Os backups criptografados são uma boa ideia?

23

Estou encarregado de um pequeno conjunto de laptops e queria fazer algum tipo de backup remoto automatizado (sobre WAN); os backups estariam indo para uma unidade RAID. Porque nós realmente não temos um cofre seguro para manter todas as nossas unidades (se alguém quisesse, eles poderiam quebrar as janelas e pegar nossas unidades), eu estava pensando em usar criptografia, talvez algo como duplicidade ( link ). Eu discuti isso com alguns dos desenvolvedores, mas eles parecem convencidos de que a criptografia é uma má ideia, porque um único bit ruim poderia arruinar todo o bloco. No entanto, eu não tenho ouvido falar de histórias de terror onde isso aconteceu. Qual a sua opinião? Os benefícios superam os riscos com criptografia?

    
por encryptbackup 10.08.2011 / 06:32

4 respostas

22

Eu faço isso, e funciona para mim (como em, os backups funcionam bem e eu fiz várias restaurações). Eu uso bacula, que suporta isso. Por meu dinheiro, os indicadores para acertar isso incluem:

1) A chave de descriptografia é mantida (não criptografada) em um CD-R, não na minha cabeça. Existem várias cópias do CD-R, e nenhuma delas está comigo. Eu só preciso fazer restaurações uma vez a cada poucos meses e, francamente, eu provavelmente esqueceria uma senha que eu usava com pouca frequência. Isso também significa que minha segurança não é limitada pela duração de uma frase-senha memorável.

2) O software de backup precisa suportar isso já; não comece a hackear isso na sua ferramenta favorita, porque você pode errar e não saberá até que seja vital que funcione (ou seja, restaure o tempo).

3) Você tem um ponto sobre bit-flips, mas esses podem arruinar qualquer backup. Limpo as cabeças de fita toda vez que a unidade solicita, giro as fitas a cada poucos anos e, acima de tudo, mantenho vários incrementais. Se um bit-flip realmente arruinou o incremento de ontem, eu posso sempre voltar ao dia anterior, o que salvará a maior parte do meu bumbum.

4) Documente o procedimento de restauração . A criptografia sempre complica as coisas, mais se for bem feita, e você não quer ter que redescobrir a roda quando estiver sob pressão para recuperar o banco de dados de contas. Eu escrevi um breve README com muitos detalhes que são muito específicos da minha configuração (um guia passo-a-passo, todos os nomes de caminho explicitamente listados, esse tipo de coisa) e ele é gravado nos mesmos CDs das chaves de descriptografia.

5) Acima de tudo, teste muito . Você deve estar testando suas restaurações regularmente de qualquer maneira, mas uma vez que você tenha feito algo inteligente como esse, torna-se absolutamente crítico que você tenha confiança de que as coisas estão funcionando como deveriam.

Os profissionais que surgem desta prática incluem não ter que se importar quando o armazenamento externo perde uma fita ou duas, como - sendo apenas humano - eles fazem de tempos em tempos; destruir com segurança as fitas antigas é fácil (jogar no lixo); e ter todos os meus sistemas de arquivos criptografados no disco não é mais prejudicado por ter uma pilha de fitas de backup não criptografadas no incêndio seguro ao lado.

    
por 10.08.2011 / 09:01
4

but they seem convinced that encryption is a bad idea because a single bad bit could ruin the whole block

Essa não é uma boa razão para não usar criptografia. O mesmo é verdadeiro para a maioria dos backups compactados. A melhor maneira de resolver o problema seria usar um sistema de arquivos tolerante a falhas (formatos de arquivo tolerantes a falhas são muito finos no solo - principalmente porque eles não lidam com tantos cenários de falha quanto sistemas de arquivos tolerantes a falhas).

Como em qualquer backup, você precisa garantir que pode acessar os recursos necessários para restaurar os dados e verificar / executar periodicamente as restaurações de teste.

No entanto, é muito mais provável que você perca um laptop do que um servidor de backup. Assim, se seus dados forem valiosos, seu primeiro ponto de chamada deve ser descobrir como proteger os dados no laptop. Isso provavelmente terá muito impacto na escolha de como proteger o backup.

    
por 10.08.2011 / 10:31
3

Eles têm seus benefícios e desvantagens, como qualquer outro. O problema com bit-flips arruinando tudo 1 pode ser contornado verificando corretamente os backups, e tendo mais de uma cópia (o que é sempre uma boa idéia de qualquer maneira - uma no local para restauração rápida e um fora do local para fins de DR).

No que diz respeito aos benefícios da criptografia, tudo se resume a quão ruim seria se os backups fossem roubados. A maioria das empresas hoje em dia tem dados críticos suficientes de que vale a pena pelo menos fazer um projeto piloto (para aprender sobre as questões práticas de como gerenciar a coisa) e fazer uma análise do ROI sobre a coisa toda.

  1. Pactically falando, blocos morrem em discos, não bits, e se você fez tem um bit-flip indetectável em um backup não-criptografado chances são provavelmente você silenciosamente corrompido algo importante de qualquer maneira.
por 10.08.2011 / 06:42
2

Eu uso o rsync sobre o ssh para fazer backup de 100Gb de dados de servidores remotos toda noite - leva apenas alguns minutos para transferir diferenças e manter um espelho local em sincronia. No entanto, isso depende do destino não ser criptografado.

Uma vez que os dados foram recebidos, eles podem ser arquivados usando tar, compactados com gzip, (opcionalmente testados com gzip -t) e então opcionalmente criptografados e renomeados com a data e armazenados em um sistema raid. (Achei mais fácil armazenar a coisa toda do que mexer com incrementais).

Se a unidade de ataque usar um sistema de arquivos criptografado, não será necessário criptografar ainda mais os backups. Se as unidades forem roubadas, elas devem permanecer ilegíveis, mas se elas levarem todo o sistema e a chave estiver disponível em qualquer lugar, então é um ponto discutível.

Você pode criptografar os arquivos individualmente, mas a segurança deles é tão segura quanto a localização da chave.

Você poderia exibir a chave por meio de https de um servidor remoto como uma função do endereço IP de origem; assim, se o sistema e os backups forem roubados, você ainda poderá ter algum controle sobre a chave e desativá-la a tempo. / p>

Sempre mantenha várias cópias, local e remotamente.

    
por 10.08.2011 / 09:09