时间:2023-05-30 10:06:18
天津鸿萌科贸发展有限公司致力于为用户提供量身打造的数据备份方案,大、中、小型企业及个人,都能打造精确的数据灾备策略。Veritas 系列备份软件是鸿萌代理产品之一,聚焦企业关键业务数据的安全备份与瞬时恢复。
企业及其数据的安全和合规风险比以往任何时候都大。企业寄希望于数据在内部存储和异地取用时能够得到安全和可靠保护。随着新的合规法规的出现,任何数据丢失都会对底线产生不利影响,包括可能的额外监管和合规问题。对企业的备份任务实施加密策略,对数据完整性和可用性起着重要的作用。
Veritas Backup Exec 加密功能主要优势
- 通过集成的128/256位AES工业强度加密,帮助减少数据安全风险
- 在 Backup Exec 和云目标之间通过安全套接层(SSL)连接进行数据传输
- 集成的加密密钥管理系统,易于设置和管理
- 安全控制台管理增强了 Backup Exec 控制台的安全性
- 支持支付卡行业数据安全标准(PCI DSS)3.1/3.2 标准
- 符合 FIPS140-2 标准的软件加密
- 支持 TLS 1.2 256 位 AES 对称加密算法,用于保护 Backup Exec 数据库的敏感内容
数据加密的必要性
有关数据失窃、磁带丢失、勒索软件和含有未加密数据的客户记录被破坏的头条新闻出现得越来越频繁。这些事件提醒企业关注其关键和敏感数据的安全,包括在备份操作中创建的数据副本的安全。
敏感数据的风险窗口随着数据价值的增加而扩大。其中包括下列风险:
- 为了 "安全 "而带离现场的未加密的可移动介质,这种情况下,数据的安全性几乎低于任何其他企业数据
- 磁带和可移动介质被盗是一个主要的风险,介质体积很小,很难追踪
- 如果磁带丢失或未受保护,数据可能会被第三方获取
- 没有办法判断一盘磁带是否被复制或未经授权而复制
- 磁带通常是以最低成本的方法而不是最安全的方法带出场外
- 操作员可以发起对重定向到他们系统的磁带进行未经授权的恢复操作
加密是保护便携介质中数据安全的最有效方法。数据安全法中强调了对数据进行加密的重要性,但许多公司还没有将加密作为其备份过程的重要环节,其主要原因是,加密会给他们的流程增加一层复杂性,而且会增加成功完成备份或恢复流程所需的时间。
在 Backup Exec 中使用加密技术
Backup Exec 提供了数据加密功能。在对数据进行加密时,可以保护数据不受未经授权的访问。任何试图访问数据的人都必须拥有加密密钥。Backup Exec 提供软件加密,同时也支持一些提供 T10 标准的硬件加密设备。Backup Exec 在指定要用于备份工作的存储设备时,会配置加密功能。
Backup Exec 支持两种安全级别的加密:128位高级加密标准(AES)和 256 位 AES 加密。256 位 AES 加密提供了更强的安全级别,因为 256 位 AES 的密钥比 128 位 AES 的密钥长。
点击输入图片描述(最多30字) 然而,128 位 AES 加密可以使备份作业的处理速度更快。使用 T10 标准的硬件加密需要 256 位 AES 加密。运行一个重复的备份任务时,任何已经加密的备份集都不会被重新加密。然而,可以对任何未加密的备份集进行加密。
软件加密
安装Backup Exec时,安装程序会在Backup Exec服务器和使用Backup Exec代理的任何远程计算机上安装加密软件。Backup Exec 可以在使用 Backup Exec 代理的计算机上加密数据,然后将加密的数据传输到 Backup Exec 服务器上。然后,Backup Exec 按设定的方式将加密数据写入公共云存储目标(AWS、Azure、Google和其他)、磁带或磁盘存储中。
Backup Exec 对以下类型的数据进行加密:
- 用户数据,如文件和微软 Exchange 数据库
- 元数据,如文件名、属性和操作系统信息
- 磁带上的目录文件和目录信息
Backup Exec 不会对 Backup Exec 元数据或磁盘上的目录文件和目录信息进行加密。用户可以在备份任务中使用软件压缩与加密。首先,Backup Exec 对文件进行压缩,然后对其进行加密。但是,在同时使用加密压缩和软件压缩时,备份任务会需要更长的时间来完成。
Veritas 建议用户避免同时使用硬件压缩和软件加密。硬件压缩是在加密后进行的。在加密过程中,数据会变得随机化。对于随机数据不能有效进行压缩。
符合 FIPS 140-2 信息处理标准的软件加密法
Backup Exec 允许用户启用符合 FIPS 140-2 标准的软件加密。如果选择此选项,则必须使用 256 位 AES 加密密钥。此选项仅适用于 Windows 计算机。
点击输入图片描述(最多30字) 一些政府机构(包括美国和另外一些其他国家)以及与政府合作的承包商往往需要 FIPS 140-2 的保证,即加密技术已被正确实施,并且没有被篡改。
硬件加密
Backup Exec 支持对任何使用 T10 加密标准的存储设备进行硬件加密。使用硬件加密时,数据从主机传输到存储设备,然后在设备上进行加密。Backup Exec 负责管理用于访问加密数据的加密密钥。
Backup Exec 只支持经批准的设备进行 T10 加密。
点击输入图片描述(最多30字) 注意:使用 T10 标准的硬件加密需要 256 位 AES。除非任务使用至少 16 个字符的密码短语,否则 Backup Exec 不允许为其启用硬件加密。
加密密钥
用户必须创建加密密钥才能在 Backup Exec 中使用加密功能。当用户创建加密密钥时,Backup Exec 会根据登录用户的安全标识符为该密钥加上标识符。创建密钥的人成为该密钥的所有者。
如果对合成备份使用加密,那么,所有相关的备份都必须使用相同的加密密钥。在创建基线后,不要改变加密密钥。为基线备份选择的加密密钥会自动应用于所有相关的备份。
当选择加密数据进行恢复时,Backup Exec 会验证数据库中是否有数据的加密密钥。如果任何密钥不可用,Backup Exec 就会提示用户重新创建缺少的密钥。如果在安排任务运行后删除密钥,则备份任务就会失败。
如果 Backup Exec 在编录任务运行时无法找到加密密钥,Backup Exec 会发出警报。如果用户知道密码字符串,则可以重新创建丢失的加密密钥。Veritas 的简化灾难恢复功能支持使用之前加密的备份集来恢复计算机。如果简化灾难恢复备份集在备份期间被加密,则恢复此计算机时,向导会提示用户提供恢复所需的每个加密备份集的密码串。
受限密钥和普通密钥
Backup Exec 有以下类型的加密密钥:
点击输入图片描述(最多30字) 通行证短语
加密密钥需要一个密码串,它类似于密码。密码串通常比密码长,由几个词或几组文字组成。一个好的密码串是在 8 到 128 个字符之间。128 位 AES 加密的最小字符数是 8。256 位 AES 加密的最小字符数是 16。Veritas 建议用户使用多于最小字符数的密码串。注意:使用 T10 标准的硬件加密需要 256 位 AES。除非任务使用至少 16 个字符的密码串,否则 Backup Exec 拒绝用户启用硬件加密。
此外,一个好的通行证密码串包含大写和小写字母、数字和特殊字符的组合。用户应该避免在通行证密码串中使用文学典故中的句子。
点击输入图片描述(最多30字) 一个密码串只能包括可打印的 ASCII 字符,即字符 32 到 126。ASCII 字符 32 是空格字符,可以用键盘上的空格键输入。ASCII 字符 33 到 126 包括以下内容:
!"#$%&'()*+,-./0123456789:;<=>?@
abcdefghijklmnopqrstuvwxyz
[\]^_' abcdefghijklmnopqrstuvwxyz{|}。
加密密钥管理
当用户创建加密密钥时,Backup Exec 会根据登录用户的安全标识符为该密钥加上标识符。创建密钥的人成为该密钥的所有者。
Backup Exec 在 Backup Exec 数据库中存储密钥。但是,Backup Exec 并不存储钥匙的密码串。每个密钥的所有者负责记住该密钥的密码串。
为了保护你的钥匙,Veritas建议如下:
- 保持一份关于密码串的书面日志。将该日志保存在一个安全的地方,与加密的备份集分开存放
- 备份 Backup Exec 数据库。数据库保留了密钥的记录。
请注意:如果您没有BackupExec数据库的备份,并且不记得您的密码短语,您就不能从加密的介质中恢复数据。此外,在这种情况下,Veritas不能恢复加密的数据。
在BackupExec服务器上创建的密钥只针对该BackupExec服务器。您不能在BackupExec服务器之间移动密钥。但是,您可以通过使用现有的密码短语在不同的BackupExec服务器上创建新的密钥。一个密码短语总是产生相同的密钥。此外,如果您不小心删除了一个密钥,您可以通过使用密码短语重新创建它。
点击输入图片描述(最多30字) 如果BackupExec数据库在BackupExec服务器上损坏并被新的数据库取代,您必须手动重新创建存储在原始数据库上的所有加密密钥。
如果将数据库从一台 Backup Exec 服务器移动到另一台 Backup Exec 服务器,只要新的 Backup Exec 服务器满足以下条件,加密密钥就会保持不变:
- 拥有与原 Backup Exec 服务器相同的用户账户
- 与原 Backup Exec 服务器在同一域中
追踪加密密钥的变化
Backup Exec 包括全面的审计日志功能,以跟踪对 Backup Exec 设置进行的大多数配置更改,包括对加密密钥进行的更改。审计日志可通过 Backup Exec 控制台的 Tools/AuditLog 菜单轻松访问。
Backup Exec 审计日志跟踪:
- 创建新的加密密钥
- 加密密钥的删除
- 加密密钥的修改
- 进行修改的用户的用户名
- 改变的日期/时间
- 变化的描述
审计日志显示活动的日期和时间,谁进行的活动,活动是什么,以及活动的描述。
点击输入图片描述(最多30字) Backup Exec 数据库加密密钥
Backup Exec 使用加密技术在 Backup Exec 数据库中存储敏感信息。当您安装或升级 Backup Exec 时,它会自动创建一个数据库加密密钥。数据库加密密钥用于加密信息,如登录账户凭证和用于加密备份工作的密钥。它存储在 Backup Exec 安装目录的 Data 文件夹中。
点击输入图片描述(最多30字) 用户需要为以下每种情况提供 Backup Exec 数据库的加密密钥:
- 对 Backup Exec 服务器进行手动灾难恢复
- 使用简化灾难恢复(SDR)对 Backup Exec 服务器进行灾难恢复
- 将 Backup Exec 从一台计算机迁移到另一台计算机上
- 解决 Backup Exec 服务器上的数据库加密密钥被破坏或丢失的任何情况。
Veritas 建议您将BackupExec数据库加密密钥导出到一个安全的位置,以便您以后在需要时可以访问它。请确保您将数据库加密密钥导出到符合以下条件的位置:
- 目标是分配给一个盘符的物理卷或一个由 UNC 路径指定的网络共享(不支持映射到盘符的网络共享)
- 目的地有足够的磁盘空间
- 目的地可以从 Backup Exec 服务器访问
- Backup Exec 有权限向目的地写入数据
点击输入图片描述(最多30字) 加强 SQL 与 Backup Exec 数据库的安全连接
Backup Exec 数据库包含企业的敏感信息,包括用户账户凭证和已备份的数据。保护 Microsoft SQLServer 与 Backup Exec 数据库的连接是保护网络免受外部访问的重要步骤。微软建议,当 SQLServer 和应用程序之间传输的数据在网络上移动时,应使用SSL加密。
在下列情况下,Backup Exec 服务和 SQL 实例之间的数据传输可以跨越网络:
- 用户将 Backup Exec 数据库配置为集中式数据库,它位于 CASO 环境中的中央管理服务器上。数据也可以在这种情况的变化中跨越网络,例如,当用户使用受管理的 Backup Exec 服务器或使用共享存储时。
- 用户为 Backup Exec 数据库使用一个远程 SQL 实例,这样 Backup Exec 服务必须通过网络访问数据库。
如果使用名为"BKUPEXEC"的默认本地SQLExpress实例,BackupExec会自动启用SSL加密功能。如果将BackupExec配置为使用任何其他SQLServer实例,则用户必须自己配置加密功能。
SQLServer使用证书来加密数据。您可以生成自己的证书,也可以让SQLServer使用自动生成的自签名证书。默认情况下,
BackupExec使用SQLServer自动生成的自签名证书。但是,Veritas建议您创建并使用自己的证书,以提高安全性。
点击输入图片描述(最多30字) 注意:使用加密可能会影响SQLServer和BackupExec数据库之间的通信性能。它涉及到在网络上的额外往返,以及加密和解密数据的时间。
当用户使用自己的证书登录SQLServer时,必须遵守微软的一些要求。证书可以是自己签署的,也可以是由认证机构颁发的。认证机构可以是你组织领域内的本地机构,也可以是已知的第三方机构。
在配置加密之前,必须将要使用的证书导入托管 Backup Exec 数据库的计算机的本地证书库中。
导入证书时,应该使用与SQLServer服务运行相同的用户账户。
利用 SSL 的网络安全层(NSL)
Backup Exec 提供从代理到 Backup Exec 服务器的 SSL 支持,为在广域网、公有云或私有云上传输备份数据的公司提供额外的安全层。新增的安全功能确保通过公共互联网连接发送的备份数据是安全的。
现在,证书与SSL结合使用,确保远程代理和 Backup Exec 媒体服务器之间的任何通信在广域网、局域网或其他基于互联网的连接上是安全的。
Backup Exec 在交换任何敏感信息之前,在 Backup Exec 远程代理和 Backup Exec 服务器之间建立信任,以避免任何中间人攻击(MiTM)问题。最大限度地减少了从代理到 Backup Exec 服务器之间的网络数据传输风险。
MiTM 攻击可能导致特权升级,使攻击者能够执行认证后的 NDMP 命令。成功的攻击需要攻击者是网络上的授权用户或在网络授权系统上有未经授权的存在。
Backup Exec 在 Backup Exec 服务器和受保护服务器上的代理(支持Backup Exec服务器、Windows 版代理和Linux版代理)之间通过NDMP的SSL控制连接使用传输层安全(TLS)1.2 协议。
为了提高安全性,客户在 Backup Exec 服务器和代理之间的 NDMP 上使用强密码的SSL启用控制连接。TLS 连接与安全扫描工具兼容性良好,这为用户使用 Backup Exec 提供了持续的信心。TLS1.2支持AES-GCM密码套件,该套件不容易受到密码块链或CBC和RC4的弱点影响。
此外,Backup Exec 使用 SHA-2 证书进行 Backup Exec 服务器和代理的SSL通信。SHA-2SSL证书支持 Backup Exec Server、Central Admin Server、Managed Backup Exec Server、AgentforWindows和AgentforLinux。SHA-2证书以更高的安全水平提供了直接的好处。
相对于使用由真正的CA(如Verisign,这需要花钱)签署的中间证书,每个BackupExe服务器可以成为自己的证书颁发机构(CA)。它有能力签署证书,然后将其部署到远程代理。一旦使用这些证书建立了BackupExec服务器和远程代理之间的信任,就可以防止对 Backup Exec 服务器和远程代理之间用来相互交谈的NDMP连接的中间人(MITM)攻击。
使用带有压缩功能的加密技术
如果在备份工作中使用软件压缩和软件加密,Backup Exec 首先会压缩文件,然后对其进行加密。这会导致备份速度变慢。
如果在备份任务中使用硬件压缩和软件加密,数据在被压缩之前就被加密了。因为加密使数据随机化,所以无法得到正确的压缩。Veritas 建议用户避免同时使用硬件压缩和加密。
Backup Exec 中的安全控制台管理
安全控制台管理增强了 Backup Exec 用户接口控制台的安全性。
点击输入图片描述(最多30字) 作为安全控制台管理的一部分,Backup Exec 提供:
身份认证
启用安全控制台管理复选框将启用身份验证功能。因此,在启动 BE 用户界面时,Backup Exec 将不再自动尝试使用 Windows 登录的用户账户登录,而是在用户每次想登录 Backup Exec 控制台时,都需要输入身份验证凭证。
会话锁定
启用安全控制台管理复选框将启用会话锁定功能。正因为如此,BE用户界面会话将被锁定,需要重新认证以解锁 BE 用户界面。
在防火墙环境中使用 Backup Exec
在防火墙环境中,Backup Exec 具有以下优势:
- 用于备份网络连接的端口数量保持在最低水平
- Backup Exec 服务器和远程系统上的开放端口是动态的,在浏览、备份和恢复操作中提供了高度的灵活性
- 可以设置特定的防火墙端口范围,并在这些范围内指定备份和恢复网络。可以使用特定的范围来隔离数据流量并提供高水平的可靠性
在20.1版本中,Backup Exec 加强了现有的入站防火墙规则,只提供所需端口的访问,并限制所有其他端口的访问。这有助于将安全漏洞或违规的概率降到最低。
最佳实践
作为正常的最佳实践的一部分,Veritas 强烈建议:
- 将对管理或管理系统的访问限制在特权用户的范围内
- 如果需要,将远程访问限制在受信任/授权的系统上
- 尽可能按照最小特权原则运行,以限制威胁利用的影响
- 保持所有操作系统和应用程序的最新供应商补丁更新。
- 遵循多层次的安全方法。至少要同时运行防火墙和反恶意软件应用程序,以提供对入站和出站威胁的多点检测和保护。
- 部署基于网络和主机的入侵检测系统,以监测网络流量的异常或可疑活动的迹象。这可能有助于检测与利用潜在漏洞有
- 关的攻击或恶意活动。
- 通过以下方式创造强有力的通行短语:
- 1 使用超过最低要求的字符数
- 2 使用大、小写字母、数字和特殊字符的组合
- 3 避免在通行短语中引用文学名言
- 4 保持你的通行证短语安全
- 在FIPS模式下运行Backup Exec服务,并使用256位AES加密以符合FIPS标准
- 如果在将数据备份到基于磁盘的存储时不使用软件加密,请使用文件系统加密以防止未经授权的访问。
总结
有了 Backup Exec 提供的新加密和安全功能,企业的关键和敏感数据就能以安全的形式轻松得到保护,避免未经授权的访问和安全威胁。将128/256位AESOpenSSL加密的工业强度加密功能与 Backup Exec 软件的易用性和灵活实施相结合,来加密想要的内容、时间和地点,令依赖于 Backup Exec 的企业可以确信,无论其关键数据在哪里——云端、虚拟机还是物理机,它们都是安全的。
