服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 磁带encryptionpipe理和最佳实践
Intereting Posts
将操作系统从RAID5arrays移到RAID 1arrays batch file输出问题 Juniper J4350出现故障 Ubuntu如何检测OOM杀手是否运行 XenServer IP故障转移OVH不起作用 克龙工作继续运行! sbsnetworking上的XP客户端对特定网站的访问权限有限或无法访问,赢了7 POP / IMAP受到攻击的服务器:有哪些风险和如何保护? 将Windows 7虚拟PC转换为Windows 8 Hyper-V 如何通过IP查找给定端口和时间段的TCP连接总数? 廉价的缩放技术使用开源软件 Vsftpd访问过万 正向查找区域问题 使用SSL的IIS网站的多个域名 我可以相信在Linux和FreeBSD之间ZFS是一致的吗?

磁带encryptionpipe理和最佳实践

我想在所有备份磁带上启用encryption。 我或多或less知道如何在技术上做到这一点,但是实现这一点的程序和人力因素是棘手的。

我使用带有bacula的HP LTO4驱动器,它没有任何密钥pipe理function。 实际上,它对硬件encryption的支持是在读写之前调用外部脚本来设置驱动器上的密钥。

我的问题:

  1. 我应该如何跟踪哪些磁带有encryption? 我已经有几百个没有encryption的磁带了。 即使我花时间用encryption来重新编写它们,也会有几个月的重叠,有些有重叠,有些则没有重叠。 在阅读给定的录像带之前,bacula如何知道是否设定了密钥? 即使设置了密钥,驱动器是否足够聪明以读取未encryption的磁带?
  2. 如果关键是妥协,我们将不得不改变它,我们将有#1相同的问题。
  3. 如果密钥丢失,我们实际上已经丢失了所有的备份。 我怎样才能减轻这个风险而不增加风险呢?
  4. 钥匙是否应该定期更换? 每年一次? 最佳做法是什么?
  5. 大型ISV备份系统如何处理这些问题?

很好的问题。 我也希望看到比我更了解这方面的人的好的答案。 🙂

3如果密钥遗失,我们实际上已经丢失了所有的备份

确切地说,这就是为什么许多或大多数人不使用encryption备份。

一个可能的方法是build立一些“救生艇”,即包含安装介质,用户名和密码,用于备份,活动目录等其他重要系统(即,如果主站点已经加载备份在火灾中完全被摧毁,而不是备份数据本身)。 您应该将这些救生艇安全地存放在远离办公室的地方,例如在银行保险库内,或者在具有警报系统的远程办公室的高安全保险箱内。 最后logging下来,以便其他人可以在你离开公司后如何使用救生艇,如果需要的话。

4密钥是否应定期更换? 每年一次? 最佳做法是什么?

从实际的angular度来看,我会说不要改变钥匙,因为如果你这样做,很快就变得难以pipe理。 如果您担心备份安全性不够好,那么可以通过使用Iron Mountain等服务来增强磁带的物理安全性,或者通过自己构build具有良好物理安全性的存储系统。

最后:我宁愿在一个系统中进行所有的encryption和备份处理,所以减less恢复无效的风险。 我的意思是在Retrospect或Backup Exec等软件中使用内置encryption,而不是驱动级encryption。

我用一个dm-crypt FS,用一个长而强的passfraseencryption它。

为了避免丢失密码,我把它写在一封蜡封信上,交给公司财产,他把它存储在一个安全的保险箱里。

当然你可以把它交给公证人,或者你想的任何东西。

我认为passfrase对这项工作比较好,因为只有在有权知道的人的脑海中,数字设备才会丢失,被盗等等。

你当然可以受到折磨:)

我正在回答这个问题,而且我正在把它变成一个社区维基,因为我正在复制和粘贴一个现有的文档。

为了logging,我使用Amanda Enterprise作为我的备份解决scheme,并且我没有使用它提供的磁带encryption,这是因为您提到的原因。

我正在研究磁带encryption,而且我遇到了惠普公司关于LTO-4encryption的一个很棒的白皮书,其中包括许多关键pipe理的可能性。 以下是可用选项的基本概要:

•本地模式encryption(有时称为“设置并忘记”)。 此方法控制磁带驱动器库中的LTO4encryption。 有一个密钥是通过图书馆pipe理界面(Web GUO或操作员控制面板)设置的。 此方法使用相同的密钥encryption所有磁带,对安全级别有负面影响。

•基于软件的encryption在数据离开服务器之前对数据进行encryption,密钥存储在应用程序的内部数据库或目录中。 由于软件使用主机处理能力执行许多math操作,因此这种encryption方法给服务器带来了高负载。 包括HP Open View Storage Data Protector 6.0在内的多个应用程序提供encryptionfunction。 尽pipe以这种方式encryption的数据的安全性非常高(因为数据在传输中被encryption),因为encryption的数据是高度随机的,所以不可能在磁带驱动器的下游实现任何数据压缩,因此存储是低效的。

•由ISV应用程序pipe理的密钥,也称为带内密钥pipe理。 ISV软件提供密钥并进行pipe理,然后Ultrium LTO4磁带机执行encryption。 密钥将被密钥关联数据引用并存储在应用程序内部数据库中。 (请参阅您的个人ISV备份应用程序供应商支持此function)。

•带内encryption设备拦截光纤通道链路并encryption数据。 这些产品可以从几个供应商,如Neoscale和Decru。 密钥pipe理来自一个强化的密钥pipe理设备。 此方法独立于ISV软件,并支持传统磁带驱动器和库。 数据压缩必须由这些设备执行,因为在encryption后磁带驱动器内的压缩是不可能的。

•具有encryptionfunction的SAN光纤交换机与带内设备类似,但encryption硬件已embedded到交换机中。

•密钥pipe理设备可与企业级类库(如HP StorageWorks EML和ESL E系列库)配合使用。 它被称为带外密钥pipe理,因为密钥由密钥pipe理设备提供给磁带驱动器。 图8显示了密钥pipe理设备的基本组件。 备份应用程序不知道磁带驱动器的encryptionfunction。 通过使用最近更名为传输层安全性(TLS)的安全套接字层(SSL)的networking连接将密钥提供给磁带库控制器。 这是encryption连接,以保护从设备传输的密钥的安全性。 为了设置安全性,将数字证书安装到图书馆pipe理硬件中。 这build立了必要的安全连接。 SSL / TLS的设置使用公共密钥encryption,但握手完成后,密钥通过encryption链接。 当磁带恢复时,(从磁带检索的)关键数据被用来引用对正确密钥的请求,以解密独立于备份应用程序的磁带。

当然,真正缺失的是现实世界中的人们在做什么。 白皮书是伟大的,但这并不一定反映现实。

另外,我把这个问题发布在我的博客上 ,所以有些答案或者例子也可能出现在那里。