Introducción
Muchas normativas requieren el cifrado de las cintas que salen de nuestro CPD. Netbackup trae incorporado un servicio de gestión de claves (Key Management Service o KMS) y viene incluido con la licencia de Servidor, así que no es necesario adquirirla. KMS gestiona cifrado con claves simétricas en las unidades de cintas que soportan el estándar T10 (por ejemplo TLO4). También puede servir para cifrar las copias que se almacenan en proveedores en la nube.
El servicio de KMS se ejecuta en el Master server y guarda su configuración en tres bases de datos (/opt/openv/kms o Program Files\Veritas\kms) de las cuales conviene hacer copia de seguridad aunque si se registran las claves que se usan para crearlas y la salida del comando «nbkmsutil -listkeys» se podrían regenerar.
En el momento de hacer un backup, si el bptm detecta que el «volumen pool» de destino comienza por «ENCR_» contacta con el servicio KMS para pedir la clave correspondiente, se la envía a la unidad de cinta que copia la información cifrada a la cinta, y al terminar la copia de seguridad vuelve a poner la unidad de cinta en modo no cifrado. A la hora de hacer una restauración, bptm detecta que la imagen está cifrado y solicita la clave correspondiente al servicio KMS.
Configuración
Para configurar el servicio de KMS hay que seguir los siguientes pasos:
Primero crear la base de datos vacía con «nbkms -createemptydb»:
A continuación iniciar el servicio KMS. Ahora podremos registrar las claves de cifrado. Lo primero es crear un grupo que tiene que coincidir con el nombre del «volume pool» que vamos a utilizar para las cintas:
y a continuación la clave de encriptación. Es muy útil introducir la clave manualmente y registrarla por si queremos regenerarla en el futuro ya que si dejamos que la genere automáticamente Netbackup no sería posible:
A partir de este momento, la información que enviemos a cintas de este pool estarán cifradas. Para verificarlo, lo podemos hacer en el informe «Images On Tape» añadiendo la columna «Encrypted» y «Encryption Key Tag» si queremos ver la clave que se ha utilizado:
Recuperación de las claves
Es muy importante una vez que comenzamos a hacer el cifrado de la información que guardamos en cinta hacer una copia de las bases de datos del servicio KMS ya que esta no se guarda en un backup del catálogo. Para hacer una copia podemos ejecutar el comando «nbkmsutil -quiescedb», copiar las tres bases de datos que forman el servicio KMS a un lugar seguro y a continuación volver a poner en modo escritura la base de datos de KMS con «nbkmsutil -unquiescedb». Para restaurarla bastaría con copiarla a su ubicación original e iniciar el servicio.
Si no tuviéramos la bbdd original de KMS o quisiéramos llevarnos una clave concreta a otro master server que ya tiene configurado su propia base de datos de KMS se puede recrear, para ello necesitamos:
- La clave con la que se creó (por eso es muy útil no dejar que se autogeneren)
- El «Key Tag» y a partir de la versión 7.7 también el «Salt». Estos datos se pueden guardar cuando se genera la clave o con la salida del comando «nbkmsutil -listkeys -all»
El comando para regenerar la clave es «nbkmsutil -recoverkey»:
Referencias
Setting up the KMS database for NetBackup cloud storage encryption
How to Export and Import Encryption Keys Using the NetBackup KMS
NetBackup 7.7 Security and Encryption Guide
Muy útil. Gracias
Articulo de gran utilidad para securizar las cintas! Gracias