LTO Verschlüsselung

From SEPsesam
Jump to: navigation, search
This page is a translated version of the page LTO Encryption and the translation is 100% complete.

Other languages:
Deutsch • ‎English
Copyright © SEP AG 1999-2022. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Beefalo/5.0.0 Jaglion. Frühere Versionen der Dokumentation finden Sie hier: Dokumentationsarchiv.


Übersicht

Bei LTO Generation 4 und höher besteht die Möglichkeit, Daten mit Hilfe der integrierten Hardwareverschlüsselung zu verwirklichen. SEP sesam bietet native Unterstützung für die Verwaltung der hardwarebasierten LTO-Verschlüsselung, indem es die LTO-Verschlüsselung von Bandlaufwerken auf Medienpool-Ebene ermöglicht.

Bei der LTO-Verschlüsselung werden die Daten vom Server über die SCSI-Schnittstelle zum Bandlaufwerk übertragen. Dann verschlüsselt und komprimiert das Bandlaufwerk die Daten, bevor es sie auf oder von Band schreibt (oder entschlüsselt, wenn es Daten liest).

Unterstützte Laufwerkstypen

Laufwerkstyp
LTO Generation
Unterstützt seit SEP sesam Version
LTO Ultrium 7 (M8), LTO Ultrium 8 (L8) LTO 8 4.4.3.64 + SP 2019-1
* Dieser Laufwerkstyp unterstützt Verschlüsselung, ist aber noch nicht durch SEP sesam zertifiziert. LTO 7 4.4.3.42
* Dieser Laufwerkstyp unterstützt Verschlüsselung, ist aber noch nicht durch SEP sesam zertifiziert. LTO 6 4.4.3
HP Ultrium 5-SCSI X64D
(SCSI, Einzelbandlaufwerk)
LTO 5 4.4.2.53
Tandberg HH Z519
(SCSI, Einzelbandlaufwerk)
LTO 5 4.4.2.53
HP Ultrium 4-SCSI B63W
(Fibre Channel, Lader)
LTO 4 4.4.2.53
IBM Ultrium-HH4
(SCSI, Lader)
LTO 4 4.4.2.53
IBM Ultrium-TD4 BBH4
(Fibre Channel, Lader/Einzelbandlaufwerk)
LTO 4 4.4.2.53

Einrichten der LTO-Verschlüsselung

Der LTO-Verschlüsselungsprozess besteht aus 4 Hauptschritten: Erstellen Sie eine Laufwerksgruppe und weisen Sie ihr ein oder mehrere, verschlüsselungsfähige Laufwerke (LTO-Generation 4 oder höher), zu. Legen Sie anschließend einen eigenen Medienpool an. Der letzte Schritt ist die Initialisierung des Mediums, und erst dann ist das LTO-Band bereit zur Verschlüsselung.

Erstellen einer neuen LTO Laufwerksgruppe (Generation 4 oder höher)

Normalerweise haben große automatischer Lader mehrere interne Laufwerke, die aus einem Magazin geladen werden. Alle Laufwerke müssen in einer Gruppe organisiert werden. Stellen Sie sicher, dass Sie eine neue Laufwerksgruppe für die LTO-Laufwerke der Generation 4 oder höher erstellen. Bitte beachten Sie, dass die Verschlüsselung nur verfügbar ist, wenn es keine älteren LTO-Laufwerke (z.B. Generation 3) in einer Gruppe gibt, jedoch kann eine Gruppe gemischte LTO-Bänder der Generation 4 und höher enthalten.

  1. Klicken Sie in der Auswahl -> Komponenten auf Laufwerke. Die Information der Laufwerke wird angezeigt.
  2. Klicken Sie auf Neue Gruppe, um eine neue Laufwerksgruppe für das LTO 4 (oder höher) zu erstellen und wählen Sie einen aussagekräftigen Namen dafür. Klicken Sie auf OK.

Erstellen eines Laufwerks für die neue LTO-Laufwerksgruppe (4 oder höher)

  1. Klicken Sie mit der rechten Maustaste auf die neu erstellte LTO-Laufwerksgruppe (4 oder höher) und klicken Sie auf Neues Laufwerk, um dieser Laufwerksgruppe ein Laufwerk zuzuweisen. SEP sesam folgt der automatischen Laufwerksnummerierung und vergibt die Laufwerksnummer automatisch.
  2. Geben Sie im Feld Bezeichnung einen aussagekräftigen Namen für das Laufwerk ein.
  3. Wählen Sie aus der Auswahlliste Laufwerkstyp die Option LTO.
  4. Wählen Sie aus der Auswahlliste Lader den entsprechenden Lader aus der Liste der konfigurierten Lader aus oder lassen Sie ihn bei einem Einzelbandlaufwerk leer.
  5. Wählen Sie aus der Auswahlliste Device Server den Client aus, mit dem Sie das Laufwerk verbinden möchten. Die Liste zeigt alle in SEP sesam konfigurierten Clients.
  6. Wählen Sie aus der Auswahlliste Laufwerksgruppe die neu erstellte LTO-Laufwerksgruppe aus.
    New LTO drive Beefalo V2 de.jpg
  7. Geben Sie im Feld Gerät (non-rewinding) den Namen des entsprechenden Gerätes ein. Nicht zurückspulen bedeutet, dass das Band nach der Sicherung nicht zurückgespult wird.
    SEP Tip.png Hinweis
    Sie können den Namen des Geräts erhalten, indem Sie den Befehl ausführen: <SESAM_BIN>/sesam/slu-topologie (z.B. Tape0 unter Windows oder /dev/nst0 unter Unix/Linux).

    Beispielausgabe unter Linux.

    ID=0000 other:   ATA      ST380013AS 
    ID=1000 other:   TOSHIBA  ODD-DVD SD-M1802
    ID=7040 Tape:    Quantum  DLT4000          D67E (/dev/nst0)
    ID=7050 Tape:    Quantum  DLT4000          D67E (/dev/nst1)
    ID=7060 Loader:  HP       C1194F           1.04 (/dev/sg4)
    STATUS=SUCCESS MSG="OK"
    
  8. Klicken Sie auf OK, um das neue Laufwerk zu erstellen. Sobald einer LTO-Laufwerksgruppe (4 oder höher) Laufwerke zugewiesen werden, ist es möglich die Verschlüsselung anzuschalten. Um zu überprüfen, ob Ihre LTO-Laufwerksgruppe verschlüsselungsfähig ist, doppelklicken Sie darauf oder klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Eigenschaften. Wenn die LTO-Laufwerksgruppe korrekt konfiguriert ist, wird die Meldung "Diese Laufwerksgruppe kann verschlüsselt werden" angezeigt.
    Information sign.png Anmerkung
    Die Verschlüsselung für eine Laufwerksgruppe ist nur verfügbar, wenn keine älteren LTO-Laufwerke (z.B. Generation 3) in einer Gruppe vorhanden sind, jedoch kann eine Gruppe gemischte LTO-Bänder der Generation 4 und höher enthalten.

    Drive group encrypt enabled Beefalo V2 de.jpg

Information sign.png Anmerkung
Wenn das Laufwerk die Fähigkeit zur Verschlüsselung nicht anzeigt, stellen Sie sicher, dass die Anwendungsverschlüsselung auf dem Laufwerk aktiviert ist. Dies kann eine spezielle Lizenz erfordern. Alternativ kann die Aktivierung auch über die Laufwerks- oder Bibliotheksverwaltungsschnittstelle nötig sein. Stellen Sie außerdem sicher, dass die Verschlüsselungsfunktionalität Ihrer LTO-Generation bereits von SEP sesam unterstützt wird.

Erstellen eines Medienpools für die neue LTO-Laufwerksgruppe (4 oder höher)

Nachdem Sie der Laufwerksgruppe ein oder mehrere Laufwerke zugewiesen haben, die alle verschlüsselungsfähig sind (LTO-Generation 4 oder höher), müssen Sie einen dedizierten Medienpool erstellen und die Verschlüsselung aktivieren.

In Version ≤ 4.4.3 Grolar steht beim Erstellen eines neuen Medienpools der Reiter Verschlüsselung zur Verfügung, auf der Sie die Verschlüsselung aktivieren können. Ab Version 4.4.3 Beefalo müssen Sie zuerst einen neuen Medienpool erstellen und dann die Verschlüsselung in den Eigenschaften des Medienpools aktivieren.

  1. Klicken Sie in der Auswahl -> Komponenten auf Medienpools. Der Medienpools Dialog wird angezeigt.
  2. Klicken Sie auf Neuer Medienpool, um einen Medienpool für die Laufwerksgruppe LTO (4 oder höher) zu definieren. Das Fenster Neuer Medienpool wird angezeigt.
  3. Geben Sie im Feld Name einen aussagekräftigen Namen für den Medienpool ein.
  4. Wählen Sie aus der Auswahlliste Laufwerksgruppe den Namen Ihrer LTO-Laufwerksgruppe (4 oder höher). Sobald Sie die LTO-Laufwerksgruppe ausgewählt haben, wird ein neuer Reiter Verschlüsselung verfügbar. In v. ≤ 4.4.3 Grolar wird, sobald Sie die LTO-Laufwerksgruppe auswählen, ein Reiter Verschlüsselung verfügbar. Ab V. 4.4.3 Beefalo ist nach der Erstellung eines Medienpools in den Medienpool-Eigenschaften ein Reiter Verschlüsselung verfügbar.
  5. Legen Sie im Feld Aufbewahrungszeit den Zeitraum fest, für den die Medien nach der Initialisierung oder der letzten Sicherung gesperrt sind, damit die Sicherungssätze erhalten bleiben und für die Wiederherstellung zur Verfügung stehen. Die Verweildauer wird in Tagen definiert.
  6. Um die Verschlüsselung zu aktivieren, gehen Sie, abhängig von Ihrer SEP sesam Version, wie folgt vor:
    • Klicken Sie in V. > 4.4.3 Beefalo auf OK, um einen Medienpool zu erstellen. Doppelklicken Sie dann auf diesen Medienpool, um seine Eigenschaften zu öffnen. Wechseln Sie auf den Reiter Verschlüsselung und klicken Sie auf Verschlüsselung aktivieren.
    • In V. ≤ 4.4.3 Grolar wechseln Sie zum Reiter Verschlüsselung und klicken dann auf Verschlüsselung aktivieren.
    Media pool encrypt enabled Beefalo V2 de.jpg
  7. Setzen Sie das Passwort für Ihre Bandverschlüsselung und geben Sie es erneut ein.
  8. SEP Warning.png Achtung
    • Stellen Sie sicher, dass Sie sich das Passwort merken, sonst können Sie die Verschlüsselungseigenschaften nicht mehr ändern oder auf Daten auf Band zugreifen, es sei denn, die Daten werden direkt von SEP sesam gelesen.Der Verschlüsselungsschlüssel wird in der SEP sesam Datenbank gespeichert und bei der Wiederherstellung automatisch gelesen. Aber wenn das Band vom Laufwerk entfernt wird, wird die Verschlüsselung gelöscht. Solche Bänder können weiterhin für Backups verwendet werden, aber auf die gespeicherten Daten kann nur von SEP sesam zugegriffen werden.
    • Wenn Sie das Kennwort ändern, wird das aktualisierte Kennwort erst nach der Initialisierung der Bänder wirksam. Bis dahin ist das alte Passwort noch gültig.
    • Das Passwort wird auch benötigt, um die Verschlüsselung zu deaktivieren.

Initialisierung von Medien eines LTO Einzelbandlaufwerkes

Um die LTO-Verschlüsselung zu aktivieren, müssen Sie die zum LTO-Medienpool gehörenden LTO-Bänder initialisieren. Erst nach der Initialisierung sind die LTO-Bänder zur Verschlüsselung bereit. Die LTO-Bänder, die vor dem Setzen der Verschlüsselung geladen wurden, werden nach Ablauf ihrer EOL verschlüsselt. Solange die EOL gültig ist, sind die LTO-Bänder nicht beschreibbar, daher werden die Daten verschlüsselt, nachdem sie EOL-frei geworden sind und neu initialisiert wurden.

Um Medien zu initialisieren, gehen Sie zu Aktivitäten -> Sofortstart -> Medienaktion. Wählen Sie Medienaktion init, wählen Sie den Medienpool und das zu initialisierende Medium. Klicken Sie auf OK, um die Initialisierung des Mediums zu starten. Weitere Informationen finden Sie unter Initialisieren von Medien.

So überprüfen Sie, ob die Verschlüsselung aktiviert ist

Es gibt zwei Möglichkeiten zu prüfen, ob die Verschlüsselung aktiviert ist. Sie können entweder jede einzelne Mediumeigenschaft prüfen oder das Tagesprotokoll nach verschlüsselungsrelevanten Nachrichten durchsuchen.

Medieneigenschaften prüfen

Suchen Sie in der Tabelle unter Auswahl -> Komponenten -> Medien nach der Spalte Verschlüsselt. Ja bedeutet, dass das Medium verschlüsselt ist, Nein bedeutet, dass es nicht verschlüsselt ist. Sie können auch auf ein Medium in der Tabelle doppelklicken, um den Eigenschaften Dialog zu öffnen. Das Feld Verschlüsselt gibt an, ob das Medium verschlüsselt ist oder nicht (Ja/Nein).

Media properties Beefalo V2 de.jpg

Tagesprotokoll prüfen

SEP sesam überprüft bei jeder Datensicherung, ob die Verschlüsselung aktiviert ist. Sie können dies bestätigen, indem Sie die Datei Tagesprotokoll überprüfen. Weitere Informationen finden Sie unter Protokolle.

  1. Klicken Sie in der Auswahl -> Protokolle auf Tagesprotokoll. Der Inhalt des Tagesprotokolls wird angezeigt.
  2. Geben Sie im Feld Suchen encrypt ein und drücken Sie Enter. Wenn die LTO-Verschlüsselung aktiviert ist, werden alle zugehörigen Meldungen angezeigt. Verwenden Sie die Schaltflächen Abwärts und Aufwärts, um durch alle Suchergebnisse zu blättern.
    Day log part Beefalo V2 de.jpg


Information sign.png Anmerkung
Ab 4.4.3 Beefalo V2 können Sie Ihre Systemprotokolle auch online überprüfen, indem Sie die neue Web UI verwenden (Systemprotokolle -> Tagesprotokoll). Details finden Sie unter SEP sesam Web UI.

Wenn die LTO-Verschlüsselung aktiviert ist, werden die Daten vor dem Start der Sicherung verschlüsselt. Beachten Sie, dass der Bandkopf niemals verschlüsselt wird, während die Daten selbst verschlüsselt werden, bevor sie auf das LTO-Band geschrieben werden.