用并存储在应用程序内部数据库中。(请咨询您的个人 ISV 备份应用程序供应商以了解此功能的支持情况)。

• 带内加密设备拦截光纤通道链路并加密传输中的数据。这些产品可从 Neoscale 和 Decru 等多家供应商处获得。密钥管理来自强化密钥管理设备。此方法独立于 ISV 软件,并支持旧式磁带驱动器和库。数据压缩必须由这些设备执行,因为加密后无法在磁带驱动器内进行压缩。

• 具有加密功能的 SAN 结构交换机与带内设备类似,但加密硬件嵌入在交换机中。

• 密钥管理设备可与企业级库(如 HP StorageWorks EML 和 ESL E 系列库)配合使用。它被称为带外密钥管理,因为密钥由密钥管理设备提供给磁带驱动器。图 8 显示了密钥管理设备的基本组件。备份应用程序不知道磁带驱动器的加密功能。密钥通过使用安全套接字层 (SSL)(最近更名为传输层安全性 (TLS))的网络连接提供给磁带库控制器。这是一种加密连接,对于保护从设备传输的密钥的安全性必不可少。为了设置安全性,将数字证书安装到库管理硬件中。这将建立必要的安全连接。SSL/TLS 的设置使用公钥加密,但在握手完成后,将传递一个密钥来加密链接。恢复磁带时,密钥相关数据(从磁带中检索)用于引用正确密钥的请求,以独立于备份应用程序解密磁带。

当然,我们真正缺少的是现实世界中的人们在做什么。白皮书很棒,但它并不一定反映现实。

另外,我发布了这个问题我的博客,因此一些答案或例子也可能会出现在那里。

相关内容