Данните са се превърнали в жизнената сила на всеки бизнес и загубата им може да означава всичко - от лека тревога до пълна финансова и репутационна катастрофа. Много компании вече редовно архивират данните си, но още по-малко добавят важен слой: криптиране на резервни копиятака че никой да не може да прочете информацията, ако тя попадне в неподходящи ръце.
Криптирането на резервни копия не е технически трик или мимолетна мода, а... основна мярка за сигурностТова е ключово за спазването на разпоредби като GDPR и за ограничаване на сериозни заплахи като ransomware или нарушения на данните. В тази статия ще разгледаме ясно и сбито какво представляват криптираните резервни копия, различните видове криптиране, които са налични, свързаните с тях рискове, как се управляват ключовете и как реални решения като NAKIVO, AWS Backup и Azure Backup прилагат това.
Какво е криптиране на резервни копия и защо трябва да ви е грижа?
Когато говорим за криптиране на резервни копия, имаме предвид трансформирайте резервното копие от четлив формат в нечетлив, използвайки криптографски алгоритми. Този „превод“ може да бъде обърнат само с валиден ключ за декриптиране или парола, така че дори ако някой открадне резервния файл, той не може да получи достъп до съдържанието без този ключ.
На практика криптирането превръща данните ви в безсмислици, които нямат смисъл без правилния ключ. Обикновеният текст или обикновените файлове се преобразуват в шифрован текст, така че чувствителната информация (лични, финансови, медицински данни, интелектуална собственост и др.) е защитена както при съхранението, така и при предаването ѝ по мрежата.
Криптирането на резервни копия стана съществен Защото нападателите вече не се задоволяват само с криптиране или изтриване на производствени данни: те също се стремят да саботират или крадат резервни копия, за да предотвратят възстановяването им, или да изнудват пари чрез публикуване на данните. Без криптиране, откраднато резервно копие може да разкрие организацията ви за часове.
Значение на криптирането на резервни копия
Първата причина да криптирате резервните си копия е предотвратяване на кражба и изтичане на информацияКиберпрестъпник, който получи достъп до некриптирано копие, може да го продаде, да го разкрие публично или да го използва, за да изнудва вашата организация. Със силно криптиране, дори и да откраднат резервните файлове, всичко, което получават, е безполезен шум.
Съвременните атаки със зловреден софтуер, шпионски софтуер и рансъмуер стават все по-сложни и са специално разработени за локализиране, унищожаване или кражба на резервни копия. Да имате само некриптирани резервни копия е като да съхранявате парите си в отворен сейф. Криптирането добавя допълнителна бариера, която прави живота много по-труден за нападателя.
Освен това, криптирането е пряко или косвено изискване на много стандарти съответствиеGDPR в ЕС, PCI DSS за данни за карти, HIPAA в сектора на здравеопазването, CCPA в Калифорния, SOC, CIRCIA и много други. Много от тези разпоредби изискват защита на данните „при пренос и в състояние на покой“, а криптирането на резервните копия е една от изрично споменатите мерки.
Той също така подобрява обща сигурност на стратегията за архивиранеособено при използване на сменяеми носители или отдалечени местоположения. Ако някой открадне външен твърд диск, лента или NAS който съдържа правилно криптирани резервни копия, няма да имате достъп до критични данни, дори ако имате физическия носител в ръка.
Криптирани резервни копия срещу ransomware
Резервните копия са мрежа за безопасност при рансъмуер и част от a план за реагиране при инциденти в облакаАко нападателят криптира или изтрие оригиналните данни, можете да ги възстановите от резервното копие и да възобновите операциите. Именно затова много групи за рансъмуер се опитват да намерят и унищожат резервни копия, преди да започнат последната атака, оставяйки ви без план за резервно копие.
Ако вашите копия са криптирани с надеждни алгоритми (напр. AES-256) И тъй като ключовете или паролите се съхраняват в защитена и изолирана среда, нападател, който открадне резервните файлове, няма да може да прочете тяхното съдържание. Това значително намалява стойността на кражбата и прави много тактики за двойно изнудване („плати ми или ще публикувам данните ти“) безсмислени.
В някои сценарии, хардуерно криптиране с помощта на HSM модули (PCIe карти, USB токени, смарт карти, HASP ключове и др.) Той осигурява допълнителен слой сигурност.Това прави извличането на ключове много по-трудно. Недостатъкът е, че добавя разходи, зависимост от драйвери и известна оперативна сложност.
За да защитите допълнително резервните си копия от ransomware, препоръчително е да ги комбинирате с изолирано съхранениеСистеми, изключени от мрежата, непроменяеми хранилища или хранилища с възможности за непроменливост. По този начин злонамереният софтуер не може дори да променя или изтрива резервни копия, а ако те са и криптирани, не може да използва тяхното съдържание.
Шифроване в покой и криптиране при пренос
Когато говорим за криптирани резервни копия, има два ключови момента, в които данните трябва да бъдат защитени: докато пътуват през мрежата (при пренос) и докато се съхраняват в местоназначението (в покой). В идеалния случай и двата фронта трябва да бъдат покрити, за да не останат уязвимости.
- Криптирането при пренос защитава мрежовия трафик, съдържащ копия на данниБез него, нападател със снифер би могъл да улови пакети и да реконструира чувствителна информация. За да се предотврати това, протоколи като TLS в HTTPS връзки, защитени VPN мрежи или други механизми, които криптират потока между източника и местоназначението.
- Криптирането в покой се прилага към хранилището, където се намират резервните копия.Локални дискове, LTO ленти, облачни томове, обектно съхранение и др. Целта тук е, че ако някой получи достъп до физическия носител или система за съхранение, той ще види само криптирани данни, които е невъзможно да се интерпретират без ключ.
Най-препоръчителната е комбиниране на криптиране при пренос и в състояние на покойтака че данните да са защитени от край до край. Някои решения дори позволяват криптиране при източника и поддържане на това криптиране през целия жизнен цикъл на архивирането, както ще видим по-късно.
Алгоритми за криптиране и основни понятия
За криптиране на данни Използват се сложни математически алгоритми, заедно с ключове за криптиране.Много инструменти ви позволяват да извлечете тези ключове от парола или фраза за достъп, което улеснява потребителя да запомни тайната, без директно боравене с дълги ключове в двоичен или шестнадесетичен формат.
- СиметриченТе използват един и същ ключ за криптиране и декриптиране. Например AES, DES, 3DES, Blowfish или Twofish. За резервни копия обикновено се използва симетрично криптиране за ефективност.
- АсиметричноТе използват двойки ключове: публичен ключ за криптиране и частен ключ за декриптиране. Класическите са RSA (с 1024, 2048 или 4096-битови ключове), ECC, DSA или схеми за обмен като Diffie-Hellman.
AES (Advanced Encryption Standard) се превърна в де факто стандарт за защита на данни в хиляди приложения, включително системи за архивиране. Неговите 128, 192 и 256-битови варианти предлагат различни нива на сигурност и потребление на ресурси, като AES-256 е най-стабилният вариант и се използва широко в критични среди.
Колкото по-дълъг е ключът, толкова повече време и енергия ще са необходими за разбиване на криптирането. чрез груба сила, но също така увеличава използването на процесора и може леко да намали производителността на архивирането и възстановяването. В мрежа криптирането добавя и някои режийни разходи под формата на метаданни, заглавки и допълване.
В рамките на симетричните алгоритми се прави разлика между поточни шифри и блокови шифриВ първия случай се обработва непрекъснатият поток от данни, докато блоковите шифри работят с блокове с фиксиран размер (например 64 или 128 бита). AES, DES и Blowfish са примери за блокови шифри, много често срещани в системите за архивиране.
Рискове и недостатъци на криптираните резервни копия
Въпреки че криптирането осигурява много сигурност, то също така Това носи определени рискове и сложности. което е важно да се разбере. Най-очевидното е, че ако загубите ключа за декриптиране или паролата, резервното копие става неизползваемо завинаги; никой няма да може да възстанови тези данни, дори доставчикът на решението.
Друг основен риск е че трета страна получава достъп до ключоветеВ този случай цялото криптиране се проваля, защото нападателят може лесно да декриптира резервните копия. Ето защо е изключително важно да има стабилна политика за управление и съхранение на ключове, със строг контрол на достъпа и редовна ротация на ключовете.
Съществуват и специфични съображения при криптиране на ниво цял диск (FDE) или на ниво том. Ако криптиран диск физически се повреди, възстановяването в лабораторна среда може да е непрактично, което прави резервните копия (в идеалния случай съхранявани на отделни носители) още по-важни, за да се избегне загуба на данни.
Следователно е жизненоважно да се извърши периодични пробни реставрации. Не е достатъчно да се доверите, че криптираното резервно копие е налице; трябва да проверите дали то действително може да бъде възстановено при различни сценарии (загуба на сървър, промяна на версията на софтуера, миграция към друг екземпляр и др.).
Управление на ключове: ахилесовата пета на криптирането
Използването на един-единствен ключ за криптиране на цялата среда е бомба със закъснител.Ако някой открадне този ключ или той случайно изтече, това автоматично отваря вратата към всички криптирани данни. Най-добрият подход е да сегментирате данните си: използвайте различни ключове за различни системи, клиенти, типове данни или хранилища.
Тези ключове трябва да се съхраняват на високо защитени места, с достъп, ограничен до оторизиран персонал, и с ясни правила за ползване. Освен това, трябва да са налице процеси за ротация на ключове, анулиране, архивиране на ключове и процедури за възстановяване в случай на загуба на ключ.
За да управлявате целия този жизнен цикъл на ключовете Често срещано е внедряването на KMS (система за управление на ключове)който централизира тяхното създаване, съхранение, използване и ротация. Подходящ стандарт в тази област е KMIP (Key Management Interoperability Protocol), предназначен да позволи на различни системи да комуникират с ключовата услуга.
Някои KMS функционират като трезори за ключовеС много строг контрол на достъпа, подробен одит на това кой използва кой ключ и откъде, както и поддръжка на HSM модули, този компонент е критичен при управлението на много криптирани резервни копия, разпределени между локални и различни облаци.
Криптиране на резервни копия в специализирани решения: NAKIVO, AWS и Azure
Съвременните пакети за защита на данни интегрират криптирането като стандартна функцияпредлагайки много подробни опции за избор къде и как се прилагат алгоритмите, както и тяхната интеграция с услуги за управление на ключове в облака.
Криптиране на резервни копия с NAKIVO Backup & Replication
Архивиране и репликация на NAKIVO Включва AES-256 криптиране за защита на резервните копия Също така позволява многостепенно криптиране: при източника, по време на пренос през мрежата и директно в целевото хранилище. Това осигурява значителна гъвкавост при проектирането на стратегията.
Поддържаните дестинации за този тип криптиране включват локални папки, NFS, SMB и облачни услуги като Amazon EC2, S3 и Wasabi.Съвместимо обектно хранилище, Azure Blob, Backblaze B2, устройства за дедупликация и дори ленти, стига хранилището да е инкрементално с периодични пълниния.
Мрежово криптиране, налично и в предишни версииРаботи между два компонента на NAKIVO Transporter: изходният компонент компресира и криптира данните, а целевият компонент ги декриптира и записва в хранилището. Полезно е, когато VPN не е налична, но е необходим криптиран трафик.
Що се отнася до криптирането на хранилищата, то може да бъде активирано при създаване на ново хранилище в Linux. (Инкрементални режими с пълно или постоянно инкрементално криптиране). Чрез избиране на опцията за криптиране, всички резервни копия, съхранявани в това хранилище, се криптират автоматично, въпреки че трябва да се отбележи, че в този случай непроменяемостта на резервните копия е деактивирана.
NAKIVO позволява и интеграция с AWS KMS като услуга за управление на ключове.Това избягва разчитането единствено на пароли, съхранявани в базата данни на директора. След като акаунтът и регионът на AWS са свързани, можете да изберете KMS ключа, който да се използва за резервно копие на пароли за криптиране.
Независимо криптиране на резервни копия с AWS Backup
AWS архивиране Това позволява на резервните копия да имат собствена схема за криптираненезависимо от този, използван в изходния ресурс. Например, S3 контейнер може да бъде криптиран с един метод, а резервното му копие в хранилището на AWS Backup с друг, контролиран от KMS ключа, свързан с това хранилище.
В видовете ресурси, които не се управляват напълно от AWS BackupКопията обикновено наследяват настройките за криптиране на оригиналния ресурс (както в EBS). В тези случаи конфигурацията се извършва съгласно специфичните указания на услугата източник.
Задължително е ролята IAM да има разрешения за използвания KMS ключ. да извършва и възстановява резервни копия. В противен случай задачата може да бъде маркирана като успешна на ниво оркестрация, но конкретните обекти няма да бъдат копирани или възстановени, защото ключът не може да бъде използван.
Когато копирате резервни копия между акаунти или региони, AWS Backup автоматично криптира копието.Обикновено криптирането ще използва стандартния алгоритъм AES-256, дори ако оригиналното копие не е било криптирано. Използваният ключ ще бъде този, свързан с целевия трезор в другия акаунт или регион.
Много е важно да се прегледат ключовите политики на KMS. за да се гарантира, че няма откази, блокиращи операциите по архивиране или възстановяване, или отменени разрешения, които пречат на AWS Backup да използва ключа alias/aws/backup в копия между региони.
Шифроване на резервни копия със собствени ключове в Azure Backup
Архивиране на Azure Предлага възможност за криптиране на резервни данни с управлявани от клиента ключове (CMK). вместо управляваните от платформата ключове (PMK), които се предоставят по подразбиране. Тези ключове се съхраняват в Azure Key Vault и може да се различават от тези, които защитават изходните данни.
Моделът е базиран на ключ за криптиране на данни AES-256 (DEK).Това е допълнително защитено от ключ за криптиране на ключове (KEK), който се намира в Key Vault. По този начин клиентът поддържа много прецизен контрол върху ключовете и може да ги върти според своите правила.
Има редица важни съображения: CMK могат да се използват само в нови трезори на Recovery Services. Без вече регистрирани елементи не е възможно да се върне CMK хранилище към PMK и този тип криптиране не се поддържа от агента MARS или от виртуални машини от класическия модел.
За да работи криптирането със собствени ключове, трябва да следвате няколко стъпкиАктивиране на управлявана самоличност (системна или потребителска) в хранилището, предоставяне на разрешения в хранилището за ключове, където се намира CMK, активиране на временно изтриване и защита от прочистване в хранилището за ключове и накрая свързване на ключа с хранилището на Recovery Services.
След като конфигурирате, работният процес за архивиране и възстановяване е практически идентичен спрямо стандартен склад с PMK. От гледна точка на потребителя, опитът със защитата на виртуални машини, SAP HANA, SQL Server и др. почти не се променя, въпреки че CMK се използва под него.
Azure ви позволява също да активирате автоматично въртене на CMK. Ако ключът е избран директно от Key Vault (без да се задава версията в URI), той предлага политики на Azure за одит и изисква новите трезори да използват криптиране чрез управлявани от клиента ключове.
Криптиране на данни и архивиране в рамките на испанската и европейската правна рамка
В испанския и европейския контекст криптирането на данни не е просто добра практикано е изрично посочено в GDPR като една от подходящите технически мерки за смекчаване на рисковете при обработката на лични данни.
Съображение 83 от GDPR гласи, че администраторите и обработващите лични данни трябва да оценяват рисковете и да прилагат мерки за смекчаването им, „като например криптиране“. Испанската агенция за защита на данните (AEPD) подчертава този момент и счита криптирането за основен елемент в политиката за сигурност на организацията.
Въпросът вече не е дали законът позволява съхраняването на криптирани данниа по-скоро в кои случаи е задължително и в кои е поне силно препоръчително. Чувствителните, финансовите или специално защитените данни трябва да бъдат криптирани почти по подразбиране, както в производствения процес, така и в резервните копия.
За малките и средни предприятия въздействието е същото като за големите компанииАко малка компания претърпи пробив в некриптирани резервни копия, съдържащи лични данни, тя е изправена пред значителни санкции и удар по репутацията, от който не винаги се възстановява. Ако обаче съдържанието е било надеждно криптирано, действителният риск от разкриване е значително намален.
Всичко, което видяхме, сочи към една проста идея: некриптираният архив е огромен риск.От техническа, правна и бизнес гледна точка, надеждното криптиране, правилното управление на ключовете, изолираното или непроменяемо съхранение и възможностите на решения като NAKIVO, AWS Backup или Azure Backup позволяват изграждането на наистина устойчива стратегия за архивиране, подготвена за среда, в която заплахите и регулаторните изисквания непрекъснато се развиват.
