我想在我的所有备份磁带上启用加密。我或多或少知道如何在技术上做到这一点,但实现这一点的程序和人为因素很棘手。
我使用带有 bacula 的 HP LTO4 驱动器,它没有任何密钥管理功能。实际上,它对硬件加密的支持是在读写之前调用一个外部脚本来设置驱动器上的密钥。
我的问题:
- 我应该如何跟踪哪些磁带具有加密功能?我已经有几百盘没有加密的磁带。即使我花时间用加密重写它们,也会有几个月的重叠,有些有,有些没有。bacula 如何在读取给定磁带之前知道是否设置密钥?即使设置了密钥,驱动器是否足够智能以读取未加密的磁带?
- 如果密钥被泄露,我们将不得不更改它,我们将遇到与 #1 相同的问题。
- 如果密钥丢失,我们实际上已经丢失了所有备份。我怎样才能在不增加它被破坏的风险的情况下缓解这种情况?
- 密钥是否应该定期更改?一年一次?最佳做法是什么?
- 大型 ISV 备份系统如何处理这些问题?