NAKIVO > Bloggen

Verständnis der Optionen für die Sicherung verschlüsseln

Veröffentlicht am: November 8, 2024

Written by: NAKIVO Team

Die Datensicherung ist für die Verhinderung von Datenverlusten und eine schnelle Wiederherstellung von entscheidender Bedeutung. Ein Teil einer sicheren und mit Resilienz ausgestatteten Strategie für Datensicherheit ist es, Backups zu verschlüsseln, um Verstöße und den Zugriff auf Daten durch unbefugte Personen zu verhindern. Dieser Blogbeitrag behandelt Verschlüsselungstypen basierend auf dem Ort, an dem die Daten verschlüsselt werden, und erklärt, wie ein bestimmter Ansatz für eine effektive Strategie zum Verschlüsselen von Backups verwendet werden kann.

Say no to ransoms with NAKIVO

Say no to ransoms with NAKIVO

Use backups for fast data recovery after ransomware attacks. Multiple recovery options, immutable local and cloud storage, recovery automation features and more.

DISCOVER SOLUTION

Arten der Sicherung verschlüsseln

Die Verschlüsselung kann basierend auf dem Verschlüsselungsalgorithmus, der Schlüssellänge und den Standorten, an denen die Verschlüsselung durchgeführt wird, in verschiedene Kategorien eingeteilt werden. Quellseitige Verschlüsselung und zielseitige Verschlüsselung sind Begriffe, die im Zusammenhang mit der Datenverschlüsselung verwendet werden, insbesondere wenn Daten zwischen Systemen übertragen werden, wie z. B. in Cloud-Speicher- oder Datensicherungsszenarien. Sie beziehen sich darauf, wo die Prozesse der Verschlüsselung und Entschlüsselung stattfinden.

Quellseitige Verschlüsselung

Bei der quellenseitigen Verschlüsselung, auch als clientseitige Verschlüsselung bekannt, werden Daten auf dem System des Clients (Quelle) verschlüsselt, bevor sie an ein anderes System, wie z. B. einen Cloud-Speicher oder einen Remote-Server, übertragen werden. Dieser Prozess stellt sicher, dass die Daten ab dem Zeitpunkt, an dem sie die Kontrolle des Kunden verlassen, geschützt sind und ihre Vertraulichkeit und Integrität während der gesamten Übertragung und Speicherung gewahrt bleibt.

HINWEIS: Die Quellseitige Verschlüsselung ist eng mit der sogenannten Clientseitigen Verschlüsselung verbunden. Tatsächlich werden die beiden Begriffe häufig synonym verwendet, obwohl der Kontext je nach der jeweiligen Anwendung oder dem jeweiligen System variieren kann.

So funktioniert die Quellseitige Verschlüsselung

Wenn ein Benutzer oder eine Anwendung Daten auf einem Gerät wie einem Computer oder Server generiert, werden diese Daten zunächst lokal auf diesem Gerät verschlüsselt. Der Prozess der Verschlüsselung verwendet einen starken Verschlüsselungsalgorithmus wie AES (Advanced Encryption Standard), der die lesbaren Daten in ein verschlüsseltes Format umwandelt, das ohne den entsprechenden Schlüssel für die Entschlüsselung nicht lesbar ist. Dieser Entschlüsselungsschlüssel wird in der Regel vom Client verwaltet, was bedeutet, dass nur der Client – oder autorisierte Stellen mit Zugriff auf den Schlüssel – die Originaldaten entschlüsseln und darauf zugreifen können.

Sobald die Daten verschlüsselt sind, werden sie an das Zielsystem übertragen. Während dieser Übertragung bleiben die Daten verschlüsselt, wodurch das Risiko von Sicherheitsverletzungen im Falle einer Abfangung verringert wird. Da die Daten bereits verschlüsselt sind, bevor sie die Umgebung des Kunden verlassen, muss das empfangende System weder deren Inhalt kennen noch in der Lage sein, sie zu entschlüsseln.

Nach Erreichen des Zielsystems werden die Daten in verschlüsseltem Zustand gespeichert. Der Server oder der Speicher speichert nur die verschlüsselten Daten und hat in der Regel keinen Zugriff auf die Entschlüsselungsschlüssel, sodass er die Daten nicht selbst entschlüsseln kann. Diese Konfiguration gewährleistet, dass die Daten auch dann sicher bleiben, wenn das Speichersystem kompromittiert wird, da die Daten ohne den richtigen Schlüssel für die Entschlüsselung nicht gelesen werden können.

Wenn der Client oder ein autorisierter Benutzer auf die gespeicherten Daten zugreifen muss, werden die verschlüsselten Daten aus dem Zielsystem abgerufen und an den Client (Quellsystem) zurückgesendet. Der Client verwendet dann den ursprünglichen Schlüssel für die Entschlüsselung, um die Daten lokal zu entschlüsseln und sie wieder in ihre ursprüngliche, lesbare Form zu konvertieren. Diese Entschlüsselung findet vollständig auf dem System des Kunden statt, wodurch sichergestellt wird, dass die Daten während ihres gesamten Lebenszyklus unter der Kontrolle des Kunden bleiben.

Die quellenseitige Verschlüsselung ist besonders in Szenarien von Vorteil, in denen der Kunde die Kontrolle über die Sicherheit der Daten behalten möchte, z. B. bei der Speicherung sensibler Informationen in Cloud-Umgebungen. Allerdings muss der Kunde auch die Verschlüsselungsschlüssel sicher verwalten, da der Verlust dieser Schlüssel dazu führen würde, dass die Daten dauerhaft nicht zugänglich sind. Dieser Ansatz bietet ein hohes Maß an Datensicherheit.

Vorteile der Quellseitigen Verschlüsselung

Die Quellseitige Verschlüsselung ermöglicht es dem Kunden, die vollständige Kontrolle über den Verschlüsselungsprozess, einschließlich der Verschlüsselungsschlüssel, zu behalten. Dieser Ansatz stellt sicher, dass die Daten geschützt sind, bevor sie die Umgebung des Kunden verlassen, und bietet ein höheres Maß an Vertrauen und Autonomie. Der Kunde kann die Methoden der Verschlüsselung und der Schlüsselverwaltung an spezifische Anforderungen der Sicherheit und der Compliance anpassen, was diesen Ansatz besonders für sensible oder regulierte Daten vorteilhaft macht.

Security

Einer der wichtigsten Vorteile der Quellseitigen Verschlüsselung besteht darin, dass die Daten an ihrem Ursprungsort verschlüsselt werden, sodass sie sowohl während der Übertragung als auch im Ruhezustand sicher sind. Da der Kunde die Verschlüsselungsschlüssel kontrolliert, bleiben die Daten für alle Personen, einschließlich Dienstleister oder Dritte, die nicht über die Schlüssel verfügen, nicht zugänglich. Dadurch wird das Risiko eines unbefugten Zugriffs oder von Datenverletzungen erheblich verringert, selbst wenn das Speichersystem kompromittiert wird. Darüber hinaus handelt es sich um eine End-to-End-Verschlüsselung, die sicherstellt, dass die Daten während ihres gesamten Lebenszyklus geschützt bleiben.

Leistung

Die Quellseitige Verschlüsselung kann sich spürbar auf die Leistung auswirken, da die Ver- und Entschlüsselungsprozesse auf dem Gerät des Clients (Quelle) stattfinden. Je nach Größe und Komplexität der Daten kann dies erhebliche Rechenressourcen erfordern, was insbesondere bei großen Datensätzen oder Geräten mit begrenzten Ressourcen zu einer Verlangsamung der Vorgänge führen kann. Auch die Schlüsselverwaltung kann die Komplexität erhöhen und erfordert eine sorgfältige Handhabung, um Leistungsengpässe oder potenzielle Datenverluste bei unsachgemäßer Verwendung der Schlüssel zu vermeiden.

Zielseitige Verschlüsselung

Zielseitige Verschlüsselung, auch als serverseitige Verschlüsselung bezeichnet, bezieht sich auf den Prozess der Verschlüsselung von Daten durch das Zielsystem (z. B. einen Cloud-Anbieter, Remote-Server oder Datenbank) verschlüsselt werden, nachdem sie von der Quelle (Client) empfangen wurden. Dieser Verschlüsselungsansatz wird häufig in Cloud-Speicherdiensten, Datenbanken und anderen Szenarien verwendet, in denen Daten nach dem Empfang und der Speicherung geschützt werden müssen. Bei dieser Methode liegt die Verantwortung für die Verschlüsselung und Sicherung der Daten beim Server (Ziel) und nicht beim Client (Quelle).

So funktioniert die zielseitige Verschlüsselung

Wenn ein Client Daten an ein Zielsystem sendet, kommen die Daten in der Regel im Klartext an, obwohl sie während der Übertragung durch Transportschicht-Sicherheitsprotokolle wie TLS/SSL geschützt sein können. Sobald die Daten das Zielsystem erreichen, übernimmt der Server den Prozess der Verschlüsselung. Der Server verwendet einen starken Algorithmus für die Verschlüsselung wie AES (Advanced Encryption Standard), um die Daten in ein verschlüsseltes Format zu konvertieren. Dadurch wird sichergestellt, dass die Daten geschützt und für alle Benutzer oder Anwendungen, die unbefugten Zugriff auf den Speicher des Servers erhalten könnten, unlesbar sind.

Der Zielserver verwaltet die für diesen Prozess erforderlichen Verschlüsselungsschlüssel. Diese Schlüssel können vom Server selbst generiert und gespeichert oder über einen dedizierten Schlüsselverwaltungsdienst (KMS) verwaltet werden. Die Verschlüsselungsschlüssel sind sowohl für die Verschlüsselung als auch für die Entschlüsselung der Daten von entscheidender Bedeutung, und ihr Management ist für die Aufrechterhaltung der Sicherheit der verschlüsselten Daten von zentraler Bedeutung.

Nach der Verschlüsselung der Daten speichert der Zielserver diese in verschlüsselter Form, sei es auf einer Festplatte, in einer Datenbank oder in einem Cloud-Speicher. Die Daten bleiben im Ruhezustand verschlüsselt, was bedeutet, dass selbst wenn unbefugte Personen auf das physische Speichermedium zugreifen, sie nur die verschlüsselten Daten sehen würden, die ohne den Schlüssel für die Entschlüsselung nutzlos wären.

Wenn ein autorisierter Benutzer oder ein autorisiertes System die Daten anfordert, führt der Server die Entschlüsselung durch, bevor er sie an den Client zurückgibt. Diese Entschlüsselung ist für den Client in der Regel nicht sichtbar, sodass dieser möglicherweise gar nicht weiß, dass die Daten während des Speichers verschlüsselt wurden. Der Client erhält die Daten in ihrer ursprünglichen, lesbaren Form und kann sie sofort verwenden.

Die zielseitige Verschlüsselung vereinfacht den Prozess für den Client (Quellseite), da dieser sich nicht um die Verschlüsselung oder das Management der Schlüssel kümmern muss. Der Server oder Cloud-Anbieter übernimmt diese Aufgaben und stellt sicher, dass die Daten gemäß den Sicherheitsrichtlinien des Anbieters einheitlich verschlüsselt und geschützt werden. Dies bedeutet jedoch auch, dass der Kunde darauf vertrauen muss, dass der Server die Verschlüsselungsschlüssel sicher verwaltet und die Prozesse der Verschlüsselung und Entschlüsselung ordnungsgemäß durchführt.

Diese Methode wird häufig in Cloud-Speichern, Datenbanken und anderen Umgebungen verwendet, in denen große Datenmengen sicher gespeichert werden müssen. Sie bietet eine effiziente Möglichkeit, ruhende Daten zu schützen, und ist daher eine beliebte Wahl für Unternehmen, die die Datensicherheit gewährleisten möchten, ohne die Komplexität auf der Kundenseite zu erhöhen.

Vorteile der zielseitigen Verschlüsselung

Die zielseitige Verschlüsselung vereinfacht den Verschlüsselungsprozess für den Client auf der Quelle, indem sie die Verantwortung auf den Zielserver oder Cloud-Anbieter verlagert. Der Client muss sich nicht um die Implementierung von Verschlüsselungsalgorithmen oder das Management von Verschlüsselungsschlüsseln kümmern, da diese Aufgaben vom Zielsystem übernommen werden. Dies erleichtert die Integration der Verschlüsselung in bestehende Arbeitsabläufe, insbesondere in Umgebungen, in denen Benutzerfreundlichkeit und Skalierbarkeit wichtig sind. Außerdem wird so eine konsistente Anwendung der Verschlüsselungsrichtlinien für alle auf dem Server gespeicherten Daten gewährleistet.

Sicherheit

Die zielseitige Verschlüsselung stellt zwar sicher, dass die Daten im Ruhezustand verschlüsselt sind, erfordert jedoch, dass der Client dem Server oder Cloud-Anbieter vertraut, dass dieser den Verschlüsselungsprozess verwaltet und die Verschlüsselungsschlüssel schützt. Die Sicherheit der Daten hängt von der Fähigkeit des Servers ab, Schlüssel ordnungsgemäß zu verwalten und Sicherheitsrichtlinien durchzusetzen. Wenn der Server jedoch kompromittiert wird, besteht das potenzielle Risiko, dass unbefugte Benutzer Zugriff auf die verschlüsselten Daten und die zu ihrer Entschlüsselung erforderlichen Schlüssel erhalten. Um dieses Risiko zu mindern, bieten viele Dienste zusätzliche Sicherheitsfunktionen wie Schlüsselverwaltungsdienste (KMS) und Hardware-Sicherheitsmodule (HSMs) zur Stärkung des Schlüsselschutzes an.

Leistung

Die zielseitige Verschlüsselung hat in der Regel geringere Auswirkungen auf die Leistung des Clients (Quelle), da die aufwändige Verschlüsselung und Entschlüsselung vom Zielserver übernommen wird. Dies kann zu einer besseren Leistung auf der Clientseite führen, insbesondere bei Geräten mit begrenzter Rechenleistung. Die Verschlüsselungs- und Entschlüsselungsprozesse verbrauchen jedoch weiterhin Ressourcen auf dem Server, was sich insbesondere in Umgebungen mit hoher Auslastung auf die Leistung des Servers auswirken kann. Darüber hinaus kann die Notwendigkeit, Daten auf dem Server zu entschlüsseln, bevor sie an den Client zurückgesendet werden, zu einer gewissen Latenz führen, die jedoch in gut optimierten Systemen oft minimal ist.

Quellseitige Verschlüsselung vs. zielseitige Verschlüsselung

In der folgenden Tabelle sind die wichtigsten Parameter aufgeführt, um die Unterschiede zwischen quellenseitiger Verschlüsselung und zielseitiger Verschlüsselung (clientseitige Verschlüsselung vs. serverseitige Verschlüsselung) zusammenzufassen.

Funktion/Aspekt Quellseitige Verschlüsselung Zielseitige Verschlüsselung
Definition Die Datenverschlüsselung erfolgt an der Quelle, bevor die Daten übertragen werden. Die Verschlüsselung der Daten erfolgt, sobald die Daten ihr Zielort erreicht haben.
Kontroll In der Regel hat der Dateneigentümer oder Absender die Kontrolle über den Prozess der Verschlüsselung und die Schlüssel. Der Datenempfänger oder Speicheranbieter verwaltet in der Regel den Prozess der Verschlüsselung und die Schlüssel.
Schlüsselverwaltung Die Schlüssel werden in der Regel vom Absender/Eigentümer der Daten kontrolliert und verwaltet. Die Schlüssel werden vom Datenempfänger oder vom Speicheranbieter verwaltet.
Verantwortung für die Sicherheit Die Hauptverantwortung liegt beim Datenabsender, der sicherstellen muss, dass die Daten vor der Übertragung verschlüsselt werden. Die Hauptverantwortung liegt beim Datenempfänger oder Speicheranbieter, die Daten nach Erhalt zu verschlüsseln.
Sicherheit der Übertragung Die Daten werden während der Übertragung verschlüsselt, wodurch sie vor Abhörversuchen geschützt sind. Die Daten könnten während der Übertragung in Klartext abgefangen werden, wenn die Verschlüsselung deaktiviert ist; der Schwerpunkt liegt eher auf dem Schutz gespeicherter Daten.
Komplexität der Integration Erfordert möglicherweise mehr Integrationsaufwand seitens des Datenabsenders, um Verschlüsselungsmechanismen zu implementieren. Im Allgemeinen einfacher zu implementieren, da der Prozess der Verschlüsselung nach dem Empfang erfolgt, häufig unter Verwendung von Standard-Servicetools.
Auswirkungen auf die Leistung Mögliche Leistungsbeeinträchtigung auf der Clientseite aufgrund von Prozessen der Verschlüsselung vor dem Senden der Daten. Geringere Auswirkungen auf der Client-Seite; Leistung liegt auf der Server- oder Speicher-Seite aufgrund von Prozessen der Verschlüsselung beim Empfang.
Compliance und Richtlinien Ermöglicht es Absendern, bestimmte Datenschutzrichtlinien und -vorschriften einzuhalten, indem sie die Verschlüsselung selbst kontrollieren. Kann Compliance-Anforderungen in Bezug auf Richtlinien zur Verschlüsselung ruhender Daten und die Verantwortlichkeiten des Datenverwahrers erfüllen.
Verwendungsfälle Nützlich in Szenarien, in denen eine Sicherheit bei der Übertragung entscheidend ist, z. B. beim Austausch sensibler Daten. Häufig in Cloud-Speicher- und Data-Warehousing-Lösungen, bei denen Datensicherheit in erster Linie für gespeicherte Daten erforderlich ist.

Quellseitige Sicherung mit NAKIVO

Sowohl die quellenseitige als auch die zielseitige Verschlüsselung können für die Datensicherung verwendet werden. Sehen wir uns die Quellseitige Verschlüsselung im Zusammenhang mit der Datensicherung einmal genauer an.

NAKIVO Backup & Replication ist eine fortschrittliche Lösung für die Datensicherheit, die die Verschlüsselung von Backups unterstützt. Für die Verschlüsselung in der NAKIVO-Lösung wird ein starker AES-256-Algorithmus (mit einer Verschlüsselungsschlüssellänge von 256 Bit) verwendet. Die Verschlüsselung kann auf der Ebene des Backup-Repositorys (für alle Backups, die in einem Backup-Repositorygespeichert sind) als Zielverschlüsselung konfiguriert werden. Die andere Option ist die Konfiguration der Verschlüsselung auf Ebene des Backupauftrags mithilfe der Quellseitenverschlüsselung. Dadurch werden Backups während der Übertragung verschlüsselt und als verschlüsselte Daten im Backup-Repository gespeichert.

Für die Quellseiten-Backup-Verschlüsselung muss ein Passwort eingegeben werden. Ein starker Hash, der auf der Grundlage des angegebenen Passworts generiert wird, wird zur Erstellung des Verschlüsselungs-/Entschlüsselungsschlüssels verwendet. Es ist wichtig, das Passwort für die Verschlüsselung nicht zu verlieren, da Sie ohne das Passwort keine Daten aus dem verschlüsselten Backup wiederherstellen können.

Anforderungen für die Quellseitige Verschlüsselung:

  • NAKIVO Backup & Replikation v11.0 oder neuer
  • Datenspeichertyp: Inkrementell mit vollständiger Sicherung (Bänder werden ebenfalls unterstützt)

Konfigurieren der Quellseitigen Verschlüsselung

Die quellenseitige Verschlüsselung für Backups wird in der Weboberfläche auf Auftragsebene konfiguriert.

  1. Gehen Sie zu Optionen Schritt eines Backupauftrags in NAKIVO Backup & Replikation & Replication, um die Verschlüsselungsoptionen festzulegen.
  2. Setzen Sie die Sicherung verschlüsseln Option auf Aktiviert um die Quellseitige Verschlüsselung für ein Backup zu implementieren.

    HINWEIS: Wenn die Netzwerkverschlüsselung aktiviert ist, werden die gesicherten Daten vor der Übertragung über das Netzwerk verschlüsselt und beim Schreiben in das Ziel-Backup-Repository entschlüsselt. Die Auslastung von Transportern wird durch die Ver- und Entschlüsselung der Daten erhöht. Wenn die Sicherung verschlüsselt wird, werden die Daten auf der Quelle verschlüsselt, als verschlüsselte Daten übertragen und als verschlüsselte Daten im Backup-Repository gespeichert. Die gleichzeitige Aktivierung der Sicherung und der Netzwerkverschlüsselung erhöht die Auslastung durch die doppelte Verschlüsselung der Daten und ist nicht erforderlich.

    How to enable source-side backup encryption

  3. Klicken Sie auf Einstellungen , um einen Schlüssel für die Verschlüsselung festzulegen.
  4. Legen Sie die erforderlichen Parameter im Fenster Legen Sie ein Passwort fest fest.
    • Erstellen Sie ein neues Passwort und bestätigen Sie es.
    • Geben Sie eine Beschreibung ein, zum Beispiel Sicherung verschlüsseln passwort.

    Wenn Sie auf Weiterklicken, wird das neue Passwort in einer Datenbank des NAKIVO Directorgespeichert, und Sie können dieses Passwort später für andere Backupaufträge auswählen.

    How to set a backup encryption password

Sie können auch einen Key Management Service (KMS) für zusätzliche Schutzmaßnahmen einrichten. NAKIVO Backup & Replication unterstützt AWS KMS.

  1. Um AWS KMS zu aktivieren, müssen Sie ein AWS-Konto zum NAKIVO-Inventar hinzufügen.

    Adding an AWS account to the inventory

  2. Um den AWS Key Management Service zu verwenden, um die Sicherung zu verschlüsseln, gehen Sie zu Einstellungen > Allgemein > Systemeinstellungen und wechseln Sie zur Registerkarte Verschlüsselung deaktiviert .
    • Aktivieren Sie das Kontrollkästchen AWS Key Management Service verwenden.
    • Wählen Sie ein AWS-Konto aus, das zum NAKIVO-Inventar hinzugefügt wurde.
    • Wählen Sie eine AWS-Region aus.
    • Wählen Sie einen Schlüssel aus.

    Enabling the AWS Key Management Service

Sie können den Status der Verschlüsselung überprüfen, indem Sie zu Einstellungen > Repositorys und ein Backup-Repository auswählen (z. B. das Integriertes Repository). Klicken Sie auf den Namen des Repositorys, um die Liste der Backups in diesem Repository anzuzeigen.

Auf dieser Seite werden der Name des Backups, der Status der Verschlüsselung, der Status des Passworts für die Verschlüsselung, der Auftrags-Name und die Größe angezeigt.

Backup-Verschlüsselung Status:

  • Verschlüsselung deaktiviert
  • Nicht verschlüsselt

Status der Verschlüsselung:

  • Verfügbar – Ein entsprechender Passwort-Hash ist in der Datenbank von NAKIVO Director gespeichert.
  • Nicht verfügbar – Ein Backup (Wiederherstellungspunkt) ist verschlüsselt, aber der Hash des Passworts für die Verschlüsselung ist in der Datenbank des Directors nicht verfügbar.
  • Nicht zutreffend – wird angezeigt, wenn ein Wiederherstellungspunkt eines Backups nicht verschlüsselt ist.

Checking backup encryption settings for each backup

Sie können die Auftragsoptionen für Backups jederzeit bearbeiten und die Einstellungen für die Verschlüsselung der Sicherungen ändern.

Fazit

Die Quellseitige Verschlüsselung ist eine sichere und effektive Maßnahme zum Schutz von gesicherten Daten bei der Übertragung über das Netzwerk und der Speicherung in einem Ziel-Backup-Repository. Diese Art der Sicherung verschlüsseln eignet sich für verschiedene Szenarien, darunter lokale Backups und Backups in der öffentlichen Cloud. Die Verwendung von Passwörtern zur Generierung von Verschlüsselungsschlüsseln ist kostengünstig und benutzerfreundlich. Darüber hinaus kann ein fortschrittlicher Schlüsselverwaltungsdienst wie AWS KMS verwendet werden, um das Vergessen und den Verlust von Verschlüsselungsschlüsseln zu vermeiden.

Herunterladen der neuesten Version von NAKIVO Backup & Replikation, die Quell- und Zielverschlüsselung unterstützt, um Ihre Backup-Strategie effektiv umzusetzen.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Empfohlene Artikel

Picture
Ausführlicher Leitfaden zur NIS-2-Richtlinie: Verbesserung der Cybersicherheitsstandards in der EU
Picture
So kopieren Sie Dateien auf Hyper-V-Server und VMs: 7 Methoden
Picture
Einrichtung eines Hyper-V-Clusters auf Windows Server-Computern: Eine Schritt-für-Schritt-Anleitung