NAKIVO NAKIVO-Backup Encryption

NAKIVO Backup & Replication - Backup Encryption

Mã hóa sao lưu (Backup encryption) sử dụng một thuật toán toán học để chuyển đổi dữ liệu thành một định dạng mã hóa an toàn. Mục tiêu của mã hóa sao lưu là làm cho dữ liệu của bạn trở nên vô nghĩa đối với những người đọc không được cấp quyền và không thể giải mã được khi bị tấn công. Các bản sao lưu được gửi qua Internet cần phải được mã hóa trước khi bit dữ liệu đầu tiên rời khỏi tổ chức của bạn và truyền đi qua mạng diện rộng (WAN) — đây gọi là mã hóa sao lưu trong quá trình truyền tải (backup encryption in flight). Nếu điểm đích không an toàn, dữ liệu của bạn cũng cần phải được giữ mã hóa — đây gọi là mã hóa sao lưu khi lưu trữ (backup encryption at rest).

NAKIVO Backup & Replication sử dụng thuật toán mã hóa AES-256 để bảo vệ các bản sao lưu. Đây là tiêu chuẩn mã hóa thực tế trên toàn thế giới nhằm bảo mật thông tin và các giao dịch trực tuyến, được sử dụng bởi các tổ chức tài chính, ngân hàng và các trang thương mại điện tử. Tính năng mã hóa trong quá trình truyền tải và khi lưu trữ được hỗ trợ cho cả sao lưu máy ảo (VM) lẫn máy vật lý (Physical Machine).
  • Mã hóa sao lưu trong quá trình truyền tải (Backup Encryption in Flight)
  • Mã hóa sao lưu khi lưu trữ (Backup Encryption at Rest)
  • Mã hóa sao lưu tại nguồn (Source-Side Backup Encryption)

1. Mã hóa sao lưu trong quá trình truyền tải (Backup Encryption in Flight)​

Mã hóa sao lưu trong quá trình truyền tải được thực hiện bởi các thành phần chịu trách nhiệm xử lý và chuyển giao dữ liệu.

  • Đối với sao lưu máy ảo (VM): Việc mã hóa trong quá trình truyền tải được thực hiện bởi một cặp Transporter.
    • Transporter là một thành phần của NAKIVO Backup & Replication thực hiện các tác vụ đọc dữ liệu, nén (compression), khử trùng lặp (deduplication), mã hóa (encryption), truyền tải (transfer), ghi (write), xác thực (verification), khôi phục chi tiết (granular recovery), khôi phục toàn bộ VM
    • Transporter nguồn (source Transporter) sẽ mã hóa và gửi dữ liệu sao lưu, trong khi Transporter đích (target Transporter) sẽ nhận và giải mã dữ liệu đó. Ví dụ: Khi sao lưu các VM qua mạng WAN đến một vị trí offsite (vị trí bên ngoài), Transporter được cài đặt tại site nguồn sẽ nén và mã hóa dữ liệu VM trước khi truyền qua WAN. Transporter được cài đặt tại site đích sau đó sẽ nhận và giải mã dữ liệu trước khi ghi vào Kho lưu trữ sao lưu (Backup Repository).
  • Đối với sao lưu máy vật lý: Việc mã hóa trong quá trình truyền tải được thực hiện bởi PMA (Physical Machine Agent - Đại lý máy vật lý) trên máy nguồn. PMA sẽ mã hóa dữ liệu sao lưu trước khi truyền đi, đảm bảo dữ liệu được bảo vệ xuyên suốt trên mạng lưới.
Lưu ý: Tác vụ nén dữ liệu luôn được thực hiện trước khi mã hóa để duy trì hiệu năng nén tốt nhất. Mã hóa không can thiệp hoặc làm giảm hiệu quả của quá trình nén.

2. Mã hóa sao lưu khi lưu trữ (Backup Encryption at Rest)​

Việc bảo mật dữ liệu khi lưu trữ (data at rest) bằng mã hóa cũng quan trọng không kém. NAKIVO Backup & Replication cho phép bạn mã hóa các Kho lưu trữ sao lưu (Backup Repositories) để dữ liệu sao lưu tĩnh, được lưu trữ ngay trong chính kho chứa, được an toàn.

Mã hóa kho lưu trữ sao lưu áp dụng cho cả sao lưu máy ảo lẫn máy vật lý.

3. Mã hóa sao lưu tại nguồn (Source-Side Backup Encryption)

Mã hóa sao lưu tại nguồn là một cơ chế mã hóa dữ liệu ngay tại nguồn trước khi nó được truyền đi và giữ nguyên trạng thái mã hóa đó trong suốt quá trình lưu trữ. Khác với phương pháp mã hóa truyền tải hoặc mã hóa lưu trữ truyền thống, mã hóa tại nguồn kết hợp cả hai phương pháp này thành một quy trình thống nhất, duy nhất.

Khi mã hóa tại nguồn được bật, dữ liệu sao lưu sẽ được nén và mã hóa tại nguồn trước khi rời khỏi phía nguồn. Dữ liệu đã mã hóa sau đó được truyền qua mạng và lưu vào Kho lưu trữ sao lưu mà không cần giải mã. Kết quả là, dữ liệu sao lưu liên tục được mã hóa cả trong lúc truyền tải lẫn lúc nằm yên trong kho lưu trữ.

Cơ chế mã hoá:​

  1. Dữ liệu sao lưu được đọc từ máy nguồn cần xử lý (source workload).
  2. Dữ liệu được nén để tối ưu hóa hiệu quả lưu trữ và truyền tải.
  3. Hệ thống sẽ sử dụng hàm băm (SHA-256, HOẶC SHA-512) để tạo ra một mã băm mật khẩu (password hash) dựa trên mật khẩu do người dùng cung cấp + Chuỗi cryptographic salt (chuỗi ngẫu nhiên do hệ thống tự sinh ra). Chuỗi cryptographic salt sẽ được lưu trữ trong metadata của các điểm khôi phục (recovery point metadata).
  4. 1 hàm phái sinh khoá PBKDF2 (với hàng vạn vòng lặp băm HMAC-SHA-256) được sử dụng: tạo ra khoá sử dụng một lần (single-use encryption key) từ password hash. Khoá này sẽ kết hợp cùng thuật toán AES-256 để mã hóa cho cả dữ liệu sao lưu lẫn dữ liệu Chỉ mục Hệ thống Tệp (FSI).
  5. Dữ liệu được mã hóa ngay tại phía nguồn bằng khóa mã hóa này.
  6. Dữ liệu đã mã hóa được truyền tới đích.
  7. Dữ liệu đã mã hóa được ghi vào Kho lưu trữ sao lưu và lưu lại dưới dạng mã hóa.
Lưu ý an toàn: Khóa mã hóa không được lưu trữ bởi phần mềm và bị hủy bỏ sau khi sử dụng. Chỉ có mã băm mật khẩu (password hash) cần thiết cho việc khôi phục là được lưu trữ an toàn trong database nội bộ của Nakivo backup & Replication

Hàm băm này là hàm băm 1 chiều nên là từ password hash không thể tìm lại được password

Ngoài ra nếu không muốn lưu trữ password hash tại nội bộ thì có thể tùy chọn bảo vệ thông qua Dịch vụ quản lý khóa (KMS - Key Management Service).

Cơ chế giải mã:

Khi transporter có yêu cầu giải mã dữ liệu thì nó cần phải có thông tin hash password của bản sao lưu đó được lưu ở DB nội bộ hoặc KMS

salt (trong restore point)+password hash -> Thuật toán tạo lại khoá => Tạo lại được chính xác khoá đã dùng để mã hoá trước đó

Khuyến nghị thực tế:​

  • Nếu băng thông mạng WAN của bạn yếu và CPU của các máy chủ sản xuất (Production VMs) đang quá tải: Nên cân nhắc kỹ khi bật Source-Side Encryption vì nó sẽ ngốn CPU của máy nguồn để chạy thuật toán mã hóa AES-256.
  • Nếu bạn sao lưu lên Cloud (như Amazon EC2, Wasabi, Backblaze) hoặc các kho chứa dùng chung (CIFS/NFS): Bắt buộc phải dùng Source-Side Encryption hoặc ít nhất là kết hợp In Flight + At Rest để đảm bảo dữ liệu không bị rò rỉ kể cả trên đường truyền lẫn khi nhà cung cấp Cloud bị tấn công.

2. Sự kết hợp giữa "Mật mã học" và "Trải nghiệm người dùng"​

Thông thường, mã hóa sẽ gây phiền hà vì mỗi lần khôi phục (Restore), quản trị viên hệ thống lại phải đi tìm và nhập lại mật khẩu. NAKIVO giải quyết bài toán này bằng cách:

  • Họ không lưu mật khẩu dạng chữ rõ (Plaintext) vì quá nguy hiểm.
  • Họ lưu Password Hash ngay trong cơ sở dữ liệu nội bộ (Internal Database) của phần mềm.
  • Khi bạn bấm nút "Restore", hệ thống tự động lấy Password Hash + Salt trong restore point -> để tính toán tạo Khóa dùng một lần (Single-use Key) cũ đó và giải mã dữ liệu. Sau khi phục hồi xong thì lại xoá thông tin về khoá vừa được sinh ra. Người dùng không cần nhập gì cả.

3. Cryptographic Salt​

  • Tại sao cần Salt? Nếu hai công ty hoặc hai tác vụ sao lưu sử dụng cùng một mật khẩu là 123456, mã băm (Hash) của chúng sẽ giống hệt nhau. Hacker có thể dùng các bảng tra cứu có sẵn (Rainbow Tables) để dò ra mật khẩu cực nhanh.
  • Cách NAKIVO làm: Thêm một chuỗi ký tự ngẫu nhiên (Salt) vào mật khẩu trước khi băm. Do đó, dù bạn đặt chung một mật khẩu cho 10 tác vụ khác nhau, 10 mã băm sinh ra sẽ hoàn toàn khác nhau. Điều này triệt tiêu hoàn toàn khả năng hacker dùng phương pháp dò mã băm hàng loạt.

4. Vai trò cứu mạng của AWS KMS khi thảm họa xảy ra (Disaster Recovery)​

Nếu Toàn bộ máy chủ cài NAKIVO bị gặp sự cố hoặc bị nhiễm Ransomware mã hóa sạch sành sanh. Bạn cài lại một máy chủ NAKIVO mới tinh.

  • Lúc này, cơ sở dữ liệu cũ đã mất, đồng nghĩa với việc Password Hash tự động cũng mất theo.
  • Nếu bạn không dùng KMS: Bạn bắt buộc phải nhớ chính xác mật khẩu gốc bằng trí nhớ/sổ tay để nhập thủ công. Nếu quên mật khẩu gốc, toàn bộ dữ liệu sao lưu vĩnh viễn sẽ không thể khôi phục lại được
  • Nếu bạn bật AWS KMS: Khi cài lại NAKIVO mới, bạn chỉ cần kết nối lại với tài khoản AWS của doanh nghiệp. NAKIVO mới sẽ tự lên AWS KMS, dùng quyền hợp pháp để lấy lại các Password Hash đã được AWS bảo vệ an toàn trên Cloud. Bạn khôi phục lại hệ thống mà không cần đến mật khẩu

5. Mã hóa dữ liệu FSI (File System Indexing)​

NAKIVO mã hóa luôn cả dữ liệu Chỉ mục Hệ thống Tệp (FSI). FSI là dữ liệu chứa danh sách tên file, cấu trúc thư mục của máy chủ được sao lưu (giúp bạn tìm kiếm file để khôi phục nhanh). Nếu không mã hóa FSI, hacker dù không xem được nội dung file nhưng vẫn đọc được tên các file nhạy cảm (ví dụ: BaoCaoTaiChinh2026.xlsx, DanhSachSaThai.pdf). Mã hóa FSI đảm bảo tính bảo mật ẩn danh hoàn toàn cho doanh nghiệp.

Cấu hình
1783883818930.png

1783883818938.png

1783883818945.png

1783883818951.png

1783883818957.png


1783883818963.png

1783883818969.png

1783883818976.png

1783883818982.png

Tích hợp AWS KMS

1783883974179.png


1783883974187.png


1783883974211.png


Ko Tạo user mới , dùng chung user với s3 và ec2, thêm policy permission
1783883974222.png


1783883974230.png


1783883973718.png


1783883973726.png

Tích hợp AWS KMS

1783883973732.png
 

Đính kèm

  • 1783883934485.png
    1783883934485.png
    102.5 KB · Lượt xem: 0
  • 1783883934475.png
    1783883934475.png
    141.2 KB · Lượt xem: 0
  • 1783883934493.png
    1783883934493.png
    128.4 KB · Lượt xem: 0
  • 1783883934515.png
    1783883934515.png
    107.5 KB · Lượt xem: 0
  • 1783883934534.png
    1783883934534.png
    65.1 KB · Lượt xem: 0
  • 1783883934502.png
    1783883934502.png
    137.7 KB · Lượt xem: 0
  • 1783883934525.png
    1783883934525.png
    130 KB · Lượt xem: 0
  • 1783883934546.png
    1783883934546.png
    65 KB · Lượt xem: 0
  • 1783883934540.png
    1783883934540.png
    65.2 KB · Lượt xem: 0
  • 1783883934559.png
    1783883934559.png
    80.9 KB · Lượt xem: 0
  • 1783883934553.png
    1783883934553.png
    93 KB · Lượt xem: 0
  • 1783883973738.png
    1783883973738.png
    80.9 KB · Lượt xem: 0
  • 1783883974195.png
    1783883974195.png
    128.4 KB · Lượt xem: 0
  • 1783883974203.png
    1783883974203.png
    137.7 KB · Lượt xem: 0
Back
Top