luk*_*yca 17 backup encryption tape bacula
我想在我的所有备份磁带上启用加密。我或多或少知道如何在技术上做到这一点,但实现这一点的程序和人为因素很棘手。
我使用带有 bacula 的 HP LTO4 驱动器,它没有任何密钥管理功能。实际上,它对硬件加密的支持是在读写之前调用一个外部脚本来设置驱动器上的密钥。
我的问题:
很好的问题。我也希望看到比我更了解这一点的人给出好的答案。:-)
3 如果密钥丢失,我们实际上丢失了所有备份
确切地说,这就是为什么许多或大多数人不使用加密备份的原因。
一种可能的方法是构建几个“救生艇”,即包含安装媒体、用户名和密码的软件包,用于基本系统,如备份、Active Directory 和其他(即,如果主站点已在火灾中完全毁坏,但备份数据本身并未毁坏)。您应该将这些救生艇安全地存放在场外,例如在银行金库中,或在带有警报系统的远程办公室的高安全性保险箱中。最后将此记录下来,以便其他人在您离开公司后,在需要时弄清楚如何使用救生艇。
4 密钥是否应该定期更改?一年一次?最佳做法是什么?
从实用的角度来看,我会说不要更改密钥,因为如果您这样做,它很快就会变得难以管理。如果您担心备份安全性不够好,那么可以通过使用Iron Mountain 等服务或自己构建具有良好物理安全性的存储系统来加强磁带周围的物理安全性。
最后:我更喜欢在一个系统中进行所有加密和备份处理,这样恢复不工作的风险就会降低。我的意思是使用 Retrospect 或 Backup Exec 等软件中的内置加密,而不是驱动器级加密。