I backup crittografati sono una buona idea?


23

Sono responsabile di un piccolo set di laptop e volevo avviare una sorta di backup remoto automatizzato (tramite WAN); i backup andrebbero su un'unità RAID. Dato che non abbiamo davvero un deposito sicuro per contenere tutte le nostre unità (se qualcuno volesse, potrebbe distruggere le finestre e prendere le nostre unità), stavo considerando l'uso della crittografia, forse qualcosa di simile alla duplicità ( http: //duplicity.nongnu .org / ). Ne ho discusso con alcuni degli sviluppatori, ma sembrano convinti che la crittografia sia una cattiva idea perché un singolo bit negativo potrebbe rovinare l'intero blocco. Tuttavia, in realtà non ho sentito parlare di storie horror in cui ciò è accaduto. Qual'è la tua opinione? I vantaggi superano i rischi con la crittografia?


3
Come qualcuno che ha appena perso un sacco di dati a causa di un backup crittografato in cui ero sicuro di ricordare la password, mi asterrò dal rispondere. Le chiavi di crittografia non sono uno scherzo, la memoria a lungo termine è una cosa divertente.
Joris,

5
@Joris - Ecco perché la memoria non dovrebbe mai essere attendibile. Documento! Mi piace pensare (beh, non proprio, ma capirai il punto) su cosa succederebbe se venissi investito da un autobus (o promosso, o strappato via per qualunque motivo tu voglia).
Jason Berg,

Fare domande ragionevoli è una buona idea.
poige,

1
inoltre, non sottovalutare mai la durata della memoria di una cassaforte fisica :-)
Sirex

Risposte:


22

Faccio questo, e funziona per me (come in, i backup funzionano bene e ho fatto diversi ripristini). Uso la bacula, che la supporta. Per i miei soldi, i suggerimenti per ottenere questo giusto includono:

1) La chiave di decodifica viene mantenuta (non crittografata) su un CD-R, non nella mia testa. Esistono diverse copie del CD-R e nessuna di queste è con me. Ho solo bisogno di fare ripristini una volta ogni pochi mesi e francamente probabilmente dimenticherò una password che ho usato di rado. Questo significa anche che la mia sicurezza non è limitata dalla lunghezza di una passphrase memorabile.

2) Il software di backup deve già supportare questo; non iniziare a hackerarlo nel tuo strumento preferito, perché potresti sbagliarlo e non lo saprai fino a quando non è vitale che funzioni (ad esempio, ripristinare i tempi).

3) Hai un punto sui bit-flip, ma quelli possono rovinare qualsiasi backup. Pulisco le testine ogni volta che l'unità lo richiede, ruoto i nastri ogni pochi anni e soprattutto mantengo molti incrementi. Se un capovolgimento ha davvero rovinato l'incremento di ieri, posso sempre tornare al giorno prima, il che salverà gran parte del mio culo.

4) Documentare la procedura di ripristino . La crittografia complica sempre le cose, soprattutto se è fatta bene e non vuoi riscoprire la ruota quando sei sotto pressione per riavere il database degli account. Ho scritto un breve README con molti dettagli molto specifici per la mia configurazione (una vera guida passo-passo, tutti i percorsi elencati in modo esplicito, quel genere di cose) ed è masterizzato sugli stessi CD delle chiavi di decrittazione.

5) Soprattutto, provalo molto . Dovresti comunque testare regolarmente i tuoi restauri, ma una volta che hai fatto qualcosa di intelligente come questo diventa assolutamente fondamentale che tu abbia la certezza che le cose funzionino come dovrebbero.

I vantaggi derivanti da questa pratica includono non doversi preoccupare quando la memorizzazione fuori sede perde un nastro o due, come - essendo solo umani - lo fanno di volta in volta; distruggere in modo sicuro vecchi nastri è facile (gettare nel cestino); e avere tutti i miei file system crittografati su disco non viene più compromesso dalla presenza di una pila di nastri di backup non crittografati nella porta accanto.


4
Grande +1 sull'enfasi sulla documentazione e sui ripristini dei test.
andol

1
+1 non può enfatizzare abbastanza documentazione e test. Qualcuno una volta mi ha detto che non funziona fino a quando non lo hai provato. Questo vale ancora di più con i backup.
Nixphoe,

Inoltre, nella maggior parte della modalità di cifratura CTR, un capovolgimento influenzerà solo quel singolo blocco di dati. Il resto del backup dovrebbe andare bene.
Jeff Ferland,

4

ma sembrano convinti che la crittografia sia una cattiva idea perché un singolo bit negativo potrebbe rovinare l'intero blocco

Questa non è una buona ragione per non usare la crittografia. Lo stesso vale per la maggior parte dei backup compressi. Il modo migliore per risolvere il problema sarebbe quello di utilizzare un file system con tolleranza agli errori (i formati di file con tolleranza agli errori sono molto sottili sul campo, soprattutto perché non gestiscono tanti scenari di errore quanto i filesystem con tolleranza agli errori).

Come per qualsiasi backup, è necessario assicurarsi di poter accedere alle risorse necessarie per ripristinare i dati e verificare / eseguire periodicamente ripristini di prova.

Tuttavia, è molto più probabile che si perda un laptop rispetto a un server di backup, quindi se i tuoi dati sono preziosi, la tua prima porta di chiamata dovrebbe capire come proteggere i dati sul laptop. Ciò avrà probabilmente un grande impatto sulla scelta di come proteggere il backup.


3

Hanno i loro vantaggi e svantaggi, come qualsiasi altro. Il problema con i bit-flip che rovinano tutto 1 può essere risolto verificando correttamente i backup e avendo più di una copia (che è sempre una buona idea - uno in loco per un ripristino rapido e uno fuori sito per scopi di DR ).

Per quanto riguarda i vantaggi della crittografia stessa, si riduce davvero a quanto sarebbe grave se i backup venissero rubati. La maggior parte delle aziende in questi giorni dispone di dati criticamente sensibili che vale la pena fare almeno un progetto pilota (per conoscere le questioni pratiche della gestione della cosa) e fare un'analisi del ROI sull'intera faccenda.


  1. Pactically parlando, blocchi muoiono in dischi, non bit, e se si ha fatto avere un po 'non rilevabile-flip in una probabilità non crittografati di backup sono probabilmente avete silenziosamente corrotto qualcosa di importante in ogni caso.

2

Uso rsync su ssh per eseguire il backup di 100 GB di dati di server Web remoti ogni notte: bastano pochi minuti per trasferire le differenze e mantenere sincronizzato un mirror locale. Tuttavia, ciò si basa sul fatto che la destinazione non viene crittografata.

Una volta che i dati sono stati ricevuti, possono essere archiviati utilizzando tar, compressi con gzip, (facoltativamente testati con gzip -t) e quindi facoltativamente crittografati e rinominati con la data e memorizzati su un sistema raid. (Ho trovato più facile archiviare il tutto piuttosto che scherzare con gli incrementali).

Se l'unità raid utilizza un file system crittografato, non dovrebbe essere necessario crittografare ulteriormente i backup. Se le unità vengono rubate, dovrebbero rimanere illeggibili, ma se prendono l'intero sistema e la chiave è disponibile ovunque, allora è un punto controverso.

È possibile crittografare i file singolarmente, ma la loro sicurezza è sicura solo come la posizione della chiave.

Potresti servire la chiave su https da un server web remoto in funzione dell'indirizzo IP di origine, in questo modo se il sistema e i backup sono stati rubati, puoi comunque avere un certo controllo sulla chiave e disabilitarla in tempo.

Conservare sempre più copie, localmente e in remoto.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.