Veeam Backup & Replication 之 数据加密

Posted wuweijava

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Veeam Backup & Replication 之 数据加密相关的知识,希望对你有一定的参考价值。

三、加密密钥


服务密钥

会话密钥

最底层的加密密钥,对单个文件中的每个数据块加密

Veeam

如上图中,三个备份文件使用​三个不同的会话密钥​加密


元数据密钥

会话密钥仅仅用于加密备份文件或备份归档的数据块,相应的元数据使用独立的元数据密钥加密

Veeam

对于每个任务会话,生成一个新的元数据密钥

如上图中,三个元数据文件使用​三个不同的元数据密钥​加密


存储密钥

加密过程中,会话密钥和元数据密钥使用更高一层的密钥—存储密钥进行加密。​会话密钥和元数据密钥的密文被紧挨着加密数据块保存。(此处翻译可能存在歧义)

元数据密钥另外还会保存在配置数据库中。

备份链中的备份文件通常需要进行转换,例如创建反向增量备份链。当Veeam Backup & Replication转换全备份文件时,它将数据块从多个还原点写入全备份文件。因此,全备份文件包含在不同作业会话中使用不同会话密钥加密的数据块。

要从这样的“组合”备份文件中恢复数据,Veeam backup & Replication将需要一堆会话密钥。例如,如果备份链包含两个月的恢复点,Veeam backup & Replication将必须保存两个月的会话密钥。

在这种情况下,存储和处理会话密钥将消耗资源,而且很复杂。为了简化加密过程,Veeam Backup & Replication引入了另一种类型的服务密钥——存储密钥。

对于存储密钥,Veeam Backup & Replication使用AES算法。存储密钥直接与备份链中的一个恢复点关联。存储密钥用于加密以下密钥:

  • 一个还原点中所有数据块的所有会话密钥
  • 一个还原点中的元数据密钥

Veeam


在恢复过程中,无论使用多少会话密钥加密这个恢复点中的数据块,Veeam Backup & Replication使用一个存储密钥解密一个恢复点的所有会话密钥。因此,Veeam Backup & Replication不需要在配置数据库中保存会话密钥历史。相反,它只需要一个存储密钥就可以从一个文件中恢复数据。

在加密过程中,存储密钥是用更高一级的密钥加密的—用户密钥和可选的企业管理器公钥。​存储密钥的密文紧挨着加密数据块、会话密钥和元数据密钥的密文存储。(此处翻译可能存在歧义)

存储密钥也保存在配置数据库中。

为了在数据库中维护一组有效的存储密钥,Veeam Backup & Replication使用为任务指定的保留策略。当从备份链中删除某个还原点时,与此还原点对应的存储密钥也将从配置数据库中删除。


用户密钥

当您为任务启用加密时,您必须定义一个口令来保护由该任务处理的数据,并为口令定义一个提示。口令和提示保存在任务设置中。根据这个口令,Veeam Backup & Replication生成一个用户密钥。

Veeam

在加密过程中,Veeam Backup & Replication 使用你输入的口令加密存储密钥,并保存到一个文件中,之后你需要按照提示输入口令,来解密该文件,获取存储密钥。

你应该定期更换该用户密钥,当您更改任务的口令时,Veeam Backup & Replication会创建一个新的用户密钥,并使用它加密备份链中的新恢复点。

您必须始终记住为任务设置的口令,或将这些口令保存在安全的地方。如果您丢失或忘记口令,您可以通过Veeam backup Enterprise Manager从备份文件恢复数据。


企业管理器密钥

忘记口令或某个知道口令的人离职,可能造成备份无法恢复。

企业管理器密钥是不对称密钥。公钥用于加密数据,而私钥用于解密数据。

Veeam

在加密过程中,企业管理器密钥扮演类似于用户密钥的角色:企业管理器公钥加密存储密钥,而企业管理器私钥解密。当您创建加密备份文件或归档加密数据保存到磁带时,Veeam backup & Replication使用两种类型的密钥​同时加密存储密钥。

Veeam

当你遗失了口令,无法解密用户密钥,你可以向企业管理器发起请求,使用企业管理器私钥解密存储密钥。

满足以下两个条件,企业管理器密钥才能​参与加密过程​:

  • 企业版或更高版本,注意该功能包含在Veeam通用许可证中
  • 已经安装了企业管理器,备份服务器已经连接到企业管理器

一对企业管理器密钥称为密钥集,由企业管理器创建和管理,在企业管理器安装过程中,会自动生成一个新的密钥集,你也可以在企业管理器生成新的密钥集,并对其激活、导入、导出、指定保留时间。企业管理器公钥对备份服务器公开,当备份服务器连接到企业管理器,公钥会自动传送到备份服务器。


Veeam

企业管理器不存放公钥,备份服务器获取公钥后将其保存到配置数据库中。

而企业管理器私钥恰恰相反,始终只会保存在企业管理器中。


备份服务器密钥

为了保护您免受“中间人”的安全威胁,Veeam Backup & Replication使用备份服务器密钥。备份服务器密钥是在备份服务器上生成的一对RSA公钥和私钥。

  • 备份服务器公钥发送到备份服务器连接的企业管理器,并保存在企业管理器的配置数据库中。
  • 备份服务器私钥保存在备份服务器的配置数据库中。

备份服务器密钥用于验证请求发送方的身份。当备份服务器生成一个请求来解密文件时,它会向该请求添加一个用备份服务器私钥生成的签名。​(请求文件的摘要信息用私钥加密(签名),一并发送,企业管理器使用服务器公钥解密签名,获取摘要信息,和请求文件的摘要信息比对,如果成功则可以完成企业管理器密钥的解密,进一步解密存储密钥,否则失败。)


我的教学视频:


我的主页

https://edu.51cto.com/lecturer/785479.html​​


购买下列套餐,知识体系更完整,搭配优惠码价格更优惠


之前购买过套餐的学员可以联系客服,以优惠价格购买新增课程


Veeam 虚拟机备份与容灾实践

​https://edu.51cto.com/topic/2115.html​



VMware vSphere 的日常维护

​https://edu.51cto.com/topic/1971.html​



阿里云高阶实战

​https://edu.51cto.com/topic/2113.html​



Cacti入门系列

​https://edu.51cto.com/topic/2322.html​



VMware Workstation 那些你没用过的功能挨个讲

​https://edu.51cto.com/topic/4115.html​



优惠码

DFNX-JXAG-318F-J42Y

DFNX-GXYM-W4TB-6SPK

DFNX-2XKC-HN17-87B3

DFNX-3XCR-P9Q6-CSPR

DFNX-DXB6-KT56-5JRB

DFNX-HXKN-8NQ5-JA8R

DFNX-5XP2-FYYS-KSCJ

DFNX-VXNW-SC33-1ESA

DFNX-SXFR-6TTM-PFQ4

DFNX-WX84-WUAP-7THB

以上是关于Veeam Backup & Replication 之 数据加密的主要内容,如果未能解决你的问题,请参考以下文章

Veeam Backup 11 配置信息备份与恢复

Veeam Backup & Replication 之 数据加密

Veeam Backup & Replication 12 配置信息备份

通过veeam backup Replication 进行虚拟机备份

Veeam Backup Free,Samba共享和PowerShell:拒绝访问

Veeam Backup for Red Hat Virtualization