La copia de seguridad de datos es crucial para la prevención de la pérdida de datos y una recuperación rápida. Una parte de una estrategia de protección de datos segura y resistente es la encriptación de respaldo para evitar infracciones y el acceso a datos por personas no autorizadas. Esta publicación de blog cubre tipos de encriptación basados en dónde se encriptan los datos y explica cómo se puede utilizar un enfoque específico para una estrategia efectiva de encriptación de respaldo.
Tipos de Encriptación de Respaldo
La encriptación puede clasificarse en diferentes categorías basándose en el algoritmo de encriptación, la longitud de la clave y la ubicación donde se realiza la encriptación. La encriptación del lado de origen y la encriptación del lado de destino son términos utilizados en el contexto de la encriptación de datos, especialmente cuando los datos se están transfiriendo entre sistemas, como en almacenamiento en la nube o escenarios de copia de seguridad de datos. Se refieren a dónde ocurren los procesos de encriptación y desencriptación.
Encriptación del Lado de Origen
La encriptación del lado de origen, también conocida como encriptación del lado del cliente, implica encriptar los datos en el sistema del cliente (origen) antes de que se transmitan a otro sistema, como un servicio de almacenamiento en la nube o un servidor remoto. Este proceso asegura que los datos están protegidos desde el momento en que salen del control del cliente, manteniendo su confidencialidad e integridad a lo largo de la transmisión y el almacenamiento.
NOTA: La encriptación del lado de origen está estrechamente relacionada con lo que a menudo se conoce como encriptación del lado del cliente. De hecho, los dos términos se utilizan frequently de manera intercambiable, aunque el contexto puede variar dependiendo de la aplicación o sistema específico en cuestión.
Cómo funciona la encriptación del lado de origen
Cuando un usuario o aplicación genera datos en un dispositivo, como una computadora o servidor, los datos primero se cifran localmente en ese dispositivo. El proceso de cifrado utiliza un algoritmo de cifrado fuerte, como AES (Advanced Encryption Standard), que transforma los datos legibles en un formato cifrado que no se puede leer sin la clave de descifrado correspondiente. Esta clave de cifrado generalmente es gestionada por el cliente, lo que significa que solo el cliente, o entidades autorizadas con acceso a la clave, pueden descifrar y acceder a los datos originales.
Luego de cifrar los datos, se transmiten al sistema de destino. Durante esta transmisión, los datos permanecen cifrados, reduciendo el riesgo de filtraciones si son interceptados. Dado que los datos ya están cifrados antes de salir del entorno del cliente, el sistema receptor no necesita saber su contenido ni poder descifrarlo.
Después de llegar al sistema de destino, los datos se almacenan en su estado cifrado. El servidor o servicio de almacenamiento solo mantiene los datos cifrados y generalmente no tiene acceso a las claves de descifrado, lo que significa que no puede descifrar los datos por sí mismo. Esta configuración asegura que los datos sigan siendo seguros incluso si el sistema de almacenamiento se ve comprometido, ya que los datos no se pueden leer sin la clave de descifrado correcta.
Cuando el cliente o un usuario autorizado necesita acceder a los datos almacenados, los datos cifrados se recuperan del sistema de destino y se devuelven al cliente (sistema de origen). El cliente luego utiliza la clave de descifrado original para descifrar los datos localmente, convirtiéndolos nuevamente a su forma original, legible. Este proceso de descifrado ocurre completamente en el sistema del cliente, asegurando que los datos permanecen bajo el control del cliente a lo largo de su ciclo de vida.
La encriptación en el lado de origen es especialmente valiosa en escenarios donde el cliente desea mantener el control sobre la seguridad de los datos, como cuando almacena información sensible en entornos de nube. Sin embargo, también requiere que el cliente gestione las claves de encriptación de manera segura, ya que perder estas claves haría que los datos se convirieran en permanentemente inaccesibles. Este enfoque proporciona un nivel fuerte de protección de datos.
Beneficios de la encriptación en el lado de origen
La encriptación en el lado de origen permite al cliente mantener un control completo sobre el proceso de encriptación, incluyendo las claves de encriptación. Este enfoque asegura que los datos estén protegidos antes de salir del entorno del cliente, proporcionando un nivel más alto de confianza y autonomía. El cliente puede adaptar los métodos de encriptación y las estrategias de gestión de claves para cumplir con requisitos específicos de seguridad y cumplimiento, haciendo que este enfoque sea especialmente beneficioso para datos sensibles o regulados.
Seguridad
Uno de los principales beneficios de seguridad de la encriptación en el lado de origen es que los datos se encriptan en su origen, lo que significa que están seguros durante el tránsito y en reposo. Debido a que el cliente controla las claves de encriptación, los datos permanecen inaccesibles para cualquier persona, incluyendo proveedores de servicios o terceros, que no poseen las claves. Como resultado, el riesgo de acceso no autorizado o filtraciones de datos se reduce significativamente, incluso si el sistema de almacenamiento se ve comprometido. Además, la encriptación es de extremo a extremo, asegurando que los datos permanecen protegidos a lo largo de todo su ciclo de vida.
Desempeño
La encriptación en el lado de origen puede tener un impacto notable en el rendimiento, ya que los procesos de encriptación y desencriptación ocurren en el dispositivo del cliente (origen). Dependiendo del tamaño y complejidad de los datos, esto puede requerir recursos computacionales significativos, lo que podría ralentizar las operaciones, especialmente para grandes conjuntos de datos o dispositivos con recursos limitados. La gestión de claves también puede añadir complejidad, requiriendo un manejo cuidadoso para evitar cuellos de botella en el rendimiento o posibles pérdidas de datos si las claves son mal manejadas.
Encriptación en el lado de destino
La encriptación en el lado de destino, también conocida como encriptación en el servidor, se refiere al proceso de encriptar datos por el sistema de destino (como un proveedor de servicios en la nube, un servidor remoto o una base de datos) después de haber sido recibidos del origen (cliente). Este enfoque de encriptación se utiliza ampliamente en servicios de almacenamiento en la nube, bases de datos y otros escenarios donde los datos necesitan estar protegidos después de ser recibidos y almacenados. Este método coloca la responsabilidad de encriptar y asegurar los datos en el servidor (destino) en lugar de en el cliente (origen).
Cómo funciona la encriptación en el lado de destino
Cuando un cliente envía datos a un sistema de destino, los datos generalmente llegan en texto plano, aunque pueden estar protegidos durante la transmisión utilizando protocolos de seguridad de capa de transporte como TLS/SSL. Una vez que los datos alcanzan el sistema de destino, el servidor asume el proceso de encriptación. El servidor utiliza un algoritmo de encriptación fuerte, como AES (Advanced Encryption Standard), para convertir los datos en un formato encriptado. Esto asegura que los datos estén protegidos y no puedan ser leídos por cualquier usuario o aplicación que pueda acceder de manera no autorizada al almacenamiento del servidor.
El servidor de destino maneja las claves de cifrado necesarias para este proceso. Estas claves pueden ser generadas y almacenadas por el propio servidor, o pueden ser gestionadas a través de un servicio dedicado de gestión de claves (KMS). Las claves de cifrado son cruciales tanto para cifrar como para descifrar los datos y su gestión es central para mantener la seguridad de los datos cifrados.
Después de cifrar los datos, el servidor de destino los almacena en su forma cifrada, ya sea en disco, en una base de datos o dentro de un sistema de almacenamiento en la nube. Los datos permanecen cifrados en reposo, lo que significa que incluso si el medio de almacenamiento físico es accedido por personas no autorizadas, solo verían los datos cifrados, que serían inútiles sin la clave de descifrado.
Cuando un usuario o sistema autorizado solicita los datos, el servidor los descifra antes de devolverlos al cliente. Este proceso de descifrado generalmente no es visible para el cliente, que puede ni siquiera ser consciente de que los datos estaban cifrados durante el almacenamiento. El cliente recibe los datos en su forma original y legible, listos para ser utilizados.
El cifrado en el lado de destino simplifica el proceso para el cliente (lado de origen), ya que el cliente no necesita preocuparse por manejar el cifrado o gestionar las claves. El servidor o proveedor de la nube maneja estas responsabilidades, asegurando que los datos se cifran de manera uniforme y protegidos según las políticas de seguridad del proveedor. Sin embargo, esto también significa que el cliente debe confiar en el servidor para gestionar las claves de cifrado de manera segura y para realizar los procesos de cifrado y descifrado correctamente.
Este método se utiliza comúnmente en servicios de almacenamiento en la nube, bases de datos y otros entornos donde se necesita almacenar grandes cantidades de datos de manera segura. Proporciona una manera eficiente de proteger los datos en reposo, convirtiéndolo en una opción popular para las organizaciones que desean garantizar la seguridad de los datos sin agregar complejidad en el lado del cliente de la operación.
Beneficios de la encriptación en el lado de destino
La encriptación en el lado de destino simplifica el proceso de encriptación para el cliente en el lado de origen al cambiar la responsabilidad al servidor de destino o proveedor de servicios en la nube. El cliente no necesita preocuparse por implementar algoritmos de encriptación o gestionar claves de encriptación, ya que estas tareas son manejadas por el sistema de destino. Esto facilita la integración de la encriptación en flujos de trabajo existentes, especialmente en entornos donde la facilidad de uso y la escalabilidad son importantes. También asegura la aplicación consistente de políticas de encriptación en todos los datos almacenados en el servidor.
Seguridad
Mientras que la encriptación en el lado de destino asegura que los datos estén encriptados en reposo, requiere que el cliente confíe en el servidor o proveedor de servicios en la nube para gestionar el proceso de encriptación y proteger las claves de encriptación. La seguridad de los datos depende de la capacidad del servidor para gestionar adecuadamente las claves y aplicar políticas de seguridad. Sin embargo, si el servidor se ve comprometido, existe un riesgo potencial de que usuarios no autorizados puedan acceder tanto a los datos encriptados como a las claves necesarias para desencriptarlos. Para mitigar esto, muchos servicios ofrecen características adicionales de seguridad, como servicios de gestión de claves (KMS) y módulos de seguridad de hardware (HSM) para fortalecer la protección de las claves.
Desempeño
La cifrado en el lado de destino generalmente tiene un impacto de menor rendimiento en el cliente (lado de origen), ya que el trabajo pesado de cifrado y descifrado es realizado por el servidor de destino. Esto puede llevar a un mejor rendimiento en el lado del cliente, especialmente para dispositivos con capacidad de procesamiento limitada. Sin embargo, los procesos de cifrado y descifrado aún consumen recursos en el servidor, lo que puede afectar el rendimiento del servidor, especialmente en entornos de alta demanda. Además, la necesidad de descifrar los datos en el servidor antes de enviarlos de vuelta al cliente puede introducir algo de latencia, aunque esto suele ser mínimo en sistemas bien optimizados.
Cifrado en el Lado de Origen vs Cifrado en el Lado de Destino
La tabla a continuación enumera los principales parámetros para resumir las diferencias entre el cifrado en el lado de origen y el cifrado en el lado de destino (cifrado en el lado del cliente vs cifrado en el lado del servidor).
| Característica/Aspecto | Encriptación del lado de la fuente | Encriptación del lado del objetivo |
| Definición | La encriptación de datos se realiza en la fuente antes de su transmisión. | La encriptación de los datos se realiza una vez que llegan a su destino. |
| Control | Típicamente, el propietario o remitente de los datos tiene el control sobre el proceso de cifrado y las claves. | El destinatario de los datos o proveedor de servicios de almacenamiento suele gestionar el proceso de cifrado y las claves. |
| Gestión de claves | Las claves suelen estar controladas y gestionadas por el emisor/propietario de los datos. | Las claves son gestionadas por el destinatario de los datos o el proveedor de servicios de almacenamiento. |
| Responsabilidad de seguridad | La responsabilidad principal recae en el remitente de los datos para garantizar que éstos se cifran antes de su transmisión. | La responsabilidad principal recae en el destinatario de los datos o en el proveedor de almacenamiento para cifrar los datos tras su recepción. |
| Seguridad de transmisión | Los datos se cifran durante el tránsito, lo que proporciona seguridad contra la interceptación. | Los datos podrían ser interceptados en texto plano durante el tránsito si no están cifrados; se centra más en la protección de los datos almacenados. |
| Complejidad de la integración | Puede requerir más trabajo de integración por parte del emisor de datos para implementar mecanismos de cifrado. | Generalmente más fácil de implementar, ya que el proceso de cifrado tiene lugar después de la recepción, a menudo utilizando herramientas de servicio estándar. |
| Impacto en el rendimiento | Potencial sobrecarga de rendimiento en el lado del cliente debido a los procesos de cifrado antes de que se envíen los datos. | Menor impacto en el lado del cliente; la sobrecarga de rendimiento se produce en el lado del servidor o del almacenamiento debido a los procesos de cifrado tras la recepción. |
| Cumplimiento y política | Permite a los remitentes cumplir políticas y normativas específicas de protección de datos controlando ellos mismos el cifrado. | Puede satisfacer los requisitos de cumplimiento relacionados con las políticas de cifrado de datos en reposo y las responsabilidades del custodio de los datos. |
| Casos de uso | Útil en escenarios en los que la transmisión segura es crítica, como el intercambio de datos sensibles. | Común en soluciones de almacenamiento en la nube y almacenamiento de datos donde la protección de datos es necesaria principalmente para los datos almacenados. |
Cifrado de copia de seguridad del lado de origen con NAKIVO
Para la copia de seguridad de datos se pueden utilizar tanto tipos de cifrado del lado de origen como del lado de destino. Exploremos la encriptación del lado de la fuente en el contexto de la copia de seguridad de datos.
NAKIVO Backup & Replication es una solución avanzada de protección de datos que admite el cifrado de respaldo. Se utiliza un algoritmo fuerte AES-256 (la longitud de 256 bits de la clave de cifrado) para el cifrado en la solución NAKIVO. El cifrado puede configurarse a nivel de repositorio de respaldo (para todos los respaldos almacenados en un repositorio de respaldo) como cifrado de destino. La otra opción es configurar el cifrado a nivel de trabajo de respaldo utilizando el cifrado del lado de origen. Como resultado, los respaldos se cifran durante las transferencias y se almacenan como datos cifrados en el repositorio de respaldo.
El cifrado de respaldo del lado de origen requiere ingresar una contraseña. Se utiliza un hash fuerte generado basado en la contraseña proporcionada para crear la clave de cifrado/descripción. Es importante no perder la contraseña de cifrado, ya que no podrá restaurar datos del respaldo cifrado sin la contraseña.
Requisitos para el cifrado del lado de origen:
- NAKIVO Backup & Replication v11.0 o más reciente
- Tipo de almacenamiento de datos: Incremental con respaldo completo (también se admite cinta)
Configuración del cifrado del lado de origen
El cifrado del lado de origen para los respaldos se configura en la interfaz web a nivel de trabajo.
- acza al paso Opciones de un asistente de trabajo de respaldo en NAKIVO Backup & Replication para establecer las opciones de cifrado.
- Establezca la opción de Cifrado de respaldo en Activado para implementar el cifrado en el lado de origen para una copia de seguridad.
NOTA: Cuando el cifrado de red está activado, los datos respaldados se cifran antes de ser transferidos a través de la red y se descifran al ser escritos en el repositorio de respaldo de destino. La carga de los Transportadores aumenta para cifrar y descifrar datos. Cuando el cifrado de respaldo está activado, los datos se cifran en el lado de origen, se transfieren como datos cifrados y se almacenan como datos cifrados en el repositorio de respaldo. Activar tanto el cifrado de respaldo como el cifrado de red aumenta la carga para el cifrado doble de los datos y no es necesario.
- Haga clic en Ajustes para establecer una clave de cifrado.
- Establezca los parámetros necesarios en la ventana Establecer una contraseña.
- Cree una nueva contraseña y confirme la contraseña.
- Ingrese una descripción, por ejemplo, Cifrado de respaldo contraseña.
Quando haga clic en Proceder, la nueva contraseña se guarda en la base de datos del NAKIVO Director, y puede seleccionar esta contraseña más adelante para otros trabajos de respaldo.
También puedes configurar un Servicio de Gestión de Claves (KMS) para medidas de protección adicionales. NAKIVO Backup & Replication es compatible con AWS KMS.
- Para habilitar AWS KMS, necesitas agregar una cuenta de AWS al inventario de NAKIVO.
- Para habilitar el Servicio de Gestión de Claves de AWS para el cifrado de respaldo, ve a Ajustes > General > Configuración del Sistema y cambia a la pestaña Cifrado.
- Selecciona la casilla de verificación Usar el Servicio de Gestión de Claves de AWS.
- Selecciona una cuenta de AWS añadida al inventario de NAKIVO.
- Selecciona una región de AWS.
- Selecciona una clave.
Puede verificar el estado de encriptación yendo a Configuración>Repositorios y seleccionando un repositorio de respaldo (por ejemplo, el repositorio integrado). Haga clic en el nombre del repositorio para ver la lista de respaldos en este repositorio.
Esta página muestra el nombre del respaldo, el estado de encriptación, el estado de la contraseña de encriptación, el nombre de la tarea y el tamaño.
Encriptación de respaldoestado:
- Encriptado
- No encriptado
Estado de la contraseña de encriptación:
- Disponible – se ha guardado un hash de contraseña correspondiente en la base de datos del NAKIVO Director.
- No disponible – un respaldo (punto de recuperación) está encriptado, pero el hash de la contraseña de encriptación no está disponible en la base de datos del Director.
- No aplicable – se muestra si un punto de recuperación de un respaldo no está encriptado.
Puede editar las opciones de la tarea de respaldo en cualquier momento y cambiar la configuración de encriptación del respaldo.
Conclusión
La encriptación en el lado de origen es una medida segura y efectiva para proteger los datos respaldados al transferirlos a través de la red y almacenarlos en un repositorio de respaldo de destino. Este tipo de encriptación de respaldo es efectivo para diferentes escenarios, incluyendo respaldo local y respaldo a la nube pública. El uso de contraseñas para generar claves de encriptación es accesible y amigable para los usuarios. Además, se puede utilizar un servicio avanzado de gestión de claves, como AWS KMS, para evitar olvidar y perder las claves de encriptación.
Descargue la última versión de NAKIVO Backup & Replication que admite cifrado en el lado de origen y cifrado en el lado de destino para implementar efectivamente su estrategia de respaldo.
Source:
https://www.nakivo.com/blog/backup-encryption-options/