Saya ingin mengaktifkan enkripsi pada semua kaset cadangan saya. Saya lebih atau kurang tahu bagaimana melakukan ini secara teknis, tetapi elemen prosedural dan manusia dari penerapan ini rumit.
Saya menggunakan drive HP LTO4 dengan bacula, yang tidak memiliki fitur manajemen kunci. Bahkan, dukungannya untuk enkripsi perangkat keras adalah untuk memanggil skrip eksternal yang menetapkan kunci pada drive sebelum membaca dan menulis.
Pertanyaan saya:
- Bagaimana saya harus melacak rekaman mana yang memiliki enkripsi? Saya sudah memiliki beberapa ratus kaset tanpa enkripsi. Bahkan jika saya meluangkan waktu untuk menulis ulang semuanya dengan enkripsi, akan ada berbulan-bulan tumpang tindih di mana beberapa memilikinya dan beberapa tidak. Bagaimana bacula tahu apakah akan mengatur kunci sebelum membaca kaset yang diberikan? Apakah drive cukup pintar untuk membaca kaset tidak terenkripsi bahkan ketika kunci diatur?
- Jika kunci pernah dikompromikan, kita harus mengubahnya dan kita akan memiliki masalah yang sama dengan # 1.
- Jika kuncinya hilang, kami telah kehilangan semua cadangan kami secara efektif. Bagaimana saya bisa mengurangi ini tanpa meningkatkan risiko itu dikompromikan?
- Haruskah kuncinya berubah secara teratur? Sekali setahun? Apa praktik terbaik?
- Bagaimana sistem cadangan ISV besar menangani masalah ini?
backup
encryption
tape
bacula
lukecyca
sumber
sumber
Jawaban:
Pertanyaan yang sangat bagus Saya juga ingin melihat jawaban yang baik dari orang-orang yang tahu lebih banyak tentang ini daripada saya. :-)
Tepatnya, itulah sebabnya banyak atau kebanyakan orang tidak menggunakan cadangan terenkripsi.
Salah satu cara yang mungkin untuk dilakukan adalah dengan membangun beberapa "sekoci", yaitu paket dengan media instal, nama pengguna dan kata sandi untuk sistem penting seperti cadangan, Direktori Aktif dan lainnya (yaitu hal-hal yang Anda perlu memuat cadangan jika situs utama telah benar-benar hancur dalam kebakaran, tetapi bukan data cadangan itu sendiri). Anda harus menyimpan sekoci ini dengan aman di luar lokasi, misalnya di brankas bank, atau di brankas keamanan tinggi di kantor jauh dengan sistem alarm. Dan terakhir dokumentasikan ini, sehingga orang lain dapat mengetahui cara menggunakan sekoci setelah Anda meninggalkan perusahaan, jika diperlukan.
Dari sudut pandang praktis, saya akan mengatakan untuk tidak mengubah kunci, karena dengan cepat menjadi tidak terkendali jika Anda melakukannya. Jika Anda khawatir tentang keamanan cadangan tidak cukup baik, maka tingkatkan keamanan fisik di sekitar kaset Anda, dengan menggunakan layanan seperti Iron Mountain , atau dengan membangun sistem penyimpanan dengan keamanan fisik yang baik sendiri.
Terakhir: Saya lebih suka memiliki semua enkripsi & penanganan cadangan dalam satu sistem, sehingga ada risiko pemulihan yang lebih rendah. Maksud saya menggunakan enkripsi bawaan dalam perangkat lunak seperti Retrospect atau Backup Exec, daripada enkripsi tingkat drive.
sumber
Saya menggunakan dm-crypt FS, mengenkripsi dengan passfrase yang panjang dan kuat.
Untuk menghindari kehilangan frasa sandi, saya menulisnya pada surat yang disegel lilin, memberikannya ke properti perusahaan dan dia menyimpannya di kotak keamanan.
Tentu saja Anda bisa memberikannya kepada notaris, atau apa pun yang Anda pikirkan.
Saya pikir frasa sandi lebih baik untuk pekerjaan ini, karena hanya dapat diingat oleh orang yang berwenang untuk mengetahuinya, sementara perangkat digital dapat hilang, dicuri, dan sebagainya.
Anda bisa disiksa, tentu saja :)
sumber
Saya menjawab ini, dan saya membuatnya menjadi wiki komunitas, karena saya menyalin dan menempel dari dokumen yang ada.
Sebagai catatan, saya menggunakan Amanda Enterprise sebagai solusi cadangan saya, dan saya tidak menggunakan enkripsi rekaman yang disediakannya, karena alasan yang Anda sebutkan.
Saya sedang meneliti enkripsi pita, dan saya menemukan kertas putih besar dari HP berbicara tentang enkripsi LTO-4 , dan termasuk banyak kemungkinan untuk manajemen kunci. Berikut ini ikhtisar dasar dari opsi yang tersedia yang disajikan:
Apa yang benar-benar kita lewatkan adalah, tentu saja, apa yang dilakukan orang di dunia nyata. Buku putih itu bagus, tapi itu tidak selalu mencerminkan kenyataan.
Juga, saya memposting pertanyaan ini di blog saya , jadi beberapa jawaban atau contoh mungkin muncul di sana juga.
sumber