Verschlüsselung des Si3 Deduplication Stores

From SEPsesam
Revision as of 07:45, 17 October 2018 by THU (talk | contribs) (Created page with "Wählen Sie den vorkonfigurierten '''Si3 Deduplizierungsspeicher''' und doppelklicken Sie darauf, um die Eigenschaften zu öffnen.")
Other languages:

Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.3 Tigon/4.4.3 Grolar. Frühere Versionen der Dokumentation finden Sie hier: Dokumentation Archiv.


Übersicht

Die Si3-Verschlüsselung für den Si3-Datenspeicher ist eine der SEP sesam-Verschlüsselungsarten (ebenfalls verfügbar sind softwarebasierte und LTO-Verschlüsselung), die in Version 4.4.3 Tigon eingeführt wurden. SEP sesam unterstützt die Verschlüsselung für die Si3-Deduplizierung, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.

Der Administrator muss den Deduplizierungs-Sicherheitskey erstellen, der nur dem SEP sesam Server bekannt sein sollte. Wenn der Verschlüsselungskey nicht verfügbar ist, können die mit dem Si3 verschlüsselten Daten nicht mehr gelesen werden.

Si3-Verschlüsselung konfigurieren

Die Si3-Datenverschlüsselung wird durch die Erstellung einer Deduplizierungs-Sicherheits-Passwort-Datei festgelegt, die nur das Passwort enthält. Diese Datei muss dann in den entsprechenden Laufwerkseigenschaften des Si3 angegeben werden. Um sicherzustellen, daß nur der Administrator und der SEP sesam Server auf die Passwortdatei zugreifen können, müssen die betriebssystemeigenen Dateischutzdienste (Dateisystemberechtigungen, verschlüsseltes Dateisystem) genutzt werden. Dazu muss ein spezieller Benutzer, unter dem der SEP sesam Dienst ausgeführt wird, Zugriff auf die Passwort-Datei haben.

Passwortregeln

  • In SEP sesam version 4.4.3 Tigon, the password can only be set once at the beginning and cannot be changed. As of v. 4.4.3 Grolar, it is possible to change the encryption password as described in the section Changing encryption password.
  • Ohne das Passwort können die Daten des Si3-Datenspeichers nicht mehr gelesen werden.
  • Wird ein falsches Passwort verwendet, beendet sich der Si3-Dienst (SDS) sofort nach Überprüfung des Passwortes.
  • Nach der Aktivierung der Verschlüsselung werden nur die neu hinzugefügten Daten verschlüsselt. Bestehende Daten bleiben standardmäßig unverschlüsselt, können aber später mit dem unten beschriebenen Befehl verschlüsselt werden. Eine solche nachträgliche Verschlüsselung mit gc recreate all kann je nach Belegungsgrad des Si3-Datenspeichers sehr lange dauern (überprüfen Sie die Größe des belegten Datenspeicherplatzes mit dem Parameter Füllstand in der GUI).
  • sm_dedup_interface -d <drive_number> gc recreate all Beispiel: Gc recreate.png

Vorgehensweise in 5 Schritten:

  1. Erstellen Sie eine Passwortdatei, die nur das Passwort enthält. Zum Beispiel: C:/ProgramData/SEPsesam/var/ini/stpd_conf/my_dedup_store.pass.
  2. Wählen Sie unter Auswahl -> Komponenten den Punkt Datenspeicher aus, um die angelegten Datenspeicher anzuzeigen.
  3. Wählen Sie den vorkonfigurierten Si3-Dedup-Datenspeicher und öffnen Sie dessen Eigenschaften.
  4. In den Eigenschaften des Datenspeichers führen Sie einen Doppelklick auf das erste Laufwerk des Si3-Dedup-Datenspeichers aus. Das Fenster Laufwerkseigenschaften wird geöffnet.
    Si3 encryption Tigon de.jpg
  5. Geben Sie unter Optionen die zuvor erstellte Sicherheitspasswortdatei für die Deduplizierung an. Der Pfad zur Passwort-Datei muss mit Schrägstrichen angegeben werden, Backslashes dürfen nicht verwendet werden. Zum Beispiel:
    dedup.security.passwdfile="C:/ProgramData/SEPsesam/var/ini/stpd_conf/my_dedup_store.pass".
    Bestätigen Sie mit OK, um die Si3-Verschlüsselung zu aktivieren. Nach der Aktivierung der Verschlüsselung werden nur die neu hinzugefügten Daten verschlüsselt. Existierende Daten bleiben standardmäßig unverschlüsselt, können aber später mit dem gc recreate all verschlüsselt werden.

Danach wird der Si3 neu gestartet. Sie können das sm_dedup_interface verwenden, um den Verschlüsselungsstatus zu überprüfen.

Sm dedup interface.png
As of SEP sesam v. 4.4.3 Grolar, you can also check the encryption status under the data store properties, by clicking the Si3 State tab.

Si3 state tab de.jpg

Changing encryption password (≥ 4.4.3 Grolar)

As of v. 4.4.3 Grolar, it is possible to change an encryption password if the encryption status is successful (Encryption process status: OK). By setting up a new encryption password, first the data is decrypted with the previous password and then encrypted again with a new password. The re-encryption is only allowed if the encryption status is as follows: Encryption process status: One password for all DDLs.

Steps

  1. From Main selection -> Components, click Data Stores to display the data store contents frame.
  2. Wählen Sie den vorkonfigurierten Si3 Deduplizierungsspeicher und doppelklicken Sie darauf, um die Eigenschaften zu öffnen.
  3. Doppelklicken Sie in den Datenspeicher Eigenschaften auf das erste Laufwerk des Si3-Deduplizierungsspeichers. Das Fenster Laufwerkseigenschaften wird geöffnet.
    Si3 drive properties de.jpg
  4. Geben Sie unter Verschlüsselungspasswort ein neues Verschlüsselungspasswort ein und wiederholen Sie es.
  5. . Klicken Sie auf OK, um das neue Verschlüsselungspasswort zu übernehmen.

Verschlüsselungsverhalten bei der SDS-Replikation

Die Si3-Verschlüsselung ist im Lese-/Schreibverfahren des Dateisystems implementiert. Infolgedessen arbeitet die interne Verarbeitung mit den Rohdaten. Bei der Replikation eines verschlüsselten Datenspeichers werden die Daten nicht im verschlüsselten Zustand an den RDS übertragen. Die Daten werden zunächst auf dem Quell-Si3 entschlüsselt und dann auf dem Ziel-Si3 wieder verschlüsselt.
Um eine absolute Sicherheit bei der Replikation von Quell-Si3 zum Ziel-Si3 zu gewährleisten, muss für die Kommunikation eine sichere VPN-Verbindung verwendet werden.