我负责管理一小组笔记本电脑,并希望进行某种自动远程(通过 WAN)备份;备份将发送到 RAID 驱动器。因为我们实际上没有一个安全的保险库来存放我们所有的驱动器(如果有人愿意,他们可以砸碎窗户拿走我们的驱动器),所以我正在考虑使用加密,也许是 duplicity 之类的东西(http://duplicity.nongnu.org/)。我和几位开发人员讨论过这个问题,但他们似乎确信加密是个坏主意,因为一个坏位就可能毁掉整个块。但是,我实际上还没有听说过发生这种情况的恐怖故事。你的看法是什么?加密的好处是否大于风险?
答案1
我这样做了,而且对我来说很有效(例如,备份运行良好,并且我已经进行了多次恢复)。我使用支持它的bacula。在我看来,正确做到这一点的要点包括:
1) 解密密钥保存在 CD-R 上(未加密),而不是在我的脑子里。CD-R 有几份副本,但我都不在身边。我只需要每隔几个月恢复一次,坦率地说,我可能会忘记我很少使用的密码。这也意味着我的安全性不受容易记住的密码长度的限制。
2)备份软件需要已经支持此功能;不要开始将其侵入您最喜欢的工具,因为您可能会出错,并且您直到它的工作至关重要时才会知道(即恢复时间)。
3)你对位翻转的看法是有道理的,但位翻转可能会毁掉任何备份。每次驱动器需要时,我都会清洁磁带头,每隔几年轮换磁带,最重要的是保留大量增量。如果位翻转确实毁掉了昨天的增量,我总是可以回到前一天,这将节省我的大部分时间。
4)记录恢复过程。加密总是会让事情变得复杂,如果做得好,事情会变得更加复杂,当你面临恢复账户数据库的压力时,你不想再重新找回轮子。我写了一个简短的 README,里面有很多细节,非常具体到我的设置(一个真正的分步指南,所有路径名都明确列出,诸如此类),它被刻录到与解密密钥相同的 CD 上。
5)最重要的是,进行大量测试. 无论如何,您都应该定期测试您的恢复,但是一旦您做了类似这样的聪明事情,您就必须确信一切都在按预期运行。
这种做法的优点包括:不必担心异地存储丢失一两盘磁带,因为人都是会时不时丢失磁带的;安全销毁旧磁带很容易(扔进垃圾箱);而且,我所有的文件系统都是磁盘加密的,不会再因为隔壁的防火保险箱里有一堆未加密的备份磁带而受到破坏。
答案2
但他们似乎确信加密不是一个好主意,因为一个坏位就可能毁掉整个区块
这不是不使用加密的很好的理由。大多数压缩备份也是如此。解决这个问题的最佳方法是使用容错文件系统(容错文件格式非常少见 - 主要是因为它们不像容错文件系统那样处理那么多故障场景)。
与任何备份一样,您需要确保可以访问恢复数据所需的资源,并定期验证/运行测试恢复。
然而,丢失笔记本电脑的可能性比丢失备份服务器的可能性大得多 - 因此,如果您的数据很有价值,那么您首先要考虑的就是如何保护笔记本电脑上的数据。这可能会对您选择如何保护备份产生很大影响。
答案3
和其他备份一样,它们也有自己的优点和缺点。位翻转会毁掉一切1 的问题可以通过正确验证备份并拥有多个副本来解决(无论如何这始终是个好主意 - 一个在现场用于快速恢复,另一个在异地用于 DR 目的)。
就加密本身的好处而言,这实际上取决于备份被盗的严重程度。如今,大多数公司都拥有足够多的敏感数据,因此至少值得开展一个试点项目(以了解管理这些数据的实际问题)并对整个项目进行投资回报率分析。
- 从实际角度来说,块死在磁盘上,而不是比特上,如果你做过如果非加密备份中出现无法检测到的位翻转,那么很有可能您已经悄悄破坏了一些重要的东西。
答案4
我每晚都使用 rsync 通过 ssh 备份 100Gb 的远程网络服务器数据 - 只需几分钟即可传输差异并保持本地镜像同步。但是,这依赖于目标未加密。
一旦收到数据,就可以使用 tar 将其存档,使用 gzip 进行压缩(可选择使用 gzip -t 进行测试),然后可选择加密并使用日期重命名并存储在 raid 系统上。(我发现存储整个数据比处理增量数据更容易)。
如果 RAID 驱动器使用加密文件系统,则无需进一步加密备份。如果驱动器被盗,则它们应该无法读取,但如果他们拿走了整个系统,并且密钥随处可见,那么这就毫无意义了。
您可以单独加密文件,但它们的安全性仅与密钥的位置一样安全。
您可以根据源 IP 地址从远程 Web 服务器通过 https 提供密钥,这样,如果系统和备份被盗,您仍然可以对密钥进行一些控制,并可以及时禁用它。
始终保留多个副本,本地和远程。