磁带加密管理和最佳实践

我想在所有备份磁带上启用加密。我或多或少都知道如何从技术上做到这一点，但是实现这一点的程序和人为因素却很棘手。

我将HP LTO4驱动器与bacula一起使用，该驱动器没有任何密钥管理功能。实际上，它对硬件加密的支持是调用外部脚本，该脚本在读写之前在驱动器上设置密钥。

我的问题：

1. 我应该如何跟踪已加密的磁带？我已经有几百个没有加密的磁带。即使我花时间用加密将它们全部重写，也会有几个月的重叠，有些重叠，有些没有。bacula如何在读取给定磁带之前知道是否设置密钥？即使设置了密钥，驱动器是否也足够智能以读取未加密的磁带？
2. 如果密钥被泄露，我们将不得不对其进行更改，并且将遇到与＃1相同的问题。
3. 如果密钥丢失，我们实际上将丢失所有备份。我该如何减轻这种情况而又不增加受到损害的风险？
4. 钥匙应该定期更换吗？每年一次？最佳做法是什么？
5. 大型ISV备份系统如何处理这些问题？

很好的问题。我也想从比我更了解这一点的人们那里得到很好的答案。:-)

3如果密钥丢失，我们实际上已经丢失了所有备份

正是这就是为什么许多人或大多数人不使用加密备份的原因。

一种可行的方法是构建几个“救生艇”，即包含基本系统（如备份，Active Directory等）的安装媒体，用户名和密码的软件包（即，如果主站点位于完全销毁，但备份数据本身没有被销毁）。您应将这些救生艇安全地存放在异地，例如，在银行保险库中，或在带警报系统的远程办公室中的高安全保险箱中。最后记录下来，以便其他人可以在您离开公司后弄清楚如何使用救生艇（如果需要）。

4钥匙应该定期更换吗？每年一次？最佳做法是什么？

从实际的角度来看，我会说不要更改密钥，因为如果这样做，它很快就会变得难以管理。如果您担心备份安全性不够好，请通过使用Iron Mountain之类的服务或自己构建具有良好物理安全性的存储系统来增强磁带周围的物理安全性。

最后：我希望将所有加密和备份处理都放在一个系统中，这样可以降低恢复失败的风险。我的意思是在诸如Retrospect或Backup Exec之类的软件中使用内置加密，而不是驱动器级加密。

我使用了dm-crypt FS，并使用了长期而强大的passfrase对其进行了加密。

为了避免丢失密码，我在蜡封信上写了密码，将其交给公司财产，然后他将其存储在安全保险箱中。

当然，您可以将其交给公证人，也可以随心所欲。

我认为passfrase可以更好地完成这项工作，因为只有在获授权的人心中才知道密码，而数字设备却可能会丢失，被盗等。

当然，您可能会受到折磨:)

我正在回答这个问题，并且正在使它成为社区Wiki，因为我是在现有文档中进行复制和粘贴。

作为记录，出于您提到的原因，我将Amanda Enterprise用作备份解决方案，并且不使用它提供的磁带加密。

我当时正在研究磁带加密，并且从惠普公司获得了一份很棒的白皮书，其中涉及LTO-4加密，其中包括密钥管理的许多可能性。这是显示的可用选项的基本清单：

•纯模式加密（有时称为“设置并忘记”）。此方法从磁带机库中控制LTO4加密。通过库管理界面（Web GUO或操作员控制面板）可以设置一个键。此方法使用相同的密钥加密所有磁带，但不利之处在于会对安全级别产生负面影响。

•基于软件的加密在数据离开服务器之前将其加密，并且密钥存储在内部数据库或应用程序目录中。由于软件使用主机处理能力执行许多数学运算，因此这种加密方法给服务器带来了沉重的负担。包括HP Open View Storage Data Protector 6.0在内的多个应用程序均提供加密功能。尽管以这种方式加密的日期的安全性很高（因为数据在传输过程中是加密的），但由于加密的数据是高度随机的，因此无法在磁带驱动器的下游实现任何数据压缩，因此存储效率很低。

•由ISV应用程序管理的密钥，也称为带内密钥管理。ISV软件提供并管理密钥，然后由Ultrium LTO4磁带机执行加密。密钥将由与密钥相关的数据引用，并存储在应用程序内部数据库中。（有关此功能的支持，请咨询您的各个ISV备份应用程序供应商。）

•带内加密设备拦截光纤通道链接并在运行中加密数据。这些产品可从Neoscale和Decru等多家供应商处获得。密钥管理来自强化的密钥管理设备。此方法独立于ISV软件，并支持旧式磁带驱动器和库。这些设备必须执行数据压缩，因为加密后无法在磁带机内进行压缩。

•具有加密功能的SAN结构交换机类似于带内设备，但是加密硬件已嵌入在交换机中。

•密钥管理设备可与企业级库一起使用，例如HP StorageWorks EML和ESL E系列库。这被称为带外密钥管理，因为密钥是由密钥管理设备提供给磁带机的。图8显示了密钥管理设备的基本组件。备份应用程序不了解磁带机的加密功能。密钥通过使用安全套接字层（SSL）（最近重命名为传输层安全性（TLS））的网络连接提供给磁带库控制器。这是保护从设备传输的密钥安全所必需的加密连接。为了设置安全性，将数字证书安装到库管理硬件中。这将建立必要的安全连接。SSL / TLS的设置使用公共密钥加密，但是在握手完成之后，将传递一个秘密密钥来加密链接。还原磁带后，密钥相关数据（从磁带中检索）将用于引用对正确密钥的请求，以独立于备份应用程序解密磁带。

当然，我们真正缺少的是现实世界中人们在做什么。白皮书很棒，但这并不一定反映现实。

另外，我在博客上发布了这个问题，所以那里也可能出现一些答案或示例。