天津鴻萌科貿發展有限公司緻力于為使用者提供量身打造的資料備份方案,大、中、小型企業及個人,都能打造精确的資料災備政策。Veritas 系列備份軟體是鴻萌代理産品之一,聚焦企業關鍵業務資料的安全備份與瞬時恢複。
企業及其資料的安全和合規風險比以往任何時候都大。企業寄希望于資料在内部存儲和異地取用時能夠得到安全和可靠保護。随着新的合規法規的出現,任何資料丢失都會對底線産生不利影響,包括可能的額外監管和合規問題。對企業的備份任務實施加密政策,對資料完整性和可用性起着重要的作用。
Veritas Backup Exec 加密功能主要優勢
- 通過內建的128/256位AES工業強度加密,幫助減少資料安全風險
- 在 Backup Exec 和雲目标之間通過安全套接層(SSL)連接配接進行資料傳輸
- 內建的加密密鑰管理系統,易于設定和管理
- 安全控制台管理增強了 Backup Exec 控制台的安全性
- 支援支付卡行業資料安全标準(PCI DSS)3.1/3.2 标準
- 符合 FIPS140-2 标準的軟體加密
- 支援 TLS 1.2 256 位 AES 對稱加密算法,用于保護 Backup Exec 資料庫的敏感内容
資料加密的必要性
有關資料失竊、錄音帶丢失、勒索軟體和含有未加密資料的客戶記錄被破壞的頭條新聞出現得越來越頻繁。這些事件提醒企業關注其關鍵和敏感資料的安全,包括在備份操作中建立的資料副本的安全。
敏感資料的風險視窗随着資料價值的增加而擴大。其中包括下列風險:
- 為了 "安全 "而帶離現場的未加密的可移動媒體,這種情況下,資料的安全性幾乎低于任何其他企業資料
- 錄音帶和可移動媒體被盜是一個主要的風險,媒體體積很小,很難追蹤
- 如果錄音帶丢失或未受保護,資料可能會被第三方擷取
- 沒有辦法判斷一盤錄音帶是否被複制或未經授權而複制
- 錄音帶通常是以最低成本的方法而不是最安全的方法帶出場外
- 操作員可以發起對重定向到他們系統的錄音帶進行未經授權的恢複操作
加密是保護便攜媒體中資料安全的最有效方法。資料安全法中強調了對資料進行加密的重要性,但許多公司還沒有将加密作為其備份過程的重要環節,其主要原因是,加密會給他們的流程增加一層複雜性,而且會增加成功完成備份或恢複流程所需的時間。
在 Backup Exec 中使用加密技術
Backup Exec 提供了資料加密功能。在對資料進行加密時,可以保護資料不受未經授權的通路。任何試圖通路資料的人都必須擁有加密密鑰。Backup Exec 提供軟體加密,同時也支援一些提供 T10 标準的硬體加密裝置。Backup Exec 在指定要用于備份工作的儲存設備時,會配置加密功能。
Backup Exec 支援兩種安全級别的加密:128位進階加密标準(AES)和 256 位 AES 加密。256 位 AES 加密提供了更強的安全級别,因為 256 位 AES 的密鑰比 128 位 AES 的密鑰長。
然而,128 位 AES 加密可以使備份作業的處理速度更快。使用 T10 标準的硬體加密需要 256 位 AES 加密。運作一個重複的備份任務時,任何已經加密的備份集都不會被重新加密。然而,可以對任何未加密的備份集進行加密。
軟體加密
安裝Backup Exec時,安裝程式會在Backup Exec伺服器和使用Backup Exec代理的任何遠端計算機上安裝加密軟體。Backup Exec 可以在使用 Backup Exec 代理的計算機上加密資料,然後将加密的資料傳輸到 Backup Exec 伺服器上。然後,Backup Exec 按設定的方式将加密資料寫入公共雲存儲目标(AWS、Azure、Google和其他)、錄音帶或磁盤存儲中。
Backup Exec 對以下類型的資料進行加密:
- 使用者資料,如檔案和微軟 Exchange 資料庫
- 中繼資料,如檔案名、屬性和作業系統資訊
- 錄音帶上的目錄檔案和目錄資訊
Backup Exec 不會對 Backup Exec 中繼資料或磁盤上的目錄檔案和目錄資訊進行加密。使用者可以在備份任務中使用軟體壓縮與加密。首先,Backup Exec 對檔案進行壓縮,然後對其進行加密。但是,在同時使用加密壓縮和軟體壓縮時,備份任務會需要更長的時間來完成。
Veritas 建議使用者避免同時使用硬體壓縮和軟體加密。硬體壓縮是在加密後進行的。在加密過程中,資料會變得随機化。對于随機資料不能有效進行壓縮。
符合 FIPS 140-2 資訊處理标準的軟體加密法
Backup Exec 允許使用者啟用符合 FIPS 140-2 标準的軟體加密。如果選擇此選項,則必須使用 256 位 AES 加密密鑰。此選項僅适用于 Windows 計算機。
一些政府機構(包括美國和另外一些其他國家)以及與政府合作的承包商往往需要 FIPS 140-2 的保證,即加密技術已被正确實施,并且沒有被篡改。
硬體加密
Backup Exec 支援對任何使用 T10 加密标準的儲存設備進行硬體加密。使用硬體加密時,資料從主機傳輸到儲存設備,然後在裝置上進行加密。Backup Exec 負責管理用于通路加密資料的加密密鑰。
Backup Exec 隻支援經準許的裝置進行 T10 加密。
注意:使用 T10 标準的硬體加密需要 256 位 AES。除非任務使用至少 16 個字元的密碼短語,否則 Backup Exec 不允許為其啟用硬體加密。
加密密鑰
使用者必須建立加密密鑰才能在 Backup Exec 中使用加密功能。當使用者建立加密密鑰時,Backup Exec 會根據登入使用者的安全辨別符為該密鑰加上辨別符。建立密鑰的人成為該密鑰的所有者。
如果對合成備份使用加密,那麼,所有相關的備份都必須使用相同的加密密鑰。在建立基線後,不要改變加密密鑰。為基線備份選擇的加密密鑰會自動應用于所有相關的備份。
當選擇加密資料進行恢複時,Backup Exec 會驗證資料庫中是否有資料的加密密鑰。如果任何密鑰不可用,Backup Exec 就會提示使用者重新建立缺少的密鑰。如果在安排任務運作後删除密鑰,則備份任務就會失敗。
如果 Backup Exec 在編錄任務運作時無法找到加密密鑰,Backup Exec 會發出警報。如果使用者知道密碼字元串,則可以重新建立丢失的加密密鑰。Veritas 的簡化災難恢複功能支援使用之前加密的備份集來恢複計算機。如果簡化災難恢複備份集在備份期間被加密,則恢複此計算機時,向導會提示使用者提供恢複所需的每個加密備份集的密碼串。
受限密鑰和普通密鑰
Backup Exec 有以下類型的加密密鑰:
通行證短語
加密密鑰需要一個密碼串,它類似于密碼。密碼串通常比密碼長,由幾個詞或幾組文字組成。一個好的密碼串是在 8 到 128 個字元之間。128 位 AES 加密的最小字元數是 8。256 位 AES 加密的最小字元數是 16。Veritas 建議使用者使用多于最小字元數的密碼串。注意:使用 T10 标準的硬體加密需要 256 位 AES。除非任務使用至少 16 個字元的密碼串,否則 Backup Exec 拒絕使用者啟用硬體加密。
此外,一個好的通行證密碼串包含大寫和小寫字母、數字和特殊字元的組合。使用者應該避免在通行證密碼串中使用文學典故中的句子。
一個密碼串隻能包括可列印的 ASCII 字元,即字元 32 到 126。ASCII 字元 32 是空格字元,可以用鍵盤上的空格鍵輸入。ASCII 字元 33 到 126 包括以下内容:
!"#$%&'()*+,-./0123456789:;<=>?@
abcdefghijklmnopqrstuvwxyz
[\]^_'abcdefghijklmnopqrstuvwxyz{|}。
加密密鑰管理
當使用者建立加密密鑰時,Backup Exec 會根據登入使用者的安全辨別符為該密鑰加上辨別符。建立密鑰的人成為該密鑰的所有者。
Backup Exec 在 Backup Exec 資料庫中存儲密鑰。但是,Backup Exec 并不存儲鑰匙的密碼串。每個密鑰的所有者負責記住該密鑰的密碼串。
為了保護你的鑰匙,Veritas建議如下:
- 保持一份關于密碼串的書面日志。将該日志儲存在一個安全的地方,與加密的備份集分開存放
- 備份 Backup Exec 資料庫。資料庫保留了密鑰的記錄。
請注意:如果您沒有BackupExec資料庫的備份,并且不記得您的密碼短語,您就不能從加密的媒體中恢複資料。此外,在這種情況下,Veritas不能恢複加密的資料。
在BackupExec伺服器上建立的密鑰隻針對該BackupExec伺服器。您不能在BackupExec伺服器之間移動密鑰。但是,您可以通過使用現有的密碼短語在不同的BackupExec伺服器上建立新的密鑰。一個密碼短語總是産生相同的密鑰。此外,如果您不小心删除了一個密鑰,您可以通過使用密碼短語重新建立它。
如果BackupExec資料庫在BackupExec伺服器上損壞并被新的資料庫取代,您必須手動重新建立存儲在原始資料庫上的所有加密密鑰。
如果将資料庫從一台 Backup Exec 伺服器移動到另一台 Backup Exec 伺服器,隻要新的 Backup Exec 伺服器滿足以下條件,加密密鑰就會保持不變:
- 擁有與原 Backup Exec 伺服器相同的使用者賬戶
- 與原 Backup Exec 伺服器在同一域中
追蹤加密密鑰的變化
Backup Exec 包括全面的審計日志功能,以跟蹤對 Backup Exec 設定進行的大多數配置更改,包括對加密密鑰進行的更改。審計日志可通過 Backup Exec 控制台的 Tools/AuditLog 菜單輕松通路。
Backup Exec 審計日志跟蹤:
- 建立新的加密密鑰
- 加密密鑰的删除
- 加密密鑰的修改
- 進行修改的使用者的使用者名
- 改變的日期/時間
- 變化的描述
審計日志顯示活動的日期和時間,誰進行的活動,活動是什麼,以及活動的描述。
Backup Exec 資料庫加密密鑰
Backup Exec 使用加密技術在 Backup Exec 資料庫中存儲敏感資訊。當您安裝或更新 Backup Exec 時,它會自動建立一個資料庫加密密鑰。資料庫加密密鑰用于加密資訊,如登入賬戶憑證和用于加密備份工作的密鑰。它存儲在 Backup Exec 安裝目錄的 Data 檔案夾中。
使用者需要為以下每種情況提供 Backup Exec 資料庫的加密密鑰:
- 對 Backup Exec 伺服器進行手動災難恢複
- 使用簡化災難恢複(SDR)對 Backup Exec 伺服器進行災難恢複
- 将 Backup Exec 從一台計算機遷移到另一台計算機上
- 解決 Backup Exec 伺服器上的資料庫加密密鑰被破壞或丢失的任何情況。
Veritas 建議您将BackupExec資料庫加密密鑰導出到一個安全的位置,以便您以後在需要時可以通路它。請確定您将資料庫加密密鑰導出到符合以下條件的位置:
- 目标是配置設定給一個盤符的實體卷或一個由 UNC 路徑指定的網絡共享(不支援映射到盤符的網絡共享)
- 目的地有足夠的磁盤空間
- 目的地可以從 Backup Exec 伺服器通路
- Backup Exec 有權限向目的地寫入資料
加強 SQL 與 Backup Exec 資料庫的安全連接配接
Backup Exec 資料庫包含企業的敏感資訊,包括使用者賬戶憑證和已備份的資料。保護 Microsoft SQLServer 與 Backup Exec 資料庫的連接配接是保護網絡免受外部通路的重要步驟。微軟建議,當 SQLServer 和應用程式之間傳輸的資料在網絡上移動時,應使用SSL加密。
在下列情況下,Backup Exec 服務和 SQL 執行個體之間的資料傳輸可以跨越網絡:
- 使用者将 Backup Exec 資料庫配置為集中式資料庫,它位于 CASO 環境中的中央管理伺服器上。資料也可以在這種情況的變化中跨越網絡,例如,當使用者使用受管理的 Backup Exec 伺服器或使用共享存儲時。
- 使用者為 Backup Exec 資料庫使用一個遠端 SQL 執行個體,這樣 Backup Exec 服務必須通過網絡通路資料庫。
如果使用名為"BKUPEXEC"的預設本地SQLExpress執行個體,BackupExec會自動啟用SSL加密功能。如果将BackupExec配置為使用任何其他SQLServer執行個體,則使用者必須自己配置加密功能。
SQLServer使用證書來加密資料。您可以生成自己的證書,也可以讓SQLServer使用自動生成的自簽名證書。預設情況下,
BackupExec使用SQLServer自動生成的自簽名證書。但是,Veritas建議您建立并使用自己的證書,以提高安全性。
注意:使用加密可能會影響SQLServer和BackupExec資料庫之間的通信性能。它涉及到在網絡上的額外往返,以及加密和解密資料的時間。
當使用者使用自己的證書登入SQLServer時,必須遵守微軟的一些要求。證書可以是自己簽署的,也可以是由認證機構頒發的。認證機構可以是你組織領域内的本地機構,也可以是已知的第三方機構。
在配置加密之前,必須将要使用的證書導入托管 Backup Exec 資料庫的計算機的本地證書庫中。
導入證書時,應該使用與SQLServer服務運作相同的使用者賬戶。
利用 SSL 的網絡安全層(NSL)
Backup Exec 提供從代理到 Backup Exec 伺服器的 SSL 支援,為在廣域網、公有雲或私有雲上傳輸備份資料的公司提供額外的安全層。新增的安全功能確定通過公共網際網路連接配接發送的備份資料是安全的。
現在,證書與SSL結合使用,確定遠端代理和 Backup Exec 媒體伺服器之間的任何通信在廣域網、區域網路或其他基于網際網路的連接配接上是安全的。
Backup Exec 在交換任何敏感資訊之前,在 Backup Exec 遠端代理和 Backup Exec 伺服器之間建立信任,以避免任何中間人攻擊(MiTM)問題。最大限度地減少了從代理到 Backup Exec 伺服器之間的網絡資料傳輸風險。
MiTM 攻擊可能導緻特權更新,使攻擊者能夠執行認證後的 NDMP 指令。成功的攻擊需要攻擊者是網絡上的授權使用者或在網絡授權系統上有未經授權的存在。
Backup Exec 在 Backup Exec 伺服器和受保護伺服器上的代理(支援Backup Exec伺服器、Windows 版代理和Linux版代理)之間通過NDMP的SSL控制連接配接使用傳輸層安全(TLS)1.2 協定。
為了提高安全性,客戶在 Backup Exec 伺服器和代理之間的 NDMP 上使用強密碼的SSL啟用控制連接配接。TLS 連接配接與安全掃描工具相容性良好,這為使用者使用 Backup Exec 提供了持續的信心。TLS1.2支援AES-GCM密碼套件,該套件不容易受到密碼塊鍊或CBC和RC4的弱點影響。
此外,Backup Exec 使用 SHA-2 證書進行 Backup Exec 伺服器和代理的SSL通信。SHA-2SSL證書支援 Backup Exec Server、Central Admin Server、Managed Backup Exec Server、AgentforWindows和AgentforLinux。SHA-2證書以更高的安全水準提供了直接的好處。
相對于使用由真正的CA(如Verisign,這需要花錢)簽署的中間證書,每個BackupExe伺服器可以成為自己的證書頒發機構(CA)。它有能力簽署證書,然後将其部署到遠端代理。一旦使用這些證書建立了BackupExec伺服器和遠端代理之間的信任,就可以防止對 Backup Exec 伺服器和遠端代理之間用來互相交談的NDMP連接配接的中間人(MITM)攻擊。
使用帶有壓縮功能的加密技術
如果在備份工作中使用軟體壓縮和軟體加密,Backup Exec 首先會壓縮檔案,然後對其進行加密。這會導緻備份速度變慢。
如果在備份任務中使用硬體壓縮和軟體加密,資料在被壓縮之前就被加密了。因為加密使資料随機化,是以無法得到正确的壓縮。Veritas 建議使用者避免同時使用硬體壓縮和加密。
Backup Exec 中的安全控制台管理
安全控制台管理增強了 Backup Exec 使用者接口控制台的安全性。
作為安全控制台管理的一部分,Backup Exec 提供:
身份認證
啟用安全控制台管理複選框将啟用身份驗證功能。是以,在啟動 BE 使用者界面時,Backup Exec 将不再自動嘗試使用 Windows 登入的使用者賬戶登入,而是在使用者每次想登入 Backup Exec 控制台時,都需要輸入身份驗證憑證。
會話鎖定
啟用安全控制台管理複選框将啟用會話鎖定功能。正因為如此,BE使用者界面會話将被鎖定,需要重新認證以解鎖 BE 使用者界面。
在防火牆環境中使用 Backup Exec
在防火牆環境中,Backup Exec 具有以下優勢:
- 用于備份網絡連接配接的端口數量保持在最低水準
- Backup Exec 伺服器和遠端系統上的開放端口是動态的,在浏覽、備份和恢複操作中提供了高度的靈活性
- 可以設定特定的防火牆端口範圍,并在這些範圍内指定備份和恢複網絡。可以使用特定的範圍來隔離資料流量并提供高水準的可靠性
在20.1版本中,Backup Exec 加強了現有的入站防火牆規則,隻提供所需端口的通路,并限制所有其他端口的通路。這有助于将安全漏洞或違規的機率降到最低。
最佳實踐
作為正常的最佳實踐的一部分,Veritas 強烈建議:
- 将對管理或管理系統的通路限制在特權使用者的範圍内
- 如果需要,将遠端通路限制在受信任/授權的系統上
- 盡可能按照最小特權原則運作,以限制威脅利用的影響
- 保持所有作業系統和應用程式的最新供應商更新檔更新。
- 遵循多層次的安全方法。至少要同時運作防火牆和反惡意軟體應用程式,以提供對入站和出站威脅的多點檢測和保護。
- 部署基于網絡和主機的入侵檢測系統,以監測網絡流量的異常或可疑活動的迹象。這可能有助于檢測與利用潛在漏洞有
- 關的攻擊或惡意活動。
- 通過以下方式創造強有力的通行短語:
- 1 使用超過最低要求的字元數
- 2 使用大、小寫字母、數字和特殊字元的組合
- 3 避免在通行短語中引用文學名言
- 4 保持你的通行證短語安全
- 在FIPS模式下運作Backup Exec服務,并使用256位AES加密以符合FIPS标準
- 如果在将資料備份到基于磁盤的存儲時不使用軟體加密,請使用檔案系統加密以防止未經授權的通路。
總結
有了 Backup Exec 提供的新加密和安全功能,企業的關鍵和敏感資料就能以安全的形式輕松得到保護,避免未經授權的通路和安全威脅。将128/256位AESOpenSSL加密的工業強度加密功能與 Backup Exec 軟體的易用性和靈活實施相結合,來加密想要的内容、時間和地點,令依賴于 Backup Exec 的企業可以确信,無論其關鍵資料在哪裡——雲端、虛拟機還是實體機,它們都是安全的。