Verschlüsselung des Si3 Deduplication Stores

From SEPsesam
Jump to: navigation, search
This page is a translated version of the page Encrypting Si3 Deduplication Store and the translation is 100% complete.

Other languages:
Deutsch • ‎English

Copyright © SEP AG 1999-2019. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Tigon/4.4.3 Grolar. Frühere Versionen der Dokumentation finden Sie hier: Dokumentation Archiv.


Übersicht

Die Si3-Verschlüsselung für den Si3-Datenspeicher ist eine der SEP sesam-Verschlüsselungsarten (ebenfalls verfügbar sind Sicherungsauftrag- und LTO-Verschlüsselung), die in Version 4.4.3 Tigon eingeführt wurden. SEP sesam unterstützt die Verschlüsselung für die Si3-Deduplizierung, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Der Administrator muss den Deduplizierungs-Sicherheitskey erstellen, der nur dem SEP sesam Server bekannt sein sollte. Wenn der Verschlüsselungskey nicht verfügbar ist, können die mit dem Si3 verschlüsselten Daten nicht mehr gelesen werden.

Si3-Verschlüsselung konfigurieren

Die Si3-Datenverschlüsselung wird durch die Erstellung einer Deduplizierungs-Sicherheits-Passwort-Datei festgelegt, die nur das Passwort enthält. Diese Datei muss dann in den entsprechenden Laufwerkseigenschaften des Si3 angegeben werden. Um sicherzustellen, daß nur der Administrator und der SEP sesam Server auf die Passwortdatei zugreifen können, müssen die betriebssystemeigenen Dateischutzdienste (Dateisystemberechtigungen, verschlüsseltes Dateisystem) genutzt werden. Dazu muss ein spezieller Benutzer, unter dem der SEP sesam Dienst ausgeführt wird, Zugriff auf die Passwort-Datei haben.

Passwortregeln

  • In SEP sesam version 4.4.3 Tigon, kann das Passwort am Anfang nur einmal gesetzt und nicht geändert werden. Ab Version 4.4.3 Grolar, ist es möglich, das Verschlüsselungspasswort wie im Abschnitt Verschlüsselungspasswort ändern beschrieben zu ändern.
  • Ohne das Passwort können die Daten des Si3-Datenspeichers nicht mehr gelesen werden.
  • Wird ein falsches Passwort verwendet, beendet sich der Si3-Dienst (SDS) sofort nach Überprüfung des Passwortes.
  • Nach der Aktivierung der Verschlüsselung werden nur die neu hinzugefügten Daten verschlüsselt. Bestehende Daten bleiben standardmäßig unverschlüsselt, können aber später mit dem unten beschriebenen Befehl verschlüsselt werden. Eine solche nachträgliche Verschlüsselung mit gc recreate all kann je nach Belegungsgrad des Si3-Datenspeichers sehr lange dauern (überprüfen Sie die Größe des belegten Datenspeicherplatzes mit dem Parameter Füllstand in der GUI).
  • sm_dedup_interface -d <drive_number> gc recreate all
    

    Beispiel: Gc recreate.png

Vorgehensweise in 5 Schritten:

  1. Erstellen Sie eine Passwortdatei, die nur das Passwort enthält. Zum Beispiel: C:/ProgramData/SEPsesam/var/ini/stpd_conf/my_dedup_store.pass.
  2. Wählen Sie unter Auswahl -> Komponenten den Punkt Datenspeicher aus, um die angelegten Datenspeicher anzuzeigen.
  3. Wählen Sie den vorkonfigurierten Si3-Dedup-Datenspeicher und öffnen Sie dessen Eigenschaften.
  4. In den Eigenschaften des Datenspeichers führen Sie einen Doppelklick auf das erste Laufwerk des Si3-Dedup-Datenspeichers aus. Das Fenster Laufwerkseigenschaften wird geöffnet.
    Si3 encryption Tigon de.jpg
  5. Geben Sie unter Optionen die zuvor erstellte Sicherheitspasswortdatei für die Deduplizierung an. Der Pfad zur Passwort-Datei muss mit Schrägstrichen angegeben werden, Backslashes dürfen nicht verwendet werden. Zum Beispiel:
    dedup.security.passwdfile="C:/ProgramData/SEPsesam/var/ini/stpd_conf/my_dedup_store.pass".
    Bestätigen Sie mit OK, um die Si3-Verschlüsselung zu aktivieren. Nach der Aktivierung der Verschlüsselung werden nur die neu hinzugefügten Daten verschlüsselt. Existierende Daten bleiben standardmäßig unverschlüsselt, können aber später mit dem gc recreate all verschlüsselt werden.

Danach wird der Si3 neu gestartet. Sie können das sm_dedup_interface verwenden, um den Verschlüsselungsstatus zu überprüfen.

Sm dedup interface.png
Ab SEP sesam Version 4.4.3 Grolar, können Sie den Verschlüsselungsstatus auch unter den Eigenschaften des Datenspeichers überprüfen, indem Sie auf die Registerkarte Si3 Status klicken.

Si3 state tab de.jpg

Verschlüsselungspasswort ändern (≥ 4.4.3 Grolar)

Ab Version 4.4.3 Grolar, ist es möglich, ein Verschlüsselungspasswort zu ändern, wenn der Verschlüsselungsstatus erfolgreich ist (Encryption process status: OK). Bei der Einrichtung eines neuen Verschlüsselungspassworts werden zunächst die Daten mit dem vorherigen Passwort entschlüsselt und dann wieder mit einem neuen Passwort verschlüsselt. Die erneute Verschlüsselung ist nur zulässig, wenn der Verschlüsselungsstatus wie folgt lautet: Encryption process status: One password for all DDLs.

Schritte

  1. Klicken Sie unter Auswahl -> Komponenten auf Datenspeicher, um den Inhalt des Datenspeichers anzuzeigen.
  2. Wählen Sie den vorkonfigurierten Si3 Deduplizierungsspeicher und doppelklicken Sie darauf, um die Eigenschaften zu öffnen.
  3. Doppelklicken Sie in den Eigenschaften des Datenspeichers auf das erste Laufwerk des Si3-Deduplizierungsspeichers. Das Fenster Laufwerkseigenschaften wird geöffnet.
    Si3 drive properties de.jpg
  4. Geben Sie unter Verschlüsselungspasswort ein neues Verschlüsselungspasswort ein und wiederholen Sie es.
  5. Klicken Sie auf OK, um das neue Verschlüsselungspasswort zu übernehmen.

Verschlüsselungsverhalten bei der SDS-Replikation

Die Si3-Verschlüsselung ist im Lese-/Schreibverfahren des Dateisystems implementiert. Infolgedessen arbeitet die interne Verarbeitung mit den Rohdaten. Bei der Replikation eines verschlüsselten Datenspeichers werden die Daten nicht im verschlüsselten Zustand an den RDS übertragen. Die Daten werden zunächst auf dem Quell-Si3 entschlüsselt und dann auf dem Ziel-Si3 wieder verschlüsselt.
Um eine absolute Sicherheit bei der Replikation von Quell-Si3 zum Ziel-Si3 zu gewährleisten, muss für die Kommunikation eine sichere VPN-Verbindung verwendet werden.