Verschlüsselung des Si3 Deduplication Stores

From SEPsesam
Revision as of 11:42, 19 March 2020 by Sta (talk | contribs)
Other languages:

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Tigon/4.4.3 Beefalo V2. Frühere Versionen der Dokumentation finden Sie hier: Dokumentation Archiv.


Übersicht

Die Si3-Verschlüsselung für den Si3-Deduplizierungspeicher ist eine der SEP sesam-Verschlüsselungsarten (ebenfalls verfügbar sind Sicherungsauftrag- und LTO-Verschlüsselung). SEP sesam bietet Verschlüsselung für die Si3-Deduplizierung, um die Einhaltung der Datenschutzgesetze zu gewährleisten. Diese Verschlüsselungsart wurde in Version 4.4.3 Tigon eingeführt und wurde dabei vereinfacht, so dass nun durch Angabe und Bestätigung des Verschlüsselungspassworts die Verschlüssung aktiviert werden kann.

Für die Festlegung des Si3-Verschlüsselungspassworts gelten die folgenden Regeln.

Passwortregeln

  • Ohne das Passwort können die Daten des Si3-Datenspeichers nicht mehr gelesen werden.
  • Wird ein falsches Passwort verwendet, beendet sich der Si3-Dienst (SDS) sofort nach Überprüfung des Passwortes.
  • Das Verschlüsselungspasswort kann in allen neueren SEP sesam Versionen (ab v. 4.4.3 Grolar) bei erfolgreichem Verschlüsselungsstatus geändert werden, in der älteren SEP sesam Version jedoch 4.4.3 Tigon kann das Passwort nur einmal am Anfang gesetzt und nicht geändert werden.
    Wie Sie das Passwort ändern, ist im Abschnitt Verschlüsselungspasswort ändern beschrieben.
  • Nach der Aktivierung der Verschlüsselung werden nur die neu hinzugefügten Daten verschlüsselt. Bestehende Daten bleiben standardmäßig unverschlüsselt, können aber später mit dem unten beschriebenen Befehl verschlüsselt werden. Eine solche nachträgliche Verschlüsselung mit gc recreate all kann je nach Belegungsgrad des Si3-Datenspeichers sehr lange dauern (überprüfen Sie die Größe des belegten Datenspeicherplatzes mit dem Parameter Füllstand in der GUI).
  • sm_dedup_interface -d <drive_number> gc recreate all Beispiel: Gc recreate.png


Si3-Verschlüsselung konfigurieren

Diese Vorgehensweise ist je nach verwendeter SEP sesam Version unterschiedlich:

Festlegen des Verschlüsselungspassworts in den Laufwerkseigenschaften

Ab 4.4.3.3 Beefalo ist die Einstellung des Verschlüsselungspassworts einfach, da Sie es nur noch direkt in den Eigenschaften des ersten Laufwerks eingeben müssen.

  1. Klicken Sie unter Auswahl -> Komponenten auf Datenspeicher, um den Inhalt des Datenspeichers anzuzeigen.
  2. Wählen Sie den vorkonfigurierten Si3 Deduplizierungsspeicher und doppelklicken Sie darauf, um die Eigenschaften zu öffnen.
  3. In den Eigenschaften des Datenspeichers führen Sie einen Doppelklick auf das erste Laufwerk des Si3-Dedup-Datenspeichers aus. Das Fenster Laufwerkseigenschaften wird geöffnet.
    Si3 drive properties Beefalo V2 de.jpg
  4. Geben Sie im Feld Verschlüsselungspasswort das Passwort ein und wiederholen Sie es im Feld darunter.
  5. Klicken Sie auf OK, um das Verschlüsselungspasswort einzurichten.

Sobald die Verschlüsselung aktiviert ist, werden nur die neu hinzugefügten Daten verschlüsselt, während alle zuvor vorhandenen Daten standardmäßig unverschlüsselt bleiben.

SEP Tip.png Hinweis
Sie können alle zuvor vorhandenen Daten mit dem Befehl gc recreate all verschlüsseln.

Um den Verschlüsselungsstatus zu überprüfen, klicken Sie auf den Reiter Si3 Status in den Datenspeichereigenschaften.

Si3 state tab Beefalo V2 de.jpg

Erstellen einer externen Passwort-Datei

Für ältere Versionen 4.4.3 Tigon-Grolar muss der Administrator den Deduplizierungs-Sicherheitsschlüssel erstellen, der nur dem SEP sesam Server bekannt sein sollte. Wenn das Verschlüsselungspasswort nicht verfügbar ist, können die mit dem Si3 verschlüsselten Daten nicht mehr gelesen werden.

In den Versionen 4.4.3 Tigon-Grolar wird die Si3-Datenverschlüsselung durch die Erstellung einer Deduplizierungs-Sicherheits-Passwort-Datei festgelegt, die nur das Passwort enthält. Diese Datei muss dann in den entsprechenden Laufwerkseigenschaften des Si3 angegeben werden. Um sicherzustellen, daß nur der Administrator und der SEP sesam Server auf die Passwortdatei zugreifen können, müssen die betriebssystemeigenen Dateischutzdienste (Dateisystemberechtigungen, verschlüsseltes Dateisystem) genutzt werden. Dazu muss ein spezieller Benutzer, unter dem der SEP sesam Dienst ausgeführt wird, Zugriff auf die Passwort-Datei haben.

  1. Erstellen Sie eine Passwortdatei, die nur das Passwort enthält. Zum Beispiel: C:/ProgramData/SEPsesam/var/ini/stpd_conf/my_dedup_store.pass.
  2. Wählen Sie unter Auswahl -> Komponenten den Punkt Datenspeicher aus, um die angelegten Datenspeicher anzuzeigen.
  3. Wählen Sie den vorkonfigurierten Si3-Dedup-Datenspeicher und öffnen Sie dessen Eigenschaften.
  4. In den Eigenschaften des Datenspeichers führen Sie einen Doppelklick auf das erste Laufwerk des Si3-Dedup-Datenspeichers aus. Das Fenster Laufwerkseigenschaften wird geöffnet.
    Si3 encryption Tigon de.jpg
  5. Geben Sie unter Optionen die zuvor erstellte Sicherheitspasswortdatei für die Deduplizierung an. Der Pfad zur Passwort-Datei muss mit Schrägstrichen angegeben werden, Backslashes dürfen nicht verwendet werden. Zum Beispiel:
    dedup.security.passwdfile="C:/ProgramData/SEPsesam/var/ini/stpd_conf/my_dedup_store.pass".
    Bestätigen Sie mit OK, um die Si3-Verschlüsselung zu aktivieren. Nach der Aktivierung der Verschlüsselung werden nur die neu hinzugefügten Daten verschlüsselt. Existierende Daten bleiben standardmäßig unverschlüsselt, können aber später mit dem gc recreate all verschlüsselt werden.

Danach wird der Si3 neu gestartet. Sie können das sm_dedup_interface verwenden, um den Verschlüsselungsstatus zu überprüfen.

Sm dedup interface.png
Ab SEP sesam Version 4.4.3 Grolar, können Sie den Verschlüsselungsstatus auch unter den Eigenschaften des Datenspeichers überprüfen, indem Sie auf die Registerkarte Si3 Status klicken.

Verschlüsselungspasswort ändern (≥ 4.4.3 Grolar)

Ab Version 4.4.3 Grolar, ist es möglich, ein Verschlüsselungspasswort zu ändern, wenn der Verschlüsselungsstatus erfolgreich ist (Encryption process status: OK). Bei der Einrichtung eines neuen Verschlüsselungspassworts werden zunächst die Daten mit dem vorherigen Passwort entschlüsselt und dann wieder mit einem neuen Passwort verschlüsselt. Die erneute Verschlüsselung ist nur zulässig, wenn der Verschlüsselungsstatus wie folgt lautet: Encryption process status: One password for all DDLs.

Die Vorgehensweise zum Ändern des Si3-Verschlüsselungspassworts in der aktuellen SEP sesam-Version ist die gleiche wie beim Festlegen des Verschlüsselungspassworts in den Laufwerkseigenschaften.

Schritte

  1. Klicken Sie unter Auswahl -> Komponenten auf Datenspeicher, um den Inhalt des Datenspeichers anzuzeigen.
  2. Wählen Sie den vorkonfigurierten Si3 Deduplizierungsspeicher und doppelklicken Sie darauf, um die Eigenschaften zu öffnen.
  3. Doppelklicken Sie in den Eigenschaften des Datenspeichers auf das erste Laufwerk des Si3-Deduplizierungsspeichers. Das Fenster Laufwerkseigenschaften wird geöffnet.
  4. Geben Sie unter Verschlüsselungspasswort ein neues Verschlüsselungspasswort ein und wiederholen Sie es.
  5. Klicken Sie auf OK, um das neue Verschlüsselungspasswort zu übernehmen.

Verschlüsselungsverhalten bei der SDS-Replikation

Die Si3-Verschlüsselung ist im Lese-/Schreibverfahren des Dateisystems implementiert. Infolgedessen arbeitet die interne Verarbeitung mit den Rohdaten. Bei der Replikation eines verschlüsselten Datenspeichers werden die Daten nicht im verschlüsselten Zustand an den RDS übertragen. Die Daten werden zunächst auf dem Quell-Si3 entschlüsselt und dann auf dem Ziel-Si3 wieder verschlüsselt.
Um eine absolute Sicherheit bei der Replikation von Quell-Si3 zum Ziel-Si3 zu gewährleisten, muss für die Kommunikation eine sichere VPN-Verbindung verwendet werden.