NAKIVO > Blog > Multiplatform

Omówienie opcji szyfrowania kopii zapasowej

Updated: 7 maja, 2026

Autor:: Zespół NAKIVO

Tworzenie kopii zapasowej ma kluczowe znaczenie dla zapobiegania utracie danych i szybkiego odzyskiwania dostępności danych. Elementem bezpiecznej i odpornej strategii ochrony danych jest szyfrowanie kopii zapasowej, które zapobiega naruszeniom bezpieczeństwa i dostępowi do danych przez osoby nieuprawnione. W tym wpisie na blogu omówiono rodzaje szyfrowania w zależności od miejsca, w którym dane są szyfrowane, oraz wyjaśniono, w jaki sposób konkretne podejście można wykorzystać do opracowania skutecznej strategii szyfrowania kopii zapasowej.

Powiedz „nie” żądaniom okupu dzięki NAKIVO

Powiedz „nie” żądaniom okupu dzięki NAKIVO

Korzystaj z kopii zapasowych, aby szybko odzyskać dane po atakach oprogramowania wymuszającego okup. Liczne opcje odzyskiwania danych, niezmienna pamięć lokalna i w magazynie-chmurze, funkcje automatycznego odzyskiwania danych i wiele więcej.

ODKRYJ ROZWIĄZANIE

Rodzaje szyfrowania kopii zapasowej

Szyfrowanie można podzielić na różne kategorie w zależności od algorytmu szyfrowania, długości klucza oraz miejsca, w którym odbywa się szyfrowanie. Terminy „szyfrowanie po stronie źródła” i „szyfrowanie po stronie odbiorcy” są używane w kontekście szyfrowania danych, zwłaszcza podczas ich przesyłania między systemami, np. w przypadku magazynu-chmura lub tworzenia kopii zapasowych. Odnoszą się one do miejsca, w którym zachodzą procesy szyfrowania i odszyfrowywania.

Szyfrowanie po stronie źródła

Szyfrowanie po stronie źródła, znane również jako szyfrowanie po stronie klienta, polega na szyfrowaniu danych w systemie klienta (źródła) przed ich przesłaniem do innego systemu, takiego jak magazyn-chmura lub serwer zdalny. Proces ten zapewnia ochronę danych od momentu, gdy opuszczają one kontrolę klienta, zachowując ich poufność i integralność podczas przesyłania i przechowywania.

UWAGA: Szyfrowanie po stronie źródła jest ściśle związane z tym, co często określa się mianem szyfrowania po stronie klienta. W rzeczywistości te dwa terminy są często używane zamiennie, choć kontekst może się różnić w zależności od konkretnej aplikacji lub systemu.

Jak działa szyfrowanie po stronie źródła

Gdy użytkownik lub aplikacja generuje dane na urządzeniu, takim jak komputer lub serwer, dane te są najpierw szyfrowane lokalnie na tym urządzeniu. Proces szyfrowania wykorzystuje silny algorytm szyfrowania, taki jak AES (Advanced Encryption Standard), który przekształca czytelne dane w format zaszyfrowany, nieczytelny bez odpowiedniego klucza do odszyfrowywania. Kluczem tym zazwyczaj zarządza klient, co oznacza, że tylko on – lub upoważnione podmioty posiadające dostęp do klucza – mogą odszyfrować dane i uzyskać do nich dostęp.

Po zaszyfrowaniu dane są przesyłane do systemu docelowego. Podczas tej transmisji dane pozostają zaszyfrowane, co zmniejsza ryzyko naruszenia bezpieczeństwa w przypadku ich przechwycenia. Ponieważ dane są już zaszyfrowane przed opuszczeniem środowiska klienta, system odbiorczy nie musi znać ich treści ani mieć możliwości ich odszyfrowywania.

Po dotarciu do systemu docelowego dane są przechowywane w postaci zaszyfrowanej. Serwer lub usługa przechowywania danych przechowuje wyłącznie zaszyfrowane dane i zazwyczaj nie ma dostępu do kluczy do odszyfrowywania, co oznacza, że nie może samodzielnie przeprowadzić odszyfrowywania danych. Taka konfiguracja gwarantuje bezpieczeństwo danych nawet w przypadku naruszenia bezpieczeństwa systemu magazynowego, ponieważ dane nie mogą zostać odczytane bez odpowiedniego klucza do odszyfrowywania. Gdy klient lub upoważniony użytkownik potrzebuje uzyskać dostęp do przechowywanych danych, zaszyfrowane dane są pobierane z systemu docelowego i przekazywane z powrotem do klienta (systemu źródłowego). Następnie klient wykorzystuje oryginalny klucz do odszyfrowywania danych w sposób lokalny, przywracając je do pierwotnej, czytelnej postaci. Proces odszyfrowywania odbywa się w całości w systemie klienta, co gwarantuje, że dane pozostają pod jego kontrolą przez cały cykl życia.

Szyfrowanie po stronie źródła jest szczególnie cenne w sytuacjach, gdy klient chce zachować kontrolę nad bezpieczeństwem danych, na przykład podczas przechowywania poufnych informacji w środowiskach w chmurze. Wymaga to jednak od klienta bezpiecznego zarządzania kluczami szyfrującymi, ponieważ utrata tych kluczy spowodowałaby trwałą utratę dostępu do danych. Takie podejście zapewnia wysoki poziom ochrony danych.

Korzyści z szyfrowania po stronie źródła

Szyfrowanie po stronie źródła pozwala klientowi zachować pełną kontrolę nad procesem szyfrowania, w tym nad kluczami szyfrującymi. Takie podejście gwarantuje, że dane są chronione, zanim opuszczą środowisko klienta, zapewniając wyższy poziom zaufania i autonomii. Klient może dostosować metody szyfrowania i strategie zarządzania kluczami do konkretnych wymagań dotyczących bezpieczeństwa i zgodności z przepisami, co sprawia, że podejście to jest szczególnie korzystne w przypadku danych wrażliwych lub podlegających regulacjom.

Bezpieczeństwo

Jedną z głównych zalet szyfrowania po stronie źródła pod względem bezpieczeństwa jest to, że dane są szyfrowane w miejscu ich powstania, co oznacza, że są bezpieczne zarówno podczas przesyłania, jak i przechowywania. Ponieważ to klient kontroluje klucze szyfrujące, dane pozostają niedostępne dla nikogo, w tym dla dostawców usług lub stron trzecich, którzy nie posiadają tych kluczy. W rezultacie ryzyko nieautoryzowanego dostępu lub naruszenia bezpieczeństwa danych jest znacznie zmniejszone, nawet jeśli system magazynowania danych zostanie naruszony. Ponadto szyfrowanie jest kompleksowe, co gwarantuje, że dane pozostają chronione przez cały cykl życia.

Wydajność

Szyfrowanie po stronie źródła może mieć zauważalny wpływ na wydajność, ponieważ procesy szyfrowania i odszyfrowywania odbywają się na urządzeniu klienta (źródła). W zależności od rozmiaru i złożoności danych może to wymagać znacznych zasobów obliczeniowych, potencjalnie spowalniając operacje, zwłaszcza w przypadku dużych zestawów danych lub urządzeń o ograniczonych zasobach. Zarządzanie kluczami może również zwiększać złożoność, wymagając ostrożnego postępowania w celu uniknięcia wąskich gardeł wydajnościowych lub potencjalnej utraty danych w przypadku niewłaściwego obchodzenia się z kluczami.

Szyfrowanie po stronie odbiorcy

Szyfrowanie po stronie odbiorcy, znane również jako szyfrowanie po stronie serwera, oznacza proces szyfrowania danych przez system docelowy (np. dostawcę usług w chmurze, serwer zdalny lub bazę danych) po ich otrzymaniu od źródła (klienta). Ta metoda szyfrowania jest szeroko stosowana w usługach magazynu-chmury, bazach danych oraz w innych sytuacjach, w których dane wymagają ochrony po ich otrzymaniu i zapisaniu. Metoda ta przenosi odpowiedzialność za szyfrowanie i zabezpieczanie danych na serwer (system docelowy), a nie na klienta (źródło).

Jak działa szyfrowanie po stronie odbiorcy

Gdy klient wysyła dane do systemu docelowego, dane te zazwyczaj docierają w postaci zwykłego tekstu, choć mogą być chronione podczas transmisji za pomocą protokołów bezpieczeństwa warstwy transportowej, takich jak TLS/SSL. Gdy dane dotrą do systemu docelowego, serwer przejmuje proces szyfrowania. Serwer wykorzystuje silny algorytm szyfrowania, taki jak AES (Advanced Encryption Standard), do przekształcenia danych w format zaszyfrowany. Zapewnia to ochronę danych i uniemożliwia ich odczytanie przez użytkowników lub aplikacje, które mogłyby uzyskać nieautoryzowany dostęp do magazynu serwera.

Serwer docelowy zarządza kluczami szyfrującymi niezbędnymi do tego procesu. Klucze te mogą być generowane i przechowywane przez sam serwer lub mogą być zarządzane za pośrednictwem dedykowanej usługi zarządzania kluczami (KMS). Klucze szyfrujące mają kluczowe znaczenie zarówno dla szyfrowania, jak i odszyfrowywania danych, a ich zarządzanie ma zasadnicze znaczenie dla utrzymania bezpieczeństwa zaszyfrowanych danych.

Po szyfrowaniu danych serwer docelowy przechowuje je w postaci zaszyfrowanej, czy to na dysku, w bazie danych, czy w magazynie-chmurze. Dane pozostają zaszyfrowane w stanie spoczynku, co oznacza, że nawet jeśli osoby nieuprawnione uzyskają dostęp do fizycznego nośnika danych, zobaczą jedynie zaszyfrowane dane, które bez klucza odszyfrującego będą bezużyteczne.

Gdy uprawniony użytkownik lub system zażąda danych, serwer odszyfrowuje je przed dostarczeniem z powrotem do klienta. Proces odszyfrowywania zazwyczaj nie jest widoczny dla klienta, który może nawet nie być świadomy, że dane zostały zaszyfrowane podczas magazynowania. Klient otrzymuje dane w ich oryginalnej, czytelnej postaci, gotowe do użycia.

Szyfrowanie po stronie docelowej upraszcza proces dla klienta (po stronie źródłowej), ponieważ klient nie musi martwić się o obsługę szyfrowania ani zarządzanie kluczami. Serwer lub dostawca usług w chmurze przejmuje te obowiązki, zapewniając jednolite szyfrowanie i ochronę danych zgodnie z własnymi zasadami bezpieczeństwa. Oznacza to jednak również, że klient musi mieć pewność, że serwer bezpiecznie zarządza kluczami szyfrującymi oraz prawidłowo przeprowadza procesy szyfrowania i odszyfrowywania.

Metoda ta jest powszechnie stosowana w usługach magazynu-chmura, bazach danych i innych środowiskach, w których konieczne jest bezpieczne przechowywanie dużych ilości danych. Stanowi ona skuteczny sposób ochrony danych w spoczynku, co czyni ją popularnym wyborem wśród organizacji pragnących zapewnić bezpieczeństwo danych bez zwiększania złożoności operacji po stronie klienta.

Zalety szyfrowania po stronie odbiorczej

Szyfrowanie po stronie odbiorczej upraszcza proces szyfrowania dla klienta po stronie źródłowej, przenosząc odpowiedzialność na serwer docelowy lub dostawcę usług w chmurze. Klient nie musi martwić się o wdrażanie algorytmów szyfrujących ani zarządzanie kluczami szyfrującymi, ponieważ zadania te są obsługiwane przez system docelowy. Ułatwia to integrację szyfrowania z istniejącymi procesami, szczególnie w środowiskach, w których ważna jest łatwość użytkowania i skalowalność. Zapewnia to również spójne stosowanie zasad szyfrowania w odniesieniu do wszystkich danych przechowywanych na serwerze.

Bezpieczeństwo

Chociaż szyfrowanie po stronie odbiorcy zapewnia, że dane są szyfrowane w stanie spoczynku, wymaga to od klienta zaufania do serwera lub dostawcy usług w chmurze w zakresie zarządzania procesem szyfrowania i ochrony kluczy szyfrujących. Bezpieczeństwo danych zależy od zdolności serwera do prawidłowego zarządzania kluczami i egzekwowania zasad bezpieczeństwa. Jeśli jednak serwer zostanie naruszony, istnieje potencjalne ryzyko, że nieuprawnieni użytkownicy uzyskają dostęp zarówno do zaszyfrowanych danych, jak i kluczy potrzebnych do ich odszyfrowywania. Aby temu zapobiec, wiele usług oferuje dodatkowe funkcje bezpieczeństwa, takie jak usługi zarządzania kluczami (KMS) i moduły bezpieczeństwa sprzętowego (HSM), które wzmacniają ochronę kluczy.

Wydajność

Szyfrowanie po stronie odbiorcy ma zazwyczaj mniejszy wpływ na wydajność klienta (strony źródłowej), ponieważ ciężar szyfrowania i odszyfrowywania spoczywa na serwerze docelowym. Może to prowadzić do lepszej wydajności po stronie klienta, szczególnie w przypadku urządzeń o ograniczonej mocy obliczeniowej. Jednak procesy szyfrowania i odszyfrowywania nadal zużywają zasoby serwera, co może wpływać na jego wydajność, zwłaszcza w środowiskach o dużym obciążeniu. Ponadto konieczność odszyfrowywania danych na serwerze przed wysłaniem ich z powrotem do klienta może powodować pewne opóźnienia, choć w dobrze zoptymalizowanych systemach są one zazwyczaj minimalne.

Szyfrowanie po stronie źródła a szyfrowanie po stronie odbiorcy

Poniższa tabela zawiera zestawienie głównych parametrów, które podsumowują różnice między szyfrowaniem po stronie źródła a szyfrowaniem po stronie odbiorcy (szyfrowanie po stronie klienta a szyfrowanie po stronie serwera).

Funkcja/Aspekt Szyfrowanie po stronie źródła Szyfrowanie po stronie odbiorcy
Definicja Szyfrowanie danych odbywa się u źródła przed ich przesłaniem. Szyfrowanie danych odbywa się po dotarciu do miejsca docelowego.
Kontrola Zazwyczaj właściciel danych lub nadawca ma kontrolę nad procesem szyfrowania i kluczami. Odbiorca danych lub dostawca usług przechowywania danych zazwyczaj zarządza procesem szyfrowania i kluczami.
Zarządzanie kluczami Klucze są zazwyczaj kontrolowane i zarządzane przez nadawcę/właściciela danych. Klucze są zarządzane przez odbiorcę danych lub dostawcę usług przechowywania.
Odpowiedzialność za bezpieczeństwo Główna odpowiedzialność spoczywa na nadawcy danych, który musi zapewnić, że dane są szyfrowane przed transmisją. Główna odpowiedzialność spoczywa na odbiorcy danych lub dostawcy usług przechowywania, który musi szyfrować dane po ich otrzymaniu.
Bezpieczeństwo transmisji Dane są szyfrowane podczas przesyłania, co zapewnia ochronę przed przechwyceniem. Dane mogą potencjalnie zostać przechwycone w postaci zwykłego tekstu podczas przesyłania, jeśli nie są zaszyfrowane; większy nacisk kładzie się na ochronę przechowywanych danych.
Złożoność integracji Wdrożenie mechanizmów szyfrowania może wymagać większego nakładu pracy integracyjnej ze strony nadawcy danych. Zazwyczaj łatwiejsze do wdrożenia, ponieważ proces szyfrowania odbywa się po odbiorze, często przy użyciu standardowych narzędzi serwisowych.
Wpływ na wydajność Potencjalne obciążenie wydajności po stronie klienta spowodowane procesami szyfrowania przed wysłaniem danych. Mniejszy wpływ na stronę klienta; Obciążenie wydajnościowe występuje po stronie serwera lub magazynu z powodu procesów szyfrowania po odebraniu danych.
Zgodność z przepisami i polityką Umożliwia nadawcom przestrzeganie określonych zasad ochrony danych poprzez samodzielne zarządzanie szyfrowaniem. Może spełniać wymagania zgodności związane z politykami szyfrowania danych w spoczynku oraz obowiązkami administratora danych.
Przypadki użycia Przydatne w sytuacjach, w których bezpieczna transmisja ma kluczowe znaczenie, takich jak wymiana wrażliwych danych. Powszechnie stosowane w rozwiązaniach do przechowywania danych w magazynie-chmurze i hurtowniach danych, gdzie ochrona danych jest potrzebna przede wszystkim w odniesieniu do danych przechowywanych.

Szyfrowanie kopii zapasowych po stronie źródła z NAKIVO

Do wykonywania kopii zapasowych danych można stosować zarówno szyfrowanie po stronie źródła, jak i po stronie docelowej. Przyjrzyjmy się szyfrowaniu po stronie źródła w kontekście tworzenia kopii zapasowych danych.

NAKIVO Backup & Replication to zaawansowane rozwiązanie do ochrony danych, które obsługuje szyfrowanie kopii zapasowych. W rozwiązaniu NAKIVO do szyfrowania wykorzystywany jest silny algorytm AES-256 (klucz szyfrujący o długości 256 bitów). Szyfrowanie można skonfigurować na poziomie repozytorium kopii zapasowych (dla wszystkich kopii zapasowych przechowywanych w repozytorium kopii zapasowych) jako szyfrowanie docelowe. Inną opcją jest skonfigurowanie szyfrowania na poziomie zadania tworzenia kopii zapasowej przy użyciu szyfrowania po stronie źródła. W rezultacie kopie zapasowe są szyfrowane podczas przesyłania i przechowywane jako zaszyfrowane dane w repozytorium kopii zapasowych.

Szyfrowanie kopii zapasowych po stronie źródła wymaga wprowadzenia hasła. Do utworzenia klucza szyfrującego/odszyfrującego wykorzystywany jest silny skrót wygenerowany na podstawie podanego hasła. Ważne jest, aby nie zgubić hasła szyfrującego, ponieważ bez niego nie będzie można przywrócić danych z zaszyfrowanej kopii zapasowej.

Wymagania dotyczące szyfrowania po stronie źródła :

  • NAKIVO Backup & Replication w wersji 11.0 lub nowszej
  • Typ przechowywania danych: przyrostowe z pełną kopią zapasową (obsługiwane są również taśmy)

Konfigurowanie szyfrowania po stronie źródła

Szyfrowanie kopii zapasowych po stronie źródła konfiguruje się w interfejsie internetowym na poziomie zadania.

  1. Przejdź do Options kroku kreatora zadania tworzenia kopii zapasowej w NAKIVO Backup & Replication, aby ustawić opcje szyfrowania.
  2. Ustaw opcję Backup encryption na Enabled , aby wdrożyć szyfrowanie po stronie źródła dla kopii zapasowej.

    UWAGA: Gdy włączone jest szyfrowanie sieciowe, dane kopii zapasowej są szyfrowane przed przesłaniem przez sieć i odszyfrowywane podczas zapisywania w docelowym repozytorium kopii zapasowych. Obciążenie serwera Przewoźnicy wzrasta w związku z szyfrowaniem i odszyfrowywaniem danych. Gdy włączone jest szyfrowanie kopii zapasowej, dane są szyfrowane po stronie źródłowej, przesyłane w postaci zaszyfrowanej i przechowywane w zaszyfrowanej postaci w repozytorium kopii zapasowych. Włączenie zarówno szyfrowania kopii zapasowej, jak i szyfrowania sieciowego zwiększa obciążenie związane z podwójnym szyfrowaniem danych i nie jest konieczne.

    How to enable source-side backup encryption

  3. Kliknij Settings , aby ustawić klucz szyfrujący.
  4. Ustaw wymagane parametry w oknie Set a Password .
    • Utwórz nowe hasło i potwierdź je.
    • Wprowadź opis, na przykład Backup encryption password.

    Po kliknięciu Proceednowe hasło zostanie zapisane w bazie danych NAKIVO Directori będzie można je później wybrać do innych zadań tworzenia kopii zapasowych.

    How to set a backup encryption password

Można również skonfigurować usługę zarządzania kluczami (KMS) w celu zapewnienia dodatkowych środków ochrony. NAKIVO Backup & Replication obsługuje AWS KMS.

  1. Aby włączyć AWS KMS, należy dodaj konto AWS do zasobów NAKIVO.

    Adding an AWS account to the inventory

  2. Aby włączyć usługę zarządzania kluczami AWS do szyfrowania kopii zapasowej, przejdź do Settings > General > System Settings i przejdź do zakładki Encryption .
    • Zaznacz pole wyboru Użyj usługi zarządzania kluczami AWS.
    • Wybierz konto AWS dodane do zasobów NAKIVO.
    • Wybierz region AWS.
    • Wybierz klucz.

    Enabling the AWS Key Management Service

Możesz sprawdzić status szyfrowania, przechodząc do Settings > Repositories i wybierając repozytorium kopii zapasowych (na przykład Onboard repository). Kliknij nazwę repozytorium, aby wyświetlić listę kopii zapasowych w tym repozytorium.

Ta strona wyświetla nazwę kopii zapasowej, status szyfrowania, status hasła szyfrującego, nazwę zadania oraz rozmiar.

Szyfrowanie kopii zapasowej status :

  • Zszyfrowane
  • Nieszyfrowane

Status hasła szyfrującego :

  • Available – odpowiedni skrót hasła jest zapisany w bazie danych NAKIVO Director.
  • Not available – kopia zapasowa (punkt odzyskiwania) jest zaszyfrowana, ale skrót hasła szyfrującego nie jest dostępny w bazie danych Director.
  • Not applicable – wyświetla się, jeśli punkt odzyskiwania kopii zapasowej nie jest zaszyfrowany.

Checking backup encryption settings for each backup

W dowolnym momencie można edytować opcje zadania tworzenia kopii zapasowej i zmienić ustawienia szyfrowania kopii zapasowej.

Wnioski

Szyfrowanie po stronie źródła to bezpieczny i skuteczny sposób ochrony danych kopii zapasowej podczas przesyłania ich przez sieć i przechowywania w docelowym repozytorium kopii zapasowych. Ten rodzaj szyfrowania kopii zapasowych sprawdza się w różnych scenariuszach, w tym podczas tworzenia kopii zapasowej lokalnej oraz w chmurze publicznej. Wykorzystanie haseł do generowania kluczy szyfrujących jest niedrogie i przyjazne dla użytkowników. Co więcej, można skorzystać z zaawansowanych usług zarządzania kluczami, takich jak AWS KMS, aby uniknąć zapomnienia lub utraty kluczy szyfrujących.

Pobierz najnowszą wersję NAKIVO Backup & Replication, która obsługuje szyfrowanie po stronie źródła i po stronie docelowej, aby skutecznie wdrożyć strategię tworzenia kopii zapasowych.

Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby poznać wszystkie funkcje rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo

People also read

Picture
Jak zainstalować Hyper-V: przewodnik krok po kroku
Picture
Jak zarządzać usługami integracji Hyper-V
Picture
Zrozumienie filtrów wejścia/wyjścia w środowiskach VMware vSphere