Abilitare la crittografia dei backup con NAKIVO: una guida completa

La crittografia è ampiamente utilizzata per scopi di sicurezza perché impedisce a terze parti non autorizzate di accedere e diffondere dati privati. Anche i backup non sono un’eccezione e sono spesso un bersaglio di violazioni dei dati. Come parte di una strategia di protezione dei dati, è possibile implementare la crittografia come ulteriore livello di sicurezza per i vostri backup.

In questo articolo del blog, copriamo come la crittografia dei backup può aiutarti a proteggere i dati in caso di attacchi informatici e migliorare il livello complessivo di protezione dei dati per una infrastruttura di backup più sicura.

Cosa è la Crittografia dei Backup?

La crittografia dei backup è il processo di conversione dei dati di backup da un formato leggibile a un formato sicuro che è illeggibile senza una chiave di decrittografia speciale o una password. Questo garantisce che anche se i dati di backup vengono accessibili da individui non autorizzati, non possono essere letti, utilizzati o esposti senza le credenziali appropriate, che sono disponibili solo per gli utenti autorizzati. La crittografia dei backup è una misura di sicurezza chiave per proteggere le informazioni sensibili dal furto, dalla perdita o dall’esposizione durante lo stoccaggio e il trasferimento.

Un esempio di crittografia è la conversione di un testo in chiaro leggibile da chiunque in dati cifrati (testo cifrato in questo caso), che sono illeggibili se aperti nel modo usuale senza un cifrario. Di conseguenza, dopo aver convertito i dati originali utilizzando un codice segreto, il vero significato di questi dati è distorto e non comprensibile senza una chiave di decrittografia.

Importanza della Crittografia dei Backup

La crittografia del backup è importante per prevenire il furto dei dati e le violazioni da parte di terzi non autorizzati. I cybercriminali possono rubare i tuoi dati e vendere questi dati ai concorrenti o pubblicare i dati rubati su internet per causare maggiore danno alla tua organizzazione. Questo può portare a significative perdite di reputazione e finanziarie.

Moderni virus, spyware e ransomware sono strumenti popolari utilizzati da attori malintenzionati per attuare le loro intenzioni negative, e i loro attacchi sono diventati più sofisticati e frequenti. Oltre agli scopi di protezione dei dati per evitare l’accesso non autorizzato, ci sono anche altri motivi per cui la crittografia del backup è importante. Questi includono:

• Conformità e normative. Alcune categorie di attività commerciali devono soddisfare determinati requisiti normativi, come il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’UE, lo Standard di Sicurezza dei Dati dell’Industria delle Carte di Pagamento (PCI DSS), la Legge sulla Privacy dei Consumatori della California (CCPA), la Legge sulla Portabilità e Responsabilità dell’Assicurazione Sanitaria (HIPAA), il Decreto di Rapporto per le Infrastrutture Critiche (CIRCIA), SOC 3 (Sistemi e Controlli Organizzativi 3), ecc. Questi standard normativi impongono la crittografia dei dati alle organizzazioni durante la conservazione e il trasferimento.
• Miglioramento della sicurezza complessiva. I backup crittografati aggiungono un livello di sicurezza e migliorano la strategia di protezione dei dati. conservare i backup in un formato crittografato rende più sicuro il trasporto dei dati di backup su supporti di memorizzazione rimovibili come hard disk drive in un’altra posizione (ad esempio, un sito di ripristino in caso di disastro situato in un’altra regione geografica). Se un supporto portatile con backup crittografati viene perso o rubato, una terza parte non può accedere a dati critici e sensibili.

Backup crittografati contro il ransomware

I backup vengono utilizzati per proteggere i dati creando almeno una copia aggiuntiva dei dati originali per consentire un rapido recupero quando necessario. Pertanto, se la copia originale dei dati viene corrotta o cancellata da un ransomware, è possibile recuperare i dati da un backup. Gli attaccanti conoscono questa strategia e cercano di accedere ai backup dei dati per distruggerli e rendere impossibile il recupero dei dati. Prima di corrompere o distruggere i backup, gli attaccanti informatici possono copiare i backup sui loro server per estrarre i dati dai backup rubati.

Se i backup vengono conservati come file crittografati, questo approccio non aiuta a proteggere questi file dalla corruzione o dalla cancellazione da parte del ransomware. Il ransomware utilizza solitamente algoritmi di crittografia potenti per criptare i dati e, quindi, renderli illeggibili o, in altre parole, corrotti. Il ransomware può ricrittografare i file di backup precedentemente crittografati da te o dalla tua applicazione di backup per renderli inaccessibili a te.

Allo stesso tempo, se il ransomware invia i tuoi file di backup crittografati agli attaccanti, gli attaccanti non saranno in grado di accedere ai tuoi dati se si utilizzano algoritmi di crittografia robusti e le chiavi, le password e le credenziali sono conservate in un luogo sicuro. Gli attaccanti amano richiedere un riscatto per non pubblicare i dati rubati, ma se cripti i tuoi backup e i dati di backup non sono accessibili agli attaccanti, i dati di backup crittografati rubati diventano inutili per loro. I backup crittografati sono più resistenti alle manipolazioni.

La crittografia hardware può essere più efficace in alcuni casi quando si tratta di attacchi di ransomware, ma questa approccio ha i suoi svantaggi. I moduli di sicurezza hardware (HSM) possono essere utilizzati per la crittografia hardware. Può essere una scheda PCIe e le chiavi di crittografia possono essere conservate su un dispositivo USB speciale (visivamente simile a una chiavetta USB). Le smart card o le chiavi HASP sono altri esempi di conservazione delle chiavi hardware per la crittografia/decriptazione. È più difficile estrarre le chiavi da tali dispositivi. In questo caso, è necessario installare i driver appropriati sul computer.

Utilizza lo storage disconnesso da rete per proteggere i tuoi backup contro il ransomware. Questo tipo di storage impedisce la modifica dei dati da parte del ransomware. Il ransomware non può copiare dati dallo storage disconnesso da rete che è fisicamente disconnesso da un computer e una rete. Utilizza storage immutabile o storage con capacità di immutabilità dei backup, il cui scopo è simile a quello dello storage disconnesso da rete per la protezione dei backup.

Crittografia a riposo e in transito

I backup possono essere crittografati durante la scrittura sul supporto di archiviazione di destinazione. Poiché i dati di backup vengono solitamente trasferiti in rete prima di essere scritti sul supporto di archiviazione di destinazione, è importante crittografare il traffico di rete con questi dati. I malintenzionati possono utilizzare uno sniffer del traffico per intercettare (catturare) il traffico di rete e accedere così ai dati di backup. La crittografia dei dati in transito riduce il rischio di un tale evento. La crittografia in transito viene eseguita tra l’origine dei dati e l’archiviazione di destinazione del backup.

La crittografia a riposo comporta la crittografia dei dati di backup sull’archiviazione di backup, ad esempio un archivio di backup su dischi rigidi, cartucce a nastro, cloud, ecc. Mentre la crittografia dei dati di backup in transito li protegge se gli hacker accedono a una rete, la crittografia dei backup a riposo li protegge se gli hacker accedono all’archiviazione di backup.

La crittografia in transito e la crittografia a riposo possono essere utilizzate insieme per la crittografia dei backup e per aumentare il livello di sicurezza.

Algoritmi di crittografia

Per implementare la crittografia dei dati si utilizzano algoritmi matematici complessi e chiavi di crittografia/decrittografia. Per maggiore comodità, il software può trasformare una password o una passphrase in una chiave di crittografia della lunghezza appropriata. Questo approccio consente agli utenti di memorizzare le password, il che è più facile che imparare chiavi di crittografia lunghe. L’efficienza della crittografia per i backup, come per altri dati, dipende dall’algoritmo di crittografia.

Ci sono algoritmi di crittografia simmetrici e asimmetrici. Negli algoritmi simmetrici, per criptare e decriptare i dati viene utilizzata una sola chiave. Negli algoritmi asimmetrici si utilizza una coppia di chiavi: una chiave pubblica per criptare i dati e una chiave privata per decriptare i dati.

Esempi di entrambi includono:

• Algoritmi crittografici simmetrici sono AES, DES, 3DES, Blowfish, Twofish e altri.
• Algoritmi crittografici asimmetrici sono RSA (1024, 2048 e 4096-bit), ECC, DSA, Diffie-Hellman e altri.

Standard di Criptazione Avanzata (AES) è uno degli algoritmi di criptazione più utilizzati oggi grazie al suo alto livello di sicurezza. La lunghezza della chiave è importante e definisce quanto a lungo i dati crittografati possono essere considerati sicuri e protetti. Una chiave da 128-bit dovrebbe essere sufficiente per proteggere i dati fino a tre anni. Chiavi supportate più lunghe sono le chiavi da 192-bit e 256-bit.

AES-256 garantisce il livello più alto di sicurezza con una lunghezza di chiave da 256-bit. Migliaia di anni sono necessari perforzare una chiave di decrittografia AES-256 (tenendo conto delle massime prestazioni dei computer moderni). Il governo degli Stati Uniti ha utilizzato AES per proteggere i dati dal 2003. Questo algoritmo crittografico è stato ben testato e approvato dagli esperti di criptografia.

Le transazioni di rete utilizzando Secure Sockets Layer/Transport Layer Security (SSL/TLS) sono crittografate durante il transito. L’esempio più comune è il protocollo HTTPS. TLS 1.1 o superiore dovrebbe essere utilizzato per una crittografia forte.

Chiavi crittografiche più lunghe garantiscono un livello più alto di sicurezza ma richiedono più risorse CPU per la crittografia dei dati. Richiede anche più tempo per ripristinare i dati da backup crittografati. Quando si tratta di crittografia dei dati durante il trasferimento sulla rete, con una chiave di criptazione più lunga la velocità di trasferimento dei dati utili è anche inferiore. Questo è dovuto a:

• I dati crittografati possono a volte essere leggermente più grandi a causa del riempimento aggiunto per garantire che i dati siano allineati con la dimensione del blocco dell’algoritmo di crittografia.
• Le connessioni crittografate spesso includono metadati e intestazioni aggiuntive per gestire il processo di crittografia. Questo include elementi come certificati, chiavi di crittografia e informazioni di handshaking.
• Questi byte extra di metadati contribuiscono a un carico di dati più grande, aumentando leggermente la quantità di dati che devono essere trasmessi.
• L’aumento della dimensione dei dati può ridurre la throughput efficace della rete, poiché viene trasmesso più dati per la stessa quantità di informazione originale.

Gli algoritmi di crittografia possono essere classificati in base al tipo di input come cifrario a flusso e cifrario a blocco per algoritmi simmetrici. Nei cifrari a flusso, un blocco viene crittografato alla volta. I cifrari a blocco sono un tipo di algoritmo di crittografia a chiave simmetrica che:

• Un cifrario a blocco crittografa i dati in blocchi di dimensioni fisse (ad esempio, blocchi di 64 bit o 128 bit).
• Un cifrario a blocco utilizza una chiave simmetrica, il che significa che la stessa chiave viene utilizzata sia per la crittografia che per la decrittografia.
• I cifrari a blocco comuni includono AES, DES e Blowfish.

Crittografia vs hash

Una funzione di hash è una funzione irreversibile che può trasformare una stringa di testo o un altro set di dati in un hash. L’hash calcolato può essere utilizzato per controllare l’integrità dei dati (file) e l’autenticità (hash di password), o generare identificatori unici (impronte digitali). Esempi di funzioni di hash sono SHA-256 e MD5.

Rischi associati ai backup crittografati

I backup crittografati aggiungono ulteriore complessità e overhead a un sottosistema di backup. Una chiave o una password perduta può causare gravi problemi perché sarà impossibile recuperare dati da un backup crittografato. Se una terza persona o degli attaccanti accedono alle chiavi di crittografia, possono verificarsi furti di dati e perdite di dati. Per questi motivi, le organizzazioni dovrebbero utilizzare una strategia affidabile per conservare le chiavi di crittografia per i backup crittografati e gestire queste chiavi, schemi di rotazione delle chiavi e politiche di sicurezza per fornire chiavi solo agli utenti autorizzati.

Esistono anche rischi correlati alla crittografia delle cartucce a nastro con backup. Gli standard di nastro LTO-4 a LTO-7 supportano la crittografia AES-256 dei supporti a nastro. Una chiave di crittografia/sicurezza simmetrica viene memorizzata su un’unità a nastro quando questa unità scrive dati sul nastro ma non oltre. Queste chiavi non vengono scritte sul nastro per motivi di sicurezza. Se un disastro danneggia il data center e i server di backup vengono distrutti, possono verificarsi problemi di recupero dati perché le chiavi di decrittografia vengono distrutte con essi.

Per ridurre i rischi, si consiglia di eseguire test di backup regolarmente per assicurarsi che i dati possano essere recuperati da backup crittografati in diversi scenari.

Quando si utilizza la crittografia a livello di disco rigido o la crittografia completa del disco, in caso di guasto dell’HDD, il recupero dei dati in un laboratorio potrebbe non essere possibile. Le copie di backup aiutano a ridurre il rischio di conservare backup su un HDD o SSD crittografato.

Gestione delle chiavi

Utilizzare una chiave sola per la criptazione di tutte le informazioni comporta un rischio. Se un attaccante riesce ad ottenere questa chiave, allora può decrittografare e accedere a tutte le informazioni. Per standard di alta sicurezza, si raccomanda alle organizzazioni di utilizzare molteplici chiavi di criptazione per diversi set di dati. Queste chiavi dovrebbero essere conservate in un luogo sicuro con accesso solo per utenti autorizzati che hanno le relative permessi. Gli amministratori devono proteggere le chiavi e assicurarsi che le chiavi siano disponibili in caso di disastro.

Per migliorare il processo di gestione delle chiavi durante l’intero ciclo di vita delle chiavi di criptazione/decrittazione e per proteggere le chiavi da perdite e fughe, può essere implementato un sistema di gestione delle chiavi o KMS. Il KMS può essere utilizzato per controllare chi può accedere alle chiavi orazionale e come vengono assegnate e rotolate. Uno degli standard di gestione delle chiavi è il Key Management Interoperability Protocol (KMIP). Le casseforti delle chiavi possono essere utilizzate per conservare e gestire le chiavi di criptazione.

Preparazione per la Criptazione del Backup in NAKIVO Backup & Replication

NAKIVO Backup & Replication è una soluzione di protezione dei dati che supporta i backup criptati e può criptare i dati backed-up utilizzando i seguenti approcci:

• Crittografia laterale della sorgente per criptare i dati prima che lascino la sorgente, mentre vengono trasferiti e durante l’intero ciclo di vita nel repository di backup
• Crittografia di rete per criptare i dati durante il transito sulla rete verso il repository di backup
• Crittografia del repository di backup per criptare i dati a riposo nello storage

La soluzione NAKIVO utilizza una forte crittografia AES-256 considerata lo standard mondiale per la criptazione dei dati.

La crittografia del backup alla sorgente è disponibile a partire dalla versione 11.0. I vantaggi di questa funzionalità sono che i dati备份 sono criptati prima sul lato sorgente, e poi questi dati criptati vengono trasferiti a un repository di backup e conservati in forma criptata nel repository di backup. Questo approccio semplifica la configurazione e i processi di backup e può essere utilizzato anche per i backup sul cloud.

Requisiti di sistema

Requisiti per la crittografia laterale sorgente

Nella versione 11.0 di NAKIVO Backup & Replication, è stata introdotta una nuova opzione che consente di configurare la crittografia del backup a livello di lavoro di backup. I dati vengono criptati alla sorgente e rimangono criptati sulla rete e nello storage nel repository di backup.

Tipi di destinazione di backup supportati:

• Cartella locale
• Condivisione NFS e SMB
• Amazon EC2
• Amazon S3 e storage oggetti compatibile con S3
• Wasabi
• Apparati di deduplication
• Archiviazione Blob di Azure
• Backblaze B2
• Nastro

Tipo di repository di backup supportato: Incrementale con completo

Requisiti per la crittografia di rete

Sono richiesti due Transporter per configurare la crittografia di rete per le versioni 10.11.2 e precedenti. Un Transporter è un componente fondamentale di NAKIVO Backup & Replication responsabile dell’elaborazione dei dati, del trasferimento, della crittografia, della compressione, ecc.

La crittografia per il trasferimento dei dati sulla rete avviene tra i due Transporter: il Transporter sul lato sorgente comprime e cripta i dati prima di inviarli al Transporter di destinazione, e il Transporter di destinazione decrittografa i dati e li scrive in un repository di backup.

Requisiti per la crittografia del repository di backup

La crittografia del backup in archiviazione sulla destinazione è disponibile a livello di repository di backup quando si crea un repository di backup in NAKIVO Backup & Replication.

La crittografia del repository di backup è supportata per i tipi di repository di backup incrementali con completo e forever incrementali sui sistemi operativi Linux.

Come abilitare la crittografia del backup

Esploriamo come abilitare diversi tipi di crittografia del backup nella soluzione di protezione dei dati NAKIVO.

Crittografia del backup laterale sorgente (versione 11.0 e successive)

In NAKIVO Backup & Replication v11.0, è possibile impostare la crittografia del backup laterale sorgente per trasferimenti di dati sicuri e archiviazione. Puoi configurare queste opzioni al passo Opzioni della procedura guidata del backup o del lavoro di copia del backup.

La crittografia del backup laterale sorgente significa che i dati vengono criptati prima di essere inviati al repository, cioè lateralmente alla sorgente.

Per abilitare la crittografia del backup laterale sorgente a livello di lavoro di backup in v11.0, procedi come segue:

1. Nel menu a discesa Backup encryption, seleziona Abilitato.
2. Clicca su Impostazioni sulla riga Backup encryption per impostare la password per la criptazione.

   

3. Seleziona Crea password, inserisci una password e conferma la password.

   Inserisci una descrizione per questa password. Il nome inserito nella descrizione verrà visualizzato nell’elenco delle password che puoi selezionare successivamente per diversi作业 di backup. Utilizziamo Hyper-V Backup come nome per la password.

   Se non utilizzi AWS KMS, vedrai il messaggio:Il servizio di gestione delle chiavi è disabilitato. Vedi la scheda Crittografia.Se hai configurato e abilitato AWS KMS, questo avviso non verrà visualizzato. Nota che per configurare KMS per gestire le tue password, devi aggiungere il tuo account AWS all’inventario di NAKIVO Backup & Replication prima.

   Clicca su Procedi.

   

4. La password che hai inserito viene applicata automaticamente.

   In alternativa, puoi selezionare una password esistente.

   

5. Clicca su Finisci per salvare le impostazioni del lavoro o clicca su Finisci & Esegui per salvare le impostazioni ed eseguire il lavoro con la cifratura di backup configurata.

   

6. Quando applichi le impostazioni del lavoro, vedrai un avviso che il backup è protetto da password e se perdi la password, sarà impossibile decrittografare i dati. Questo avviso viene visualizzato se non hai abilitato il Servizio di Gestione delle Chiavi AWS. Clicca su Procedi.

   

Puoi utilizzare il servizio di gestione delle chiavi AWS (AWS Key Management Service) per assicurarti di non perdere le password di crittografia che hai impostato per i backup. Per utilizzare AWS KMS, nell’interfaccia web di NAKIVO Backup & Replication, vai a Impostazioni > Generale > Impostazioni di sistema, seleziona la scheda Crittografia e seleziona la casella di controllo Utilizza il servizio di gestione delle chiavi AWS. Ricorda che devi aggiungere l’account AWS all’inventario di NAKIVO Backup & Replication prima di abilitare AWS KMS.

Configurazione della crittografia di rete per i backup

Possiamo migliorare il livello di sicurezza e configurare la crittografia per i dati di backup durante il trasferimento sulla rete. Uno dei principali requisiti per le versioni precedenti a v10.11 affinché questa funzione funzioni è che due Transporter devono essere installati su macchine diverse.

Possiamo aggiungere un host Hyper-V all’inventario e eseguire il backup di una macchina virtuale Hyper-V utilizzando la crittografia di rete su un’unità di backup crittografata. Quando aggiungiamo un host Hyper-V all’inventario di NAKIVO dalla interfaccia web della soluzione NAKIVO, un Transporter viene installato sull’host Hyper-V.

Questa configurazione è visualizzata nello screenshot qui sotto.

Ora, possiamo configurare la crittografia di rete per il trasferimento dei backup sulla rete nelle opzioni del lavoro di backup. Inserisci un nome visualizzato per il lavoro e altri parametri.

Nel elenco a discesa Crittografia di rete, seleziona Abilitato. Questo parametro è attivo perché due Transporter vengono utilizzati per trasferire i dati di backup tra le macchine.

Possiamo anche部署are un Transporter sulla macchina remota che può essere situata su un sito locale per aumentare il numero di carichi di lavoro elaborati da backup. Un Transporter può essere deployed su una macchina remota in un sito remoto per archiviare backup e copie di backup per implementare la regola di backup 3-2-1. In questo caso, i dati di backup trasferiti sulla rete possono essere crittografati e protetti contro le violazioni anche se non è possibile utilizzare una connessione VPN crittografata.

Abilitazione della crittografia per un repository di backup

È possibile configurare la crittografia del backup per l’intero repository durante la creazione di un repository di backup. Questa funzione è disponibile in NAKIVO Backup & Replication dalla versione v5.7. Se avete creato in precedenza un repository di backup senza crittografia, dovete creare un nuovo repository per abilitare la crittografia a livello di repository di backup. Il Transporter di bordo è stato installato per impostazione predefinita. Creiamo un repository di backup e concentriamoci sull’abilitazione della crittografia del backup.

NOTA: Abilitare la crittografia per l’intero repository di backup disabilita la funzione di immutabilità per i backup archiviati in questo repository. Questa funzione è disponibile solo per i repository di backup su macchine basate su Linux.

Le impostazioni di crittografia per l’intero repository di backup sono configurate al passo Opzioni della procedura guidata di creazione del repository di backup:

• Nel menu a discesa Crittografia, selezionate Abilitato. Successivamente, appariranno i campi della password sotto.
• Inserisci la password di criptazione e conferma questa password.
• Premi Finito per completare la creazione di un repository di backup criptato.

Da ora in poi, tutti i backup memorizzati in questo repository di backup saranno criptati.

Ripristino da Backup Criptati

Il ripristino dei dati da backup criptati è simile a quello dei backup non criptati. Se KMS non è abilitato o se un repository è collegato a una nuova istanza di NAKIVO solution, è necessario fornire nuovamente le password per consentire il ripristino. In altre parole, se si collegamento un repository di backup criptato a un’istanza di NAKIVO Backup & Replication (una diversa istanza o una nuova installazione del Director), è necessario inserire la password di criptazione precedentemente impostata per questo repository di backup (se è stata abilitata la criptazione a livello di repository).

Se KMS era abilitato durante la criptazione dei backup dopo aver collegato un repository a una nuova istanza di NAKIVO solution, è necessario solo riabilitare KMS e selezionare la chiave appropriata (quella utilizzata l’ultima volta). In questo caso, non sarà necessario reinserire tutte le password.