hongphuc
Intern
1. Khái niệm Encryption trong backup
Encryption là quá trình mã hóa dữ liệu từ dạng có thể đọc được thành dạng không thể đọc trực tiếp nếu không có khóa hoặc mật khẩu giải mã. Trong hệ thống backup, encryption giúp bảo vệ dữ liệu backup khỏi việc bị đọc trộm, bị copy ra ngoài hoặc bị truy cập trái phép.
Trong NAKIVO, encryption có thể được áp dụng ở nhiều giai đoạn: dữ liệu được mã hóa từ phía nguồn, được bảo vệ khi truyền qua mạng và được lưu trong repository ở dạng mã hóa. NAKIVO mô tả cơ chế này là bảo vệ dữ liệu in flight và at rest, tức là khi dữ liệu đang truyền và khi dữ liệu đã được lưu trữ.
2. Source-side encryption
Source-side encryption là cơ chế mã hóa dữ liệu ngay từ phía nguồn, trước khi dữ liệu rời khỏi source workload hoặc source transporter. Nói đơn giản, dữ liệu được mã hóa trước khi truyền qua mạng đến Backup Repository.
Khi bật backup encryption, hệ thống tạo một khóa mã hóa AES-256 dùng một lần dựa trên mật khẩu do người dùng định nghĩa. Dữ liệu được mã hóa ở phía source bằng khóa này, sau đó dữ liệu đã mã hóa mới được truyền đến đích và lưu trong Backup Repository ở dạng mã hóa.
Luồng xử lý có thể hiểu như sau:
3. AES-256
AES là viết tắt của Advanced Encryption Standard, một chuẩn mã hóa đối xứng được dùng rộng rãi để bảo vệ dữ liệu điện tử. Theo NIST, AES có ba biến thể chính là AES-128, AES-192 và AES-256; các con số 128, 192 và 256 thể hiện độ dài khóa mã hóa tính bằng bit. AES xử lý dữ liệu theo block 128-bit và có thể dùng khóa 128-bit, 192-bit hoặc 256-bit để mã hóa và giải mã dữ liệu.
AES-256 nghĩa là AES sử dụng khóa mã hóa dài 256 bit. Khóa càng dài thì không gian khóa càng lớn, làm cho việc dò khóa bằng brute-force trở nên cực kỳ khó trong thực tế. Trong NAKIVO, backup encryption sử dụng AES 256 block cipher encryption với độ dài khóa 256-bit để bảo vệ dữ liệu backup.
4. Backup encryption trong NAKIVO hoạt động như thế nào?
Khi bật Backup Encryption trong NAKIVO, người quản trị sẽ tạo mới hoặc chọn một mật khẩu mã hóa đã có. Dữ liệu backup được bảo vệ bằng AES-256. Trong Backup Job Wizard for VMware, NAKIVO mô tả rõ rằng khi bật backup encryption, dữ liệu backup được bảo vệ bằng AES 256 block cipher encryption với key length 256-bit.
NAKIVO không lưu trực tiếp khóa mã hóa sau khi sử dụng; khóa được loại bỏ sau quá trình sử dụng, còn hệ thống chỉ lưu password hash cần thiết cho khôi phục, có thể được bảo vệ thêm bằng Key Management Service nếu cấu hình. Điều này có nghĩa là quản lý mật khẩu mã hóa là việc rất quan trọng, vì nếu mất thông tin giải mã thì quá trình restore có thể bị ảnh hưởng.
5. Phân biệt Backup Encryption và Network Encryption
Trong NAKIVO có thể gặp hai khái niệm dễ nhầm là Backup Encryption và Network Encryption.
Backup Encryption bảo vệ dữ liệu backup bằng AES-256 và dữ liệu có thể được lưu trong repository ở dạng mã hóa. Tính năng này thường được cấu hình ở backup job hoặc repository tùy loại cấu hình, nhằm bảo vệ dữ liệu trong suốt vòng đời của backup.
Network Encryption chủ yếu bảo vệ dữ liệu khi truyền qua mạng. Khi bật Network Encryption, dữ liệu backup được bảo vệ bằng AES-256 khi di chuyển qua mạng; tùy chọn này có thể làm tăng thời gian backup và tăng tải CPU trên các máy chạy Transporter, thường phù hợp khi backup qua WAN mà không có VPN.
6. Ý nghĩa khi bật Encryption
Khi bật encryption trong backup job, dữ liệu backup sẽ an toàn hơn vì người khác không thể đọc được nội dung backup nếu không có mật khẩu hoặc thông tin giải mã phù hợp. Điều này đặc biệt quan trọng khi repository nằm trên thiết bị lưu trữ dùng chung, NAS, cloud, tape, hoặc môi trường có nhiều người quản trị cùng truy cập.
Encryption cũng giúp tăng khả năng bảo vệ dữ liệu trước các tình huống như repository bị copy, ổ cứng backup bị thất lạc, backup được chuyển ra ngoài site, hoặc dữ liệu đi qua mạng không hoàn toàn tin cậy. NAKIVO nhấn mạnh việc bảo vệ backup bằng AES-256 ở source, in flight và at rest như một phần trong chiến lược bảo vệ trước sự cố bảo mật và ransomware.
Tuy nhiên, bật encryption cũng có một số điểm cần lưu ý. Việc mã hóa và giải mã dữ liệu có thể làm tăng tải CPU và thời gian xử lý. NAKIVO cũng lưu ý riêng với Network Encryption rằng việc mã hóa dữ liệu khi truyền qua mạng có thể làm tăng backup time và CPU load trên các Transporter.
Ngoài ra, khi bật Backup Encryption, một số tính năng có thể không dùng đồng thời. Theo phần Feature Requirements của NAKIVO, backup encryption không hỗ trợ với repository kiểu Forever Incremental storage type, và tùy chọn Network acceleration không khả dụng nếu Backup Encryption được bật.
7. Ưu điểm khi bật Encryption
Nên bật backup encryption trong các trường hợp sau:
Mã hóa backup là một lớp bảo vệ quan trọng trong hệ thống sao lưu. Trong NAKIVO Backup & Replication, backup encryption sử dụng AES-256 để bảo vệ dữ liệu backup. Với source-side encryption, dữ liệu được mã hóa ngay từ phía nguồn trước khi truyền đi và tiếp tục được lưu ở dạng mã hóa trong repository. Điều này giúp giảm nguy cơ lộ dữ liệu nếu backup bị chặn trên đường truyền, bị copy khỏi repository hoặc bị truy cập trái phép.
Tuy nhiên, khi bật encryption, người quản trị cần lưu ý đến hiệu năng, khả năng tương thích tính năng và đặc biệt là việc quản lý mật khẩu mã hóa. Trong thực tế, encryption nên được kết hợp với các biện pháp khác như MFA/2FA, phân quyền RBAC, repository immutability và kiểm thử restore định kỳ để đảm bảo hệ thống backup vừa an toàn vừa có khả năng khôi phục khi xảy ra sự cố.
Encryption là quá trình mã hóa dữ liệu từ dạng có thể đọc được thành dạng không thể đọc trực tiếp nếu không có khóa hoặc mật khẩu giải mã. Trong hệ thống backup, encryption giúp bảo vệ dữ liệu backup khỏi việc bị đọc trộm, bị copy ra ngoài hoặc bị truy cập trái phép.
2. Source-side encryption
Source-side encryption là cơ chế mã hóa dữ liệu ngay từ phía nguồn, trước khi dữ liệu rời khỏi source workload hoặc source transporter. Nói đơn giản, dữ liệu được mã hóa trước khi truyền qua mạng đến Backup Repository.
Khi bật backup encryption, hệ thống tạo một khóa mã hóa AES-256 dùng một lần dựa trên mật khẩu do người dùng định nghĩa. Dữ liệu được mã hóa ở phía source bằng khóa này, sau đó dữ liệu đã mã hóa mới được truyền đến đích và lưu trong Backup Repository ở dạng mã hóa.
Luồng xử lý có thể hiểu như sau:
- NAKIVO mã hóa dữ liệu tại source bằng AES-256
- Dữ liệu đã mã hóa truyền qua mạng
- Backup Repository lưu dữ liệu ở dạng mã hóa
- Khi restore cần mật khẩu/khóa phù hợp để giải mã
3. AES-256
AES là viết tắt của Advanced Encryption Standard, một chuẩn mã hóa đối xứng được dùng rộng rãi để bảo vệ dữ liệu điện tử. Theo NIST, AES có ba biến thể chính là AES-128, AES-192 và AES-256; các con số 128, 192 và 256 thể hiện độ dài khóa mã hóa tính bằng bit. AES xử lý dữ liệu theo block 128-bit và có thể dùng khóa 128-bit, 192-bit hoặc 256-bit để mã hóa và giải mã dữ liệu.
AES-256 nghĩa là AES sử dụng khóa mã hóa dài 256 bit. Khóa càng dài thì không gian khóa càng lớn, làm cho việc dò khóa bằng brute-force trở nên cực kỳ khó trong thực tế. Trong NAKIVO, backup encryption sử dụng AES 256 block cipher encryption với độ dài khóa 256-bit để bảo vệ dữ liệu backup.
4. Backup encryption trong NAKIVO hoạt động như thế nào?
Khi bật Backup Encryption trong NAKIVO, người quản trị sẽ tạo mới hoặc chọn một mật khẩu mã hóa đã có. Dữ liệu backup được bảo vệ bằng AES-256. Trong Backup Job Wizard for VMware, NAKIVO mô tả rõ rằng khi bật backup encryption, dữ liệu backup được bảo vệ bằng AES 256 block cipher encryption với key length 256-bit.
5. Phân biệt Backup Encryption và Network Encryption
Trong NAKIVO có thể gặp hai khái niệm dễ nhầm là Backup Encryption và Network Encryption.
Backup Encryption bảo vệ dữ liệu backup bằng AES-256 và dữ liệu có thể được lưu trong repository ở dạng mã hóa. Tính năng này thường được cấu hình ở backup job hoặc repository tùy loại cấu hình, nhằm bảo vệ dữ liệu trong suốt vòng đời của backup.
Network Encryption chủ yếu bảo vệ dữ liệu khi truyền qua mạng. Khi bật Network Encryption, dữ liệu backup được bảo vệ bằng AES-256 khi di chuyển qua mạng; tùy chọn này có thể làm tăng thời gian backup và tăng tải CPU trên các máy chạy Transporter, thường phù hợp khi backup qua WAN mà không có VPN.
6. Ý nghĩa khi bật Encryption
Khi bật encryption trong backup job, dữ liệu backup sẽ an toàn hơn vì người khác không thể đọc được nội dung backup nếu không có mật khẩu hoặc thông tin giải mã phù hợp. Điều này đặc biệt quan trọng khi repository nằm trên thiết bị lưu trữ dùng chung, NAS, cloud, tape, hoặc môi trường có nhiều người quản trị cùng truy cập.
Encryption cũng giúp tăng khả năng bảo vệ dữ liệu trước các tình huống như repository bị copy, ổ cứng backup bị thất lạc, backup được chuyển ra ngoài site, hoặc dữ liệu đi qua mạng không hoàn toàn tin cậy. NAKIVO nhấn mạnh việc bảo vệ backup bằng AES-256 ở source, in flight và at rest như một phần trong chiến lược bảo vệ trước sự cố bảo mật và ransomware.
Tuy nhiên, bật encryption cũng có một số điểm cần lưu ý. Việc mã hóa và giải mã dữ liệu có thể làm tăng tải CPU và thời gian xử lý. NAKIVO cũng lưu ý riêng với Network Encryption rằng việc mã hóa dữ liệu khi truyền qua mạng có thể làm tăng backup time và CPU load trên các Transporter.
Ngoài ra, khi bật Backup Encryption, một số tính năng có thể không dùng đồng thời. Theo phần Feature Requirements của NAKIVO, backup encryption không hỗ trợ với repository kiểu Forever Incremental storage type, và tùy chọn Network acceleration không khả dụng nếu Backup Encryption được bật.
7. Ưu điểm khi bật Encryption
- Bảo mật dữ liệu backup: File backup không thể đọc trực tiếp nếu không có mật khẩu
- Bảo vệ khi truyền qua mạng: Dữ liệu có thể được mã hóa khi di chuyển giữa source và repository
- Bảo vệ khi lưu trữ: Backup trong repository được lưu ở dạng mã hóa
- Giảm rủi ro rò rỉ dữ liệu: Nếu repository hoặc ổ backup bị copy, dữ liệu vẫn khó bị khai thác
- Phù hợp môi trường doanh nghiệp: Hữu ích khi có yêu cầu bảo mật, tuân thủ hoặc backup ra site khác
- Tốn thêm tài nguyên xử lý: Mã hóa/giải mã cần CPU, có thể làm backup hoặc restore chậm hơn
- Phải quản lý mật khẩu cẩn thận: Nếu mất mật khẩu hoặc thông tin giải mã, restore có thể gặp khó khăn
- Không phải tính năng nào cũng dùng chung được: Một số repository type hoặc network acceleration có thể không tương thích
- Cần quy trình lưu trữ mật khẩu an toàn: Không nên lưu mật khẩu trong file text không bảo vệ
- Cần kiểm thử restore: Sau khi bật encryption, nên restore thử để chắc chắn backup dùng được
Nên bật backup encryption trong các trường hợp sau:
- Backup chứa dữ liệu quan trọng hoặc nhạy cảm.
- Repository nằm trên NAS, cloud, tape hoặc thiết bị có nhiều người truy cập.
- Backup được copy ra site khác.
- Backup truyền qua mạng WAN.
- Doanh nghiệp có yêu cầu bảo mật, kiểm toán hoặc tuân thủ.
- Muốn giảm rủi ro nếu file backup bị đánh cắp.
Mã hóa backup là một lớp bảo vệ quan trọng trong hệ thống sao lưu. Trong NAKIVO Backup & Replication, backup encryption sử dụng AES-256 để bảo vệ dữ liệu backup. Với source-side encryption, dữ liệu được mã hóa ngay từ phía nguồn trước khi truyền đi và tiếp tục được lưu ở dạng mã hóa trong repository. Điều này giúp giảm nguy cơ lộ dữ liệu nếu backup bị chặn trên đường truyền, bị copy khỏi repository hoặc bị truy cập trái phép.
Tuy nhiên, khi bật encryption, người quản trị cần lưu ý đến hiệu năng, khả năng tương thích tính năng và đặc biệt là việc quản lý mật khẩu mã hóa. Trong thực tế, encryption nên được kết hợp với các biện pháp khác như MFA/2FA, phân quyền RBAC, repository immutability và kiểm thử restore định kỳ để đảm bảo hệ thống backup vừa an toàn vừa có khả năng khôi phục khi xảy ra sự cố.
Bài viết liên quan
Được quan tâm