NAKIVO Backup & Replication - Backup Encryption
Mã hóa sao lưu (Backup encryption) sử dụng một thuật toán toán học để chuyển đổi dữ liệu thành một định dạng mã hóa an toàn. Mục tiêu của mã hóa sao lưu là làm cho dữ liệu của bạn trở nên vô nghĩa đối với những người đọc không được cấp quyền và không thể giải mã được khi bị tấn công. Các bản sao lưu được gửi qua Internet cần phải được mã hóa trước khi bit dữ liệu đầu tiên rời khỏi tổ chức của bạn và truyền đi qua mạng diện rộng (WAN) — đây gọi là mã hóa sao lưu trong quá trình truyền tải (backup encryption in flight). Nếu điểm đích không an toàn, dữ liệu của bạn cũng cần phải được giữ mã hóa — đây gọi là mã hóa sao lưu khi lưu trữ (backup encryption at rest).
NAKIVO Backup & Replication sử dụng thuật toán mã hóa AES-256 để bảo vệ các bản sao lưu. Đây là tiêu chuẩn mã hóa thực tế trên toàn thế giới nhằm bảo mật thông tin và các giao dịch trực tuyến, được sử dụng bởi các tổ chức tài chính, ngân hàng và các trang thương mại điện tử. Tính năng mã hóa trong quá trình truyền tải và khi lưu trữ được hỗ trợ cho cả sao lưu máy ảo (VM) lẫn máy vật lý (Physical Machine).
- Mã hóa sao lưu trong quá trình truyền tải (Backup Encryption in Flight)
- Mã hóa sao lưu khi lưu trữ (Backup Encryption at Rest)
- Mã hóa sao lưu tại nguồn (Source-Side Backup Encryption)
1. Mã hóa sao lưu trong quá trình truyền tải (Backup Encryption in Flight)
Mã hóa sao lưu trong quá trình truyền tải được thực hiện bởi các thành phần chịu trách nhiệm xử lý và chuyển giao dữ liệu.- Đối với sao lưu máy ảo (VM): Việc mã hóa trong quá trình truyền tải được thực hiện bởi một cặp Transporter.
- Transporter là một thành phần của NAKIVO Backup & Replication thực hiện các tác vụ đọc dữ liệu, nén (compression), khử trùng lặp (deduplication), mã hóa (encryption), truyền tải (transfer), ghi (write), xác thực (verification), khôi phục chi tiết (granular recovery), khôi phục toàn bộ VM
- Transporter nguồn (source Transporter) sẽ mã hóa và gửi dữ liệu sao lưu, trong khi Transporter đích (target Transporter) sẽ nhận và giải mã dữ liệu đó. Ví dụ: Khi sao lưu các VM qua mạng WAN đến một vị trí offsite (vị trí bên ngoài), Transporter được cài đặt tại site nguồn sẽ nén và mã hóa dữ liệu VM trước khi truyền qua WAN. Transporter được cài đặt tại site đích sau đó sẽ nhận và giải mã dữ liệu trước khi ghi vào Kho lưu trữ sao lưu (Backup Repository).
- Đối với sao lưu máy vật lý: Việc mã hóa trong quá trình truyền tải được thực hiện bởi PMA (Physical Machine Agent - Đại lý máy vật lý) trên máy nguồn. PMA sẽ mã hóa dữ liệu sao lưu trước khi truyền đi, đảm bảo dữ liệu được bảo vệ xuyên suốt trên mạng lưới.
2. Mã hóa sao lưu khi lưu trữ (Backup Encryption at Rest)
Việc bảo mật dữ liệu khi lưu trữ (data at rest) bằng mã hóa cũng quan trọng không kém. NAKIVO Backup & Replication cho phép bạn mã hóa các Kho lưu trữ sao lưu (Backup Repositories) để dữ liệu sao lưu tĩnh, được lưu trữ ngay trong chính kho chứa, được an toàn.Mã hóa kho lưu trữ sao lưu áp dụng cho cả sao lưu máy ảo lẫn máy vật lý.
3. Mã hóa sao lưu tại nguồn (Source-Side Backup Encryption)
Mã hóa sao lưu tại nguồn là một cơ chế mã hóa dữ liệu ngay tại nguồn trước khi nó được truyền đi và giữ nguyên trạng thái mã hóa đó trong suốt quá trình lưu trữ. Khác với phương pháp mã hóa truyền tải hoặc mã hóa lưu trữ truyền thống, mã hóa tại nguồn kết hợp cả hai phương pháp này thành một quy trình thống nhất, duy nhất.
Khi mã hóa tại nguồn được bật, dữ liệu sao lưu sẽ được nén và mã hóa tại nguồn trước khi rời khỏi phía nguồn. Dữ liệu đã mã hóa sau đó được truyền qua mạng và lưu vào Kho lưu trữ sao lưu mà không cần giải mã. Kết quả là, dữ liệu sao lưu liên tục được mã hóa cả trong lúc truyền tải lẫn lúc nằm yên trong kho lưu trữ.
Cơ chế mã hoá:
- Dữ liệu sao lưu được đọc từ máy nguồn cần xử lý (source workload).
- Dữ liệu được nén để tối ưu hóa hiệu quả lưu trữ và truyền tải.
- Hệ thống sẽ sử dụng hàm băm (SHA-256, HOẶC SHA-512) để tạo ra một mã băm mật khẩu (password hash) dựa trên mật khẩu do người dùng cung cấp + Chuỗi cryptographic salt (chuỗi ngẫu nhiên do hệ thống tự sinh ra). Chuỗi cryptographic salt sẽ được lưu trữ trong metadata của các điểm khôi phục (recovery point metadata).
- 1 hàm phái sinh khoá PBKDF2 (với hàng vạn vòng lặp băm HMAC-SHA-256) được sử dụng: tạo ra khoá sử dụng một lần (single-use encryption key) từ password hash. Khoá này sẽ kết hợp cùng thuật toán AES-256 để mã hóa cho cả dữ liệu sao lưu lẫn dữ liệu Chỉ mục Hệ thống Tệp (FSI).
- Dữ liệu được mã hóa ngay tại phía nguồn bằng khóa mã hóa này.
- Dữ liệu đã mã hóa được truyền tới đích.
- Dữ liệu đã mã hóa được ghi vào Kho lưu trữ sao lưu và lưu lại dưới dạng mã hóa.
Hàm băm này là hàm băm 1 chiều nên là từ password hash không thể tìm lại được password
Ngoài ra nếu không muốn lưu trữ password hash tại nội bộ thì có thể tùy chọn bảo vệ thông qua Dịch vụ quản lý khóa (KMS - Key Management Service).
Cơ chế giải mã:
Khi transporter có yêu cầu giải mã dữ liệu thì nó cần phải có thông tin hash password của bản sao lưu đó được lưu ở DB nội bộ hoặc KMS
salt (trong restore point)+password hash -> Thuật toán tạo lại khoá => Tạo lại được chính xác khoá đã dùng để mã hoá trước đó
Khuyến nghị thực tế:
- Nếu băng thông mạng WAN của bạn yếu và CPU của các máy chủ sản xuất (Production VMs) đang quá tải: Nên cân nhắc kỹ khi bật Source-Side Encryption vì nó sẽ ngốn CPU của máy nguồn để chạy thuật toán mã hóa AES-256.
- Nếu bạn sao lưu lên Cloud (như Amazon EC2, Wasabi, Backblaze) hoặc các kho chứa dùng chung (CIFS/NFS): Bắt buộc phải dùng Source-Side Encryption hoặc ít nhất là kết hợp In Flight + At Rest để đảm bảo dữ liệu không bị rò rỉ kể cả trên đường truyền lẫn khi nhà cung cấp Cloud bị tấn công.
2. Sự kết hợp giữa "Mật mã học" và "Trải nghiệm người dùng"
Thông thường, mã hóa sẽ gây phiền hà vì mỗi lần khôi phục (Restore), quản trị viên hệ thống lại phải đi tìm và nhập lại mật khẩu. NAKIVO giải quyết bài toán này bằng cách:- Họ không lưu mật khẩu dạng chữ rõ (Plaintext) vì quá nguy hiểm.
- Họ lưu Password Hash ngay trong cơ sở dữ liệu nội bộ (Internal Database) của phần mềm.
- Khi bạn bấm nút "Restore", hệ thống tự động lấy Password Hash + Salt trong restore point -> để tính toán tạo Khóa dùng một lần (Single-use Key) cũ đó và giải mã dữ liệu. Sau khi phục hồi xong thì lại xoá thông tin về khoá vừa được sinh ra. Người dùng không cần nhập gì cả.
3. Cryptographic Salt
- Tại sao cần Salt? Nếu hai công ty hoặc hai tác vụ sao lưu sử dụng cùng một mật khẩu là 123456, mã băm (Hash) của chúng sẽ giống hệt nhau. Hacker có thể dùng các bảng tra cứu có sẵn (Rainbow Tables) để dò ra mật khẩu cực nhanh.
- Cách NAKIVO làm: Thêm một chuỗi ký tự ngẫu nhiên (Salt) vào mật khẩu trước khi băm. Do đó, dù bạn đặt chung một mật khẩu cho 10 tác vụ khác nhau, 10 mã băm sinh ra sẽ hoàn toàn khác nhau. Điều này triệt tiêu hoàn toàn khả năng hacker dùng phương pháp dò mã băm hàng loạt.
4. Vai trò cứu mạng của AWS KMS khi thảm họa xảy ra (Disaster Recovery)
Nếu Toàn bộ máy chủ cài NAKIVO bị gặp sự cố hoặc bị nhiễm Ransomware mã hóa sạch sành sanh. Bạn cài lại một máy chủ NAKIVO mới tinh.- Lúc này, cơ sở dữ liệu cũ đã mất, đồng nghĩa với việc Password Hash tự động cũng mất theo.
- Nếu bạn không dùng KMS: Bạn bắt buộc phải nhớ chính xác mật khẩu gốc bằng trí nhớ/sổ tay để nhập thủ công. Nếu quên mật khẩu gốc, toàn bộ dữ liệu sao lưu vĩnh viễn sẽ không thể khôi phục lại được
- Nếu bạn bật AWS KMS: Khi cài lại NAKIVO mới, bạn chỉ cần kết nối lại với tài khoản AWS của doanh nghiệp. NAKIVO mới sẽ tự lên AWS KMS, dùng quyền hợp pháp để lấy lại các Password Hash đã được AWS bảo vệ an toàn trên Cloud. Bạn khôi phục lại hệ thống mà không cần đến mật khẩu
5. Mã hóa dữ liệu FSI (File System Indexing)
NAKIVO mã hóa luôn cả dữ liệu Chỉ mục Hệ thống Tệp (FSI). FSI là dữ liệu chứa danh sách tên file, cấu trúc thư mục của máy chủ được sao lưu (giúp bạn tìm kiếm file để khôi phục nhanh). Nếu không mã hóa FSI, hacker dù không xem được nội dung file nhưng vẫn đọc được tên các file nhạy cảm (ví dụ: BaoCaoTaiChinh2026.xlsx, DanhSachSaThai.pdf). Mã hóa FSI đảm bảo tính bảo mật ẩn danh hoàn toàn cho doanh nghiệp.Cấu hình
Tích hợp AWS KMS
Ko Tạo user mới , dùng chung user với s3 và ec2, thêm policy permission
Tích hợp AWS KMS
Đính kèm
-
1783883934485.png102.5 KB · Lượt xem: 0 -
1783883934475.png141.2 KB · Lượt xem: 0 -
1783883934493.png128.4 KB · Lượt xem: 0 -
1783883934515.png107.5 KB · Lượt xem: 0 -
1783883934534.png65.1 KB · Lượt xem: 0 -
1783883934502.png137.7 KB · Lượt xem: 0 -
1783883934525.png130 KB · Lượt xem: 0 -
1783883934546.png65 KB · Lượt xem: 0 -
1783883934540.png65.2 KB · Lượt xem: 0 -
1783883934559.png80.9 KB · Lượt xem: 0 -
1783883934553.png93 KB · Lượt xem: 0 -
1783883973738.png80.9 KB · Lượt xem: 0 -
1783883974195.png128.4 KB · Lượt xem: 0 -
1783883974203.png137.7 KB · Lượt xem: 0