三、加密密鑰
服務密鑰
會話密鑰
最底層的加密密鑰,對單個檔案中的每個資料塊加密
如上圖中,三個備份檔案使用三個不同的會話密鑰加密
中繼資料密鑰
會話密鑰僅僅用于加密備份檔案或備份歸檔的資料塊,相應的中繼資料使用獨立的中繼資料密鑰加密
對于每個任務會話,生成一個新的中繼資料密鑰
如上圖中,三個中繼資料檔案使用三個不同的中繼資料密鑰加密
存儲密鑰
加密過程中,會話密鑰和中繼資料密鑰使用更高一層的密鑰—存儲密鑰進行加密。會話密鑰和中繼資料密鑰的密文被緊挨着加密資料塊儲存。(此處翻譯可能存在歧義)
中繼資料密鑰另外還會儲存在配置資料庫中。
備份鍊中的備份檔案通常需要進行轉換,例如建立反向增量備份鍊。當Veeam Backup & Replication轉換全備份檔案時,它将資料塊從多個還原點寫入全備份檔案。是以,全備份檔案包含在不同作業會話中使用不同會話密鑰加密的資料塊。
要從這樣的“組合”備份檔案中恢複資料,Veeam backup & Replication将需要一堆會話密鑰。例如,如果備份鍊包含兩個月的恢複點,Veeam backup & Replication将必須儲存兩個月的會話密鑰。
在這種情況下,存儲和處理會話密鑰将消耗資源,而且很複雜。為了簡化加密過程,Veeam Backup & Replication引入了另一種類型的服務密鑰——存儲密鑰。
對于存儲密鑰,Veeam Backup & Replication使用AES算法。存儲密鑰直接與備份鍊中的一個恢複點關聯。存儲密鑰用于加密以下密鑰:
- 一個還原點中所有資料塊的所有會話密鑰
- 一個還原點中的中繼資料密鑰
在恢複過程中,無論使用多少會話密鑰加密這個恢複點中的資料塊,Veeam Backup & Replication使用一個存儲密鑰解密一個恢複點的所有會話密鑰。是以,Veeam Backup & Replication不需要在配置資料庫中儲存會話密鑰曆史。相反,它隻需要一個存儲密鑰就可以從一個檔案中恢複資料。
在加密過程中,存儲密鑰是用更高一級的密鑰加密的—使用者密鑰和可選的企業管理器公鑰。存儲密鑰的密文緊挨着加密資料塊、會話密鑰和中繼資料密鑰的密文存儲。(此處翻譯可能存在歧義)
存儲密鑰也儲存在配置資料庫中。
為了在資料庫中維護一組有效的存儲密鑰,Veeam Backup & Replication使用為任務指定的保留政策。當從備份鍊中删除某個還原點時,與此還原點對應的存儲密鑰也将從配置資料庫中删除。
使用者密鑰
當您為任務啟用加密時,您必須定義一個密碼來保護由該任務處理的資料,并為密碼定義一個提示。密碼和提示儲存在任務設定中。根據這個密碼,Veeam Backup & Replication生成一個使用者密鑰。
在加密過程中,Veeam Backup & Replication 使用你輸入的密碼加密存儲密鑰,并儲存到一個檔案中,之後你需要按照提示輸入密碼,來解密該檔案,擷取存儲密鑰。
你應該定期更換該使用者密鑰,當您更改任務的密碼時,Veeam Backup & Replication會建立一個新的使用者密鑰,并使用它加密備份鍊中的新恢複點。
您必須始終記住為任務設定的密碼,或将這些密碼儲存在安全的地方。如果您丢失或忘記密碼,您可以通過Veeam backup Enterprise Manager從備份檔案恢複資料。
企業管理器密鑰
忘記密碼或某個知道密碼的人離職,可能造成備份無法恢複。
企業管理器密鑰是不對稱密鑰。公鑰用于加密資料,而私鑰用于解密資料。
在加密過程中,企業管理器密鑰扮演類似于使用者密鑰的角色:企業管理器公鑰加密存儲密鑰,而企業管理器私鑰解密。當您建立加密備份檔案或歸檔加密資料儲存到錄音帶時,Veeam backup & Replication使用兩種類型的密鑰同時加密存儲密鑰。
當你遺失了密碼,無法解密使用者密鑰,你可以向企業管理器發起請求,使用企業管理器私鑰解密存儲密鑰。
滿足以下兩個條件,企業管理器密鑰才能參與加密過程:
- 企業版或更高版本,注意該功能包含在Veeam通用許可證中
- 已經安裝了企業管理器,備份伺服器已經連接配接到企業管理器
一對企業管理器密鑰稱為密鑰集,由企業管理器建立和管理,在企業管理器安裝過程中,會自動生成一個新的密鑰集,你也可以在企業管理器生成新的密鑰集,并對其激活、導入、導出、指定保留時間。企業管理器公鑰對備份伺服器公開,當備份伺服器連接配接到企業管理器,公鑰會自動傳送到備份伺服器。
企業管理器不存放公鑰,備份伺服器擷取公鑰後将其儲存到配置資料庫中。
而企業管理器私鑰恰恰相反,始終隻會儲存在企業管理器中。
備份伺服器密鑰
為了保護您免受“中間人”的安全威脅,Veeam Backup & Replication使用備份伺服器密鑰。備份伺服器密鑰是在備份伺服器上生成的一對RSA公鑰和私鑰。
- 備份伺服器公鑰發送到備份伺服器連接配接的企業管理器,并儲存在企業管理器的配置資料庫中。
- 備份伺服器私鑰儲存在備份伺服器的配置資料庫中。
備份伺服器密鑰用于驗證請求發送方的身份。當備份伺服器生成一個請求來解密檔案時,它會向該請求添加一個用備份伺服器私鑰生成的簽名。(請求檔案的摘要資訊用私鑰加密(簽名),一并發送,企業管理器使用伺服器公鑰解密簽名,擷取摘要資訊,和請求檔案的摘要資訊比對,如果成功則可以完成企業管理器密鑰的解密,進一步解密存儲密鑰,否則失敗。)
我的教學視訊:
我的首頁
https://edu.51cto.com/lecturer/785479.html
購買下列套餐,知識體系更完整,搭配優惠碼價格更優惠
之前購買過套餐的學員可以聯系客服,以優惠價格購買新增課程
Veeam 虛拟機備份與容災實踐
https://edu.51cto.com/topic/2115.html
VMware vSphere 的日常維護
https://edu.51cto.com/topic/1971.html
阿裡雲高階實戰
https://edu.51cto.com/topic/2113.html
Cacti入門系列
https://edu.51cto.com/topic/2322.html
VMware Workstation 那些你沒用過的功能挨個講
https://edu.51cto.com/topic/4115.html
優惠碼
DFNX-JXAG-318F-J42Y
DFNX-GXYM-W4TB-6SPK
DFNX-2XKC-HN17-87B3
DFNX-3XCR-P9Q6-CSPR
DFNX-DXB6-KT56-5JRB
DFNX-HXKN-8NQ5-JA8R
DFNX-5XP2-FYYS-KSCJ