Veeam Backup & Replication 之 数据加密

Posted 2022-03-04 wuweijava

三、加密密钥

服务密钥

会话密钥

最底层的加密密钥，对单个文件中的每个数据块加密

如上图中，三个备份文件使用​三个不同的会话密钥​加密

元数据密钥

会话密钥仅仅用于加密备份文件或备份归档的数据块，相应的元数据使用独立的元数据密钥加密

对于每个任务会话，生成一个新的元数据密钥

如上图中，三个元数据文件使用​三个不同的元数据密钥​加密

存储密钥

加密过程中，会话密钥和元数据密钥使用更高一层的密钥—存储密钥进行加密。​会话密钥和元数据密钥的密文被紧挨着加密数据块保存。（此处翻译可能存在歧义）​

​元数据密钥另外还会保存在配置数据库中。​

备份链中的备份文件通常需要进行转换，例如创建反向增量备份链。当Veeam Backup & Replication转换全备份文件时，它将数据块从多个还原点写入全备份文件。因此，全备份文件包含在不同作业会话中使用不同会话密钥加密的数据块。

要从这样的“组合”备份文件中恢复数据，Veeam backup & Replication将需要一堆会话密钥。例如，如果备份链包含两个月的恢复点，Veeam backup & Replication将必须保存两个月的会话密钥。

在这种情况下，存储和处理会话密钥将消耗资源，而且很复杂。为了简化加密过程，Veeam Backup & Replication引入了另一种类型的服务密钥——存储密钥。

对于存储密钥，Veeam Backup & Replication使用AES算法。存储密钥直接与备份链中的一个恢复点关联。存储密钥用于加密以下密钥:

• 一个还原点中所有数据块的所有会话密钥
• 一个还原点中的元数据密钥

在恢复过程中，无论使用多少会话密钥加密这个恢复点中的数据块，Veeam Backup & Replication使用一个存储密钥解密一个恢复点的所有会话密钥。因此，Veeam Backup & Replication不需要在配置数据库中保存会话密钥历史。相反，它只需要一个存储密钥就可以从一个文件中恢复数据。

在加密过程中，存储密钥是用更高一级的密钥加密的—用户密钥和可选的企业管理器公钥。​存储密钥的密文紧挨着加密数据块、会话密钥和元数据密钥的密文存储。（此处翻译可能存在歧义）​

​存储密钥也保存在配置数据库中。​

为了在数据库中维护一组有效的存储密钥，Veeam Backup & Replication使用为任务指定的保留策略。当从备份链中删除某个还原点时，与此还原点对应的存储密钥也将从配置数据库中删除。

用户密钥

当您为任务启用加密时，您必须定义一个口令来保护由该任务处理的数据，并为口令定义一个提示。口令和提示保存在任务设置中。根据这个口令，Veeam Backup & Replication生成一个用户密钥。

在加密过程中，Veeam Backup & Replication 使用你输入的口令加密存储密钥，并保存到一个文件中，之后你需要按照提示输入口令，来解密该文件，获取存储密钥。

你应该定期更换该用户密钥，当您更改任务的口令时，Veeam Backup & Replication会创建一个新的用户密钥，并使用它加密备份链中的新恢复点。

您必须始终记住为任务设置的口令，或将这些口令保存在安全的地方。如果您丢失或忘记口令，您可以通过Veeam backup Enterprise Manager从备份文件恢复数据。

企业管理器密钥

忘记口令或某个知道口令的人离职，可能造成备份无法恢复。

企业管理器密钥是不对称密钥。公钥用于加密数据，而私钥用于解密数据。

在加密过程中，企业管理器密钥扮演类似于用户密钥的角色:企业管理器公钥加密存储密钥，而企业管理器私钥解密。当您创建加密备份文件或归档加密数据保存到磁带时，Veeam backup & Replication使用两种类型的密钥​同时加密存储密钥。​

当你遗失了口令，无法解密用户密钥，你可以向企业管理器发起请求，使用企业管理器私钥解密存储密钥。

满足以下两个条件，企业管理器密钥才能​参与加密过程​：

• 企业版或更高版本，注意该功能包含在Veeam通用许可证中
• 已经安装了企业管理器，备份服务器已经连接到企业管理器

一对企业管理器密钥称为密钥集，由企业管理器创建和管理，在企业管理器安装过程中，会自动生成一个新的密钥集，你也可以在企业管理器生成新的密钥集，并对其激活、导入、导出、指定保留时间。企业管理器公钥对备份服务器公开，当备份服务器连接到企业管理器，公钥会自动传送到备份服务器。

企业管理器不存放公钥，备份服务器获取公钥后将其保存到配置数据库中。

而企业管理器私钥恰恰相反，始终只会保存在企业管理器中。

备份服务器密钥

为了保护您免受“中间人”的安全威胁，Veeam Backup & Replication使用备份服务器密钥。备份服务器密钥是在备份服务器上生成的一对RSA公钥和私钥。

• 备份服务器公钥发送到备份服务器连接的企业管理器，并保存在企业管理器的配置数据库中。
• 备份服务器私钥保存在备份服务器的配置数据库中。

备份服务器密钥用于验证请求发送方的身份。当备份服务器生成一个请求来解密文件时，它会向该请求添加一个用备份服务器私钥生成的签名。​（请求文件的摘要信息用私钥加密(签名)，一并发送，企业管理器使用服务器公钥解密签名，获取摘要信息，和请求文件的摘要信息比对，如果成功则可以完成企业管理器密钥的解密，进一步解密存储密钥，否则失败。）

---

我的教学视频：

我的主页

​​https://edu.51cto.com/lecturer/785479.html​​

购买下列套餐，知识体系更完整，搭配优惠码价格更优惠

之前购买过套餐的学员可以联系客服，以优惠价格购买新增课程

Veeam 虚拟机备份与容灾实践

​​https://edu.51cto.com/topic/2115.html​​

VMware vSphere 的日常维护

​​https://edu.51cto.com/topic/1971.html​​

阿里云高阶实战

​​https://edu.51cto.com/topic/2113.html​​

Cacti入门系列

​​https://edu.51cto.com/topic/2322.html​​

VMware Workstation 那些你没用过的功能挨个讲

​​https://edu.51cto.com/topic/4115.html​​

优惠码

DFNX-JXAG-318F-J42Y

DFNX-GXYM-W4TB-6SPK

DFNX-2XKC-HN17-87B3

DFNX-3XCR-P9Q6-CSPR

DFNX-DXB6-KT56-5JRB

DFNX-HXKN-8NQ5-JA8R

DFNX-5XP2-FYYS-KSCJ

DFNX-VXNW-SC33-1ESA

DFNX-SXFR-6TTM-PFQ4

​DFNX-WX84-WUAP-7THB​