テープ暗号化管理とベストプラクティス

すべてのバックアップテープで暗号化を有効にします。私は多かれ少なかれこれを技術的に行う方法を知っていますが、これを実装する手続き的および人間的な要素は注意が必要です。

baculaでHP LTO4ドライブを使用しますが、baculaにはキー管理機能がありません。実際、ハードウェア暗号化のサポートは、読み取りと書き込みの前にドライブにキーを設定する外部スクリプトを呼び出すことです。

私の質問：

1. どのテープが暗号化されているかを追跡するにはどうすればよいですか？暗号化されていないテープはすでに数百本あります。暗号化ですべてを書き換えるのに時間がかかったとしても、それを持っているものと持っていないものが重複する月があります。baculaは、特定のテープを読み取る前にキーを設定するかどうかをどのように知るのでしょうか？ドライブは、キーが設定されていても暗号化されていないテープを読み取るのに十分スマートですか？
2. キーが侵害された場合、それを変更する必要があり、＃1と同じ問題が発生します。
3. キーが失われた場合、すべてのバックアップが事実上失われています。侵害されるリスクを増やすことなく、これをどのように軽減できますか？
4. キーは定期的に変更する必要がありますか？年に一度？ベストプラクティスは何ですか？
5. 大きなISVバックアップシステムは、これらの問題をどのように処理しますか？

非常に良い質問です。私も、私よりもこのことをよく知っている人々からの良い答えを見たいです。:-)

3キーが失われた場合、すべてのバックアップが事実上失われました

正確に、これが多くの人またはほとんどの人が暗号化されたバックアップを使用しない理由です。

考えられる1つの方法は、いくつかの「救命ボート」、つまり、インストールメディア、バックアップ、Active Directoryなどの重要なシステムのユーザー名とパスワード（メインサイトがバックアップされている場合にバックアップを読み込む必要があるもの）火災で完全に破壊されましたが、バックアップデータ自体は破壊されませんでした。これらの救命ボートは、たとえば銀行の金庫室、または警報システムを備えたリモートオフィスの安全性の高い金庫など、現場外で安全に保管する必要があります。最後にこれを文書化します。そうすることで、必要に応じて、退職後に救命艇を使用する方法を他の人が理解できるようになります。

4キーは定期的に変更する必要がありますか？年に一度？ベストプラクティスは何ですか？

実際的な観点からは、キーを変更しないでください。キーを変更すると、すぐに管理できなくなります。バックアップのセキュリティが十分ではないことが心配な場合は、Iron Mountainなどのサービスを使用するか、物理的なセキュリティが優れたストレージシステムを自分で構築して、テープの物理的なセキュリティを強化してください。

最後に、1つのシステムですべての暗号化とバックアップ処理を行うことを希望しているため、回復が機能しないリスクが少なくなります。これにより、ドライブレベルの暗号化ではなく、RetrospectやBackup Execなどのソフトウェアに組み込まれている暗号化を使用することになります。

私はdm-crypt FSを使用し、長く強力なパスフレーズで暗号化します。

パスフレーズの紛失を防ぐために、ワックスで封印された手紙にそれを書き、会社の所有物に渡し、彼はそれをセキュリティ用の金庫に保管しました。

もちろん、公証人、またはあなたが思うものにそれを与えることができます。

パスフロースは、この仕事に適していると思います。デジタルデバイスは紛失したり盗まれたりする可能性がある一方で、それを知っている権限のある人の心の中にしかできないからです。

もちろん、拷問を受けることができます:)

私はこれに答えています。既存のドキュメントからコピーして貼り付けているので、コミュニティWikiにしています。

記録のために、私はバックアップソリューションとしてAmanda Enterpriseを使用しますが、それが提供するテープ暗号化は、あなたが言及したまさにその理由で使用しません。

私はテープ暗号化を研究していましたが、LTO-4暗号化について話しているHPの素晴らしいホワイトペーパーに出会いました。また、キー管理の多くの可能性が含まれています。表示される利用可能なオプションの基本的な概要は次のとおりです。

•ネイティブモード暗号化（セットアンドフォーゲットとも呼ばれます）。この方法は、テープドライブライブラリ内からLTO4暗号化を制御します。ライブラリ管理インターフェース（Web GUOまたはオペレーターコントロールパネル）を介して設定されるキーが1つあります。この方法は、すべてのテープを同じキーで暗号化しますが、セキュリティレベルに悪影響を及ぼすという欠点があります。

•ソフトウェアベースの暗号化は、データがサーバーを離れる前にデータを暗号化し、キーはアプリケーションの内部データベースまたはカタログに保存されます。この暗号化方式では、ホストの処理能力を使用してソフトウェアが多くの数学演算を実行するため、サーバーに高い負荷がかかります。HP Open View Storage Data Protector 6.0を含むいくつかのアプリケーションは、機能として暗号化を提供します。この方法で暗号化された日付のセキュリティは非常に高いですが（データは転送中に暗号化されるため）、暗号化されたデータは非常にランダムであるため、テープドライブでデータ圧縮をダウンストリームで実行できなくなり、ストレージが非効率的になります。

ISVアプリケーションによって管理されるキー。インバンドキー管理とも呼ばれます。ISVソフトウェアがキーを提供して管理し、Ultrium LTO4テープドライブが暗号化を実行します。キーは、キーに関連付けられたデータによって参照され、アプリケーションの内部データベースに保存されます。（この機能のサポートについては、個々のISVバックアップアプリケーションベンダーを参照してください）。

•インバンド暗号化アプライアンスは、ファイバチャネルリンクを傍受し、飛行中のデータを暗号化します。これらの製品は、NeoscaleやDecruなどの複数のベンダーから入手できます。キー管理は、強化されたキー管理アプライアンスからのものです。この方法はISVソフトウェアに依存せず、レガシーテープドライブとライブラリをサポートします。暗号化後はテープドライブ内で圧縮できないため、これらのデバイスでデータ圧縮を実行する必要があります。

•暗号化機能を備えたSANファブリックスイッチはインバンドアプライアンスに似ていますが、暗号化ハードウェアがスイッチに組み込まれています。

•キーマネージメントアプライアンスは、HP StorageWorks EMLやESL Eシリーズライブラリなどのエンタープライズクラスライブラリと連携します。キーはキー管理アプライアンスによってテープドライブに提供されるため、帯域外キー管理と呼ばれます。図8は、キー管理アプライアンスの基本コンポーネントを示しています。バックアップアプリケーションには、テープドライブの暗号化機能に関する知識がありません。キーは、Secure Sockets Layer（SSL）を使用したネットワーク接続によってテープライブラリコントローラーに提供されます。SSLは、最近トランスポートレイヤーセキュリティ（TLS）に名前が変更されました。これは、アプライアンスから送信中のキーのセキュリティを保護するために必要な暗号化された接続です。セキュリティを設定するには、デジタル証明書をライブラリ管理ハードウェアにインストールします。これにより、必要な安全な接続が確立されます。SSL / TLSのセットアップでは公開キー暗号化が使用されますが、ハンドシェイクが完了すると、秘密キーが渡されてリンクが暗号化されます。テープが復元されると、キーに関連付けられたデータ（テープから取得）を使用して、正しいキーの要求を参照し、バックアップアプリケーションとは無関係にテープを復号化します。

私たちが本当に見逃しているのは、もちろん、現実世界の人々がしていることです。ホワイトペーパーは素晴らしいですが、それは必ずしも現実を反映しているわけではありません。

また、この質問をブログに投稿したので、いくつかの回答や例も表示される場合があります。