Gerenciamento de criptografia de fita e práticas recomendadas

Navegue suas respostas
16

Desejo ativar a criptografia em todas as minhas fitas de backup. Eu mais ou menos sei como fazer isso tecnicamente, mas os elementos processuais e humanos da implementação são complicados.

Eu uso discos HP LTO4 com bacula, que não tem nenhum recurso de gerenciamento de chaves. Na verdade, seu suporte para criptografia de hardware é chamar um script externo que define a chave na unidade antes de ler e gravar.

Minhas perguntas:

  1. Como devo saber quais fitas têm criptografia? Eu já tenho algumas centenas de fitas sem criptografia. Mesmo que eu tenha tempo para reescrevê-los todos com criptografia, haverá meses de sobreposição em que alguns têm e outros não. Como o bacula saberá se deve definir a chave antes de ler uma determinada fita? A unidade é inteligente o suficiente para ler fitas não criptografadas mesmo quando uma tecla está definida?
  2. Se a chave estiver comprometida, teremos que alterá-la e teremos o mesmo problema que o número 1.
  3. Se a chave for perdida, efetivamente perderemos todos os nossos backups. Como posso mitigar isso sem aumentar o risco de comprometimento?
  4. A chave deve mudar regularmente? Uma vez ao ano? Qual é a melhor prática?
  5. Como os grandes sistemas de backup de ISV lidam com esses problemas?
por lukecyca 24.09.2009 / 20:15

3 respostas

7

Muito boas perguntas. Eu também gostaria de ver boas respostas de pessoas que sabem mais sobre isso do que eu. : -)

3 If the key is lost, we've effectively lost all of our backups

Precisamente por isso, muitas ou muitas pessoas não usam backups criptografados.

Um caminho possível é construir alguns "botes salva-vidas", ou seja, pacotes com mídia de instalação, nomes de usuário e senhas para sistemas essenciais como backups, Active Directory e outros (isto é, coisas que você precisa para carregar um backup se site foi completamente destruído em um incêndio, mas não os dados de backup em si). Você deve armazenar esses botes salva-vidas de forma segura fora do local, por exemplo, em um cofre de banco ou em um cofre de alta segurança em um escritório remoto com um sistema de alarme. E, por último, documente isso, para que outros possam descobrir como usar os botes salva-vidas depois de deixar a empresa, se necessário.

4 Should the key change regularly? Once per year? What is the best practice?

De um ponto de vista prático, eu diria para não alterar as chaves, uma vez que isso se tornará incontrolável se você fizer isso. Se você está preocupado com o fato de a segurança de backup não ser boa o suficiente, reforce a segurança física em torno de suas fitas, usando um serviço como o Iron Mountain. ou através da construção de um sistema de armazenamento com boa segurança física.

Por fim: prefiro ter todas as criptografias & manipulação de backup em um sistema, então há menos risco de recuperação não funciona. Com isso, pretendo usar a criptografia integrada em softwares como o Retrospect ou o Backup Exec, em vez da criptografia no nível da unidade.

    
por 29.09.2009 / 12:24
2

Eu uso um FS dm-crypt, criptografando-o com um passfrase longo e strong.

Para evitar perder o passfrase, escrevi-o em uma carta lacrada, dei-o à propriedade da empresa e ele o armazenou em uma caixa de segurança.

Claro que você pode dar a um notário, ou o que você pensa.

Eu acho que um passfrase é melhor para este trabalho, pois pode ser apenas na mente de pessoas autorizadas a conhecê-lo, enquanto um dispositivo digital pode ser perdido, roubado e assim por diante.

Você pode ser torturado, claro:)

    
por 30.09.2009 / 11:06
2

Estou respondendo isso, e estou transformando isso em um wiki da comunidade, já que estou copiando e colando de um documento existente.

Para o registro, eu uso o Amanda Enterprise como minha solução de backup, e não uso a criptografia de fita que ele fornece, pelas mesmas razões que você mencionou.

Eu estava pesquisando criptografia de fita, e me deparei com um ótimo white paper da HP falando sobre Criptografia LTO-4 , e inclui muitas possibilidades de gerenciamento de chaves. Aqui está um resumo básico das opções disponíveis que são apresentadas:

• Native mode encryption (sometimes referred to as set and forget). This method controls the LTO4 encryption from within the tape drive library. There is one key that is set by way of the library management interface (Web GUO or Operator Control Panel). This method encrypts all tapes with the same key, with the downside of negatively impacting the security level.

• Software-based encryption encrypts the data before it leaves the server and keys are stored in the internal database or catalog of the application. This method of encryption places a high load on the server as the software performs many mathematical operations using host processing power. Several applications including HP Open View Storage Data Protector 6.0 offer encryption as a feature. Although the security of date encrypted this way is very high (as the data is encrypted in transit), because encrypted data is highly random it then becomes impossible to achieve any data compression downstream in the tape drive and therefore storage is inefficient.

• Keys managed by the ISV application, also known as in-band key management. The ISV software supplies the keys and manages them, and the Ultrium LTO4 Tape Drive then performs the encryption. Keys would be referenced by the key-associated data and stored in the applications internal database. (Please refer to your individual ISV backup application vendor for support of this functionality).

• An in-band encryption appliance intercepts the Fibre Channel links and encrypts the data in-flight. These products are available from several vendors such as Neoscale and Decru. Key management is from a hardened key management appliance. This method is independent of ISV software and supports legacy tape drives and libraries. Data compression must be performed by these devices as compression within the tape drive is not possible after encryption.

• A SAN fabric switch with encryption capability is similar to the in-band appliance, but encryption hardware is embedded in the switch.

• A Key Management Appliance works with enterprise class libraries such as the HP StorageWorks EML and ESL E-series libraries. It is known as out-of-band key management, as the key is supplied to the tape drive by the key management appliance. Figure 8 shows the basic components of a key management appliance. The backup applications have no knowledge of the encryption capability of the tape drive. The keys are supplied to the tape library controller by way of a network connection using a Secure Sockets Layer (SSL), recently renamed Transport Layer Security (TLS). This is an encrypted connection necessary to protect the security of the keys in transit from the appliance. To set up the security, a digital certificate is installed into the library management hardware. This establishes the necessary secure connection. The setup of the SSL/TLS uses public key encryption, but then after the handshake is complete, a secret key passes to encrypt the link. When tapes are restored, the key associated data, (retrieved from the tape), is used to reference the request for the correct key to decrypt the tape independent of the backup application.

O que estamos realmente perdendo é, claro, o que as pessoas no mundo real estão fazendo. Os documentos técnicos são ótimos, mas isso não reflete necessariamente a realidade.

Além disso, postei essa pergunta no meu blog , então algumas respostas ou exemplos podem aparecer lá também.

    
por 04.10.2009 / 03:57

Tags

Todos os bancos de dados MySQL foram perdidos durante a noite Como fazer upload de um diretório recursivamente para um servidor FTP usando apenas ftp ou lftp?