Hiểu về các tùy chọn mã hóa bản sao lưu
Sao lưu dữ liệu là yếu tố then chốt để ngăn ngừa mất mát dữ liệu và đảm bảo khôi phục nhanh chóng. Một phần quan trọng trong chiến lược bảo vệ dữ liệu an toàn và bền vững là mã hóa bản sao lưu, nhằm ngăn chặn các vụ vi phạm và việc truy cập dữ liệu bởi những người không được phép. Bài viết này sẽ giới thiệu các loại mã hóa dựa trên vị trí mã hóa dữ liệu, đồng thời giải thích cách áp dụng một phương pháp cụ thể để xây dựng chiến lược mã hóa bản sao lưu hiệu quả.
Các loại mã hóa sao lưu
Mã hóa có thể được phân loại thành các nhóm khác nhau dựa trên thuật toán mã hóa, độ dài khóa và vị trí thực hiện mã hóa. Mã hóa phía nguồn và mã hóa phía đích là các thuật ngữ được sử dụng trong bối cảnh mã hóa dữ liệu, đặc biệt khi dữ liệu được truyền giữa các hệ thống, chẳng hạn như trong các tình huống lưu trữ đám mây hoặc sao lưu dữ liệu. Chúng đề cập đến vị trí diễn ra các quá trình mã hóa và giải mã.
Mã hóa phía nguồn
Mã hóa phía nguồn, còn được gọi là mã hóa phía khách hàng, bao gồm việc mã hóa dữ liệu trên hệ thống của khách hàng (nguồn) trước khi dữ liệu được truyền đến một hệ thống khác, chẳng hạn như dịch vụ lưu trữ đám mây hoặc máy chủ từ xa. Quá trình này đảm bảo rằng dữ liệu được bảo vệ ngay từ khi rời khỏi sự kiểm soát của khách hàng, duy trì tính bảo mật và tính toàn vẹn của dữ liệu trong suốt quá trình truyền tải và lưu trữ.
LƯU Ý: Mã hóa phía nguồn có mối liên hệ chặt chẽ với khái niệm thường được gọi là mã hóa phía khách hàng. Trên thực tế, hai thuật ngữ này thường được sử dụng thay thế cho nhau, mặc dù ngữ cảnh có thể thay đổi tùy thuộc vào ứng dụng hoặc hệ thống cụ thể đang được đề cập.
Cách thức hoạt động của mã hóa phía nguồn
Khi người dùng hoặc ứng dụng tạo ra dữ liệu trên một thiết bị, chẳng hạn như máy tính hoặc máy chủ, dữ liệu sẽ được mã hóa cục bộ trên thiết bị đó trước tiên. Quá trình mã hóa sử dụng một thuật toán mã hóa mạnh, như AES (Tiêu chuẩn mã hóa nâng cao), biến đổi dữ liệu có thể đọc được thành định dạng mã hóa mà không thể đọc được nếu không có khóa giải mã tương ứng. Khóa mã hóa này thường được quản lý bởi máy khách, có nghĩa là chỉ máy khách – hoặc các thực thể được ủy quyền có quyền truy cập vào khóa – mới có thể giải mã và truy cập dữ liệu gốc.
Sau khi dữ liệu được mã hóa, nó sẽ được truyền đến hệ thống đích. Trong quá trình truyền tải này, dữ liệu vẫn được mã hóa, giúp giảm thiểu rủi ro rò rỉ nếu dữ liệu bị chặn lại. Vì dữ liệu đã được mã hóa trước khi rời khỏi môi trường của khách hàng, hệ thống nhận không cần biết nội dung của dữ liệu hoặc có khả năng giải mã nó.
Sau khi đến hệ thống đích, dữ liệu được lưu trữ ở trạng thái mã hóa. Máy chủ hoặc dịch vụ lưu trữ chỉ lưu giữ dữ liệu đã được mã hóa và thường không có quyền truy cập vào các khóa giải mã, có nghĩa là nó không thể tự giải mã dữ liệu. Cấu hình này đảm bảo rằng dữ liệu vẫn an toàn ngay cả khi hệ thống lưu trữ bị xâm phạm, vì dữ liệu không thể được đọc nếu không có khóa giải mã phù hợp. Khi khách hàng hoặc người dùng được ủy quyền cần truy cập dữ liệu đã lưu trữ, dữ liệu được mã hóa sẽ được lấy từ hệ thống đích và gửi trở lại cho khách hàng (hệ thống nguồn). Sau đó, khách hàng sử dụng khóa giải mã gốc để giải mã dữ liệu tại chỗ, chuyển đổi dữ liệu trở lại dạng ban đầu có thể đọc được. Quá trình giải mã này diễn ra hoàn toàn trên hệ thống của khách hàng, đảm bảo dữ liệu luôn nằm dưới sự kiểm soát của khách hàng trong suốt vòng đời của nó.
Mã hóa phía nguồn đặc biệt hữu ích trong các tình huống mà khách hàng muốn duy trì quyền kiểm soát đối với bảo mật dữ liệu, chẳng hạn như khi lưu trữ thông tin nhạy cảm trong môi trường đám mây. Tuy nhiên, phương pháp này cũng yêu cầu khách hàng phải quản lý các khóa mã hóa một cách an toàn, vì việc mất các khóa này sẽ dẫn đến việc dữ liệu trở nên không thể truy cập vĩnh viễn. Phương pháp này cung cấp mức độ bảo vệ dữ liệu cao.
Lợi ích của mã hóa phía nguồn
Mã hóa phía nguồn cho phép khách hàng duy trì quyền kiểm soát hoàn toàn đối với quá trình mã hóa, bao gồm cả các khóa mã hóa. Phương pháp này đảm bảo dữ liệu được bảo vệ trước khi rời khỏi môi trường của khách hàng, mang lại mức độ tin cậy và tự chủ cao hơn. Khách hàng có thể tùy chỉnh các phương pháp mã hóa và chiến lược quản lý khóa để đáp ứng các yêu cầu bảo mật và tuân thủ cụ thể, khiến phương pháp này đặc biệt hữu ích cho dữ liệu nhạy cảm hoặc dữ liệu phải tuân thủ quy định.
Bảo mật
Một trong những lợi ích bảo mật chính của mã hóa tại nguồn là dữ liệu được mã hóa ngay tại nguồn, có nghĩa là dữ liệu được bảo mật trong quá trình truyền tải và khi được lưu trữ. Vì khách hàng kiểm soát các khóa mã hóa, dữ liệu vẫn không thể truy cập được đối với bất kỳ ai, bao gồm cả nhà cung cấp dịch vụ hoặc bên thứ ba, những người không sở hữu các khóa này. Do đó, rủi ro truy cập trái phép hoặc rò rỉ dữ liệu được giảm đáng kể, ngay cả khi hệ thống lưu trữ bị xâm phạm. Ngoài ra, mã hóa là từ đầu đến cuối, đảm bảo rằng dữ liệu vẫn được bảo vệ trong suốt toàn bộ vòng đời của nó.
Hiệu suất
Mã hóa phía nguồn có thể ảnh hưởng đáng kể đến hiệu suất, vì các quá trình mã hóa và giải mã diễn ra trên thiết bị của khách hàng (nguồn). Tùy thuộc vào kích thước và độ phức tạp của dữ liệu, điều này có thể đòi hỏi tài nguyên tính toán đáng kể, có thể làm chậm các hoạt động, đặc biệt là đối với các tập dữ liệu lớn hoặc các thiết bị có tài nguyên hạn chế. Quản lý khóa cũng có thể làm tăng độ phức tạp, đòi hỏi phải xử lý cẩn thận để tránh tắc nghẽn hiệu suất hoặc mất dữ liệu tiềm ẩn nếu khóa bị xử lý sai.
Mã hóa phía máy chủ
Mã hóa phía máy chủ, còn được gọi là mã hóa phía máy chủ, đề cập đến quá trình mã hóa dữ liệu do hệ thống đích (chẳng hạn như nhà cung cấp dịch vụ đám mây, máy chủ từ xa hoặc cơ sở dữ liệu) thực hiện sau khi nhận được dữ liệu từ nguồn (máy khách). Phương pháp mã hóa này được sử dụng rộng rãi trong các dịch vụ lưu trữ đám mây, cơ sở dữ liệu và các tình huống khác nơi dữ liệu cần được bảo vệ sau khi được nhận và lưu trữ. Phương pháp này đặt trách nhiệm mã hóa và bảo vệ dữ liệu lên máy chủ (bên nhận) thay vì khách hàng (nguồn).
Cách thức hoạt động của mã hóa phía máy chủ
Khi khách hàng gửi dữ liệu đến hệ thống đích, dữ liệu thường được gửi dưới dạng văn bản thuần túy, mặc dù có thể được bảo vệ trong quá trình truyền tải bằng các giao thức bảo mật lớp vận chuyển như TLS/SSL. Khi dữ liệu đến hệ thống đích, máy chủ sẽ tiếp quản quá trình mã hóa. Máy chủ sử dụng thuật toán mã hóa mạnh, chẳng hạn như AES (Tiêu chuẩn mã hóa nâng cao), để chuyển đổi dữ liệu thành định dạng được mã hóa. Điều này đảm bảo rằng dữ liệu được bảo vệ và không thể đọc được đối với bất kỳ người dùng hoặc ứng dụng nào có thể truy cập trái phép vào bộ lưu trữ của máy chủ.
Máy chủ đích quản lý các khóa mã hóa cần thiết cho quá trình này. Các khóa này có thể được tạo và lưu trữ bởi chính máy chủ, hoặc có thể được quản lý thông qua một dịch vụ quản lý khóa chuyên dụng (KMS). Các khóa mã hóa là yếu tố quan trọng cho cả quá trình mã hóa và giải mã dữ liệu, và việc quản lý chúng là yếu tố then chốt để duy trì tính bảo mật của dữ liệu đã được mã hóa.
Sau khi mã hóa dữ liệu, máy chủ đích lưu trữ dữ liệu ở dạng đã được mã hóa, dù là trên đĩa cứng, trong cơ sở dữ liệu hay trong hệ thống lưu trữ đám mây. Dữ liệu vẫn được mã hóa khi lưu trữ, nghĩa là ngay cả khi phương tiện lưu trữ vật lý bị truy cập bởi những người không được ủy quyền, họ chỉ thấy dữ liệu đã được mã hóa, và dữ liệu này sẽ vô dụng nếu không có khóa giải mã.
Khi người dùng hoặc hệ thống được ủy quyền yêu cầu dữ liệu, máy chủ sẽ giải mã dữ liệu trước khi gửi lại cho khách hàng. Quá trình giải mã này thường không hiển thị với khách hàng, người có thể thậm chí không biết rằng dữ liệu đã được mã hóa trong quá trình lưu trữ. Khách hàng nhận được dữ liệu ở dạng ban đầu, có thể đọc được, sẵn sàng để sử dụng.
Mã hóa phía máy chủ đơn giản hóa quy trình cho khách hàng (phía nguồn), vì khách hàng không cần lo lắng về việc xử lý mã hóa hoặc quản lý khóa. Máy chủ hoặc nhà cung cấp dịch vụ đám mây sẽ đảm nhận các trách nhiệm này, đảm bảo dữ liệu được mã hóa và bảo vệ một cách thống nhất theo các chính sách bảo mật của nhà cung cấp. Tuy nhiên, điều này cũng có nghĩa là phía khách hàng phải tin tưởng rằng máy chủ sẽ quản lý các khóa mã hóa một cách an toàn và thực hiện các quy trình mã hóa và giải mã một cách chính xác.
Phương pháp này thường được sử dụng trong các dịch vụ lưu trữ đám mây, cơ sở dữ liệu và các môi trường khác nơi cần lưu trữ an toàn lượng dữ liệu lớn. Nó cung cấp một cách hiệu quả để bảo vệ dữ liệu khi lưu trữ, khiến nó trở thành lựa chọn phổ biến cho các tổ chức muốn đảm bảo an ninh dữ liệu mà không làm phức tạp thêm phía khách hàng trong quá trình vận hành.
Lợi ích của mã hóa phía đích
Mã hóa phía đích đơn giản hóa quy trình mã hóa cho khách hàng ở phía nguồn bằng cách chuyển trách nhiệm sang máy chủ đích hoặc nhà cung cấp dịch vụ đám mây. Khách hàng không cần lo lắng về việc triển khai các thuật toán mã hóa hoặc quản lý khóa mã hóa, vì các tác vụ này được hệ thống đích xử lý. Điều này giúp việc tích hợp mã hóa vào các quy trình làm việc hiện có trở nên dễ dàng hơn, đặc biệt trong các môi trường nơi tính dễ sử dụng và khả năng mở rộng là yếu tố quan trọng. Nó cũng đảm bảo việc áp dụng nhất quán các chính sách mã hóa trên toàn bộ dữ liệu được lưu trữ trên máy chủ.
Bảo mật
Mặc dù mã hóa phía đích đảm bảo dữ liệu được mã hóa khi lưu trữ, nó yêu cầu khách hàng phải tin tưởng máy chủ hoặc nhà cung cấp dịch vụ đám mây trong việc quản lý quá trình mã hóa và bảo vệ các khóa mã hóa. Tính bảo mật của dữ liệu phụ thuộc vào khả năng của máy chủ trong việc quản lý khóa và thực thi các chính sách bảo mật một cách đúng đắn. Tuy nhiên, nếu máy chủ bị xâm phạm, sẽ có nguy cơ tiềm ẩn là người dùng không được ủy quyền có thể truy cập cả dữ liệu đã mã hóa và các khóa cần thiết để giải mã nó. Để giảm thiểu điều này, nhiều dịch vụ cung cấp các tính năng bảo mật bổ sung, chẳng hạn như dịch vụ quản lý khóa (KMS) và mô-đun bảo mật phần cứng (HSM) để tăng cường bảo vệ khóa.
Hiệu suất
Mã hóa phía đích thường có tác động hiệu suất thấp hơn đối với máy khách (phía nguồn), vì công việc mã hóa và giải mã nặng nề được thực hiện bởi máy chủ đích. Điều này có thể dẫn đến hiệu suất tốt hơn ở phía máy khách, đặc biệt là đối với các thiết bị có sức mạnh xử lý hạn chế. Tuy nhiên, các quá trình mã hóa và giải mã vẫn tiêu tốn tài nguyên trên máy chủ, điều này có thể ảnh hưởng đến hiệu suất của máy chủ, đặc biệt là trong các môi trường có nhu cầu cao. Ngoài ra, việc phải giải mã dữ liệu trên máy chủ trước khi gửi lại cho máy khách có thể gây ra một chút độ trễ, mặc dù điều này thường rất nhỏ trong các hệ thống được tối ưu hóa tốt.
Mã hóa phía nguồn so với Mã hóa phía đích
Bảng dưới đây liệt kê các thông số chính để tóm tắt sự khác biệt giữa mã hóa phía nguồn và mã hóa phía đích (mã hóa phía máy khách so với mã hóa phía máy chủ).
| Tính năng/Khía cạnh | Mã hóa phía nguồn | Mã hóa phía đích |
| Định nghĩa | Việc mã hóa dữ liệu được thực hiện tại nguồn trước khi truyền đi. | Việc mã hóa dữ liệu được thực hiện khi dữ liệu đến đích. |
| Kiểm soát | Thông thường, chủ sở hữu hoặc người gửi dữ liệu có quyền kiểm soát quá trình mã hóa và các khóa. | Người nhận dữ liệu hoặc nhà cung cấp dịch vụ lưu trữ thường quản lý quá trình mã hóa và các khóa. |
| Quản lý khóa | Các khóa thường được kiểm soát và quản lý bởi người gửi/chủ sở hữu dữ liệu. | Khóa được quản lý bởi người nhận dữ liệu hoặc nhà cung cấp dịch vụ lưu trữ. |
| Trách nhiệm bảo mật | Trách nhiệm chính thuộc về người gửi dữ liệu để đảm bảo dữ liệu được mã hóa trước khi truyền. | Trách nhiệm chính thuộc về người nhận dữ liệu hoặc nhà cung cấp dịch vụ lưu trữ để mã hóa dữ liệu khi nhận. |
| Bảo mật truyền tải | Dữ liệu được mã hóa trong quá trình truyền tải, đảm bảo an toàn chống lại việc bị chặn. | Dữ liệu có thể bị chặn dưới dạng văn bản thuần túy trong quá trình truyền tải nếu không được mã hóa; tập trung nhiều hơn vào việc bảo vệ dữ liệu được lưu trữ. |
| Độ phức tạp của tích hợp | Có thể yêu cầu nhiều công việc tích hợp hơn từ phía người gửi dữ liệu để triển khai các cơ chế mã hóa. | Thường dễ triển khai hơn vì quá trình mã hóa diễn ra sau khi nhận dữ liệu, thường sử dụng các công cụ dịch vụ tiêu chuẩn. |
| Tác động đến hiệu suất | Có thể gây ra gánh nặng hiệu suất ở phía khách hàng do các quá trình mã hóa trước khi dữ liệu được gửi đi. | Ít tác động hơn đến phía khách hàng; Chi phí hiệu suất phát sinh ở phía máy chủ hoặc hệ thống lưu trữ do các quy trình mã hóa khi nhận dữ liệu. |
| Tuân thủ và chính sách | Cho phép người gửi tuân thủ các chính sách và quy định bảo vệ dữ liệu cụ thể bằng cách tự kiểm soát quá trình mã hóa. | Có thể đáp ứng các yêu cầu tuân thủ liên quan đến chính sách mã hóa dữ liệu khi lưu trữ và trách nhiệm của người quản lý dữ liệu. |
| Các trường hợp sử dụng | Hữu ích trong các tình huống mà việc truyền tải an toàn là rất quan trọng, chẳng hạn như trao đổi dữ liệu nhạy cảm. | Phổ biến trong các giải pháp lưu trữ đám mây và kho dữ liệu, nơi việc bảo vệ dữ liệu chủ yếu là cần thiết cho dữ liệu được lưu trữ. |
Mã hóa sao lưu phía nguồn với NAKIVO
Cả hai loại mã hóa phía nguồn và mã hóa phía đích đều có thể được sử dụng để sao lưu dữ liệu. Hãy cùng tìm hiểu về mã hóa phía nguồn trong bối cảnh sao lưu dữ liệu.
NAKIVO Backup & Replication là một giải pháp bảo vệ dữ liệu tiên tiến hỗ trợ mã hóa sao lưu. Một thuật toán AES-256 mạnh mẽ (chiều dài khóa mã hóa 256 bit) được sử dụng để mã hóa trong giải pháp NAKIVO. Mã hóa có thể được cấu hình ở cấp độ kho lưu trữ sao lưu (cho tất cả các bản sao lưu được lưu trữ trong một kho lưu trữ dự phòng) dưới dạng mã hóa đích. Tùy chọn khác là cấu hình mã hóa ở cấp độ tác vụ sao lưu bằng cách sử dụng mã hóa phía nguồn. Kết quả là, các bản sao lưu được mã hóa trong quá trình truyền tải và được lưu trữ dưới dạng dữ liệu đã mã hóa trong kho lưu trữ sao lưu.
Mã hóa sao lưu phía nguồn yêu cầu nhập mật khẩu. Một hàm băm mạnh được tạo dựa trên mật khẩu đã cung cấp được sử dụng để tạo khóa mã hóa/giải mã. Điều quan trọng là không được mất mật khẩu mã hóa, vì bạn sẽ không thể khôi phục dữ liệu từ bản sao lưu đã mã hóa nếu không có mật khẩu.
Yêu cầu cho mã hóa tại nguồn :
- NAKIVO Backup & Replication phiên bản 11.0 trở lên
- Loại lưu trữ dữ liệu: Tăng dần kèm sao lưu toàn bộ (hỗ trợ băng từ)
Cấu hình mã hóa tại nguồn
Mã hóa tại nguồn cho sao lưu được cấu hình trong giao diện web ở cấp độ công việc.
- Truy cập bước
Optionscủa trình hướng dẫn công việc sao lưu trong NAKIVO Backup & Replication để thiết lập tùy chọn mã hóa. - Đặt tùy chọn
Backup encryptionthànhEnabledđể triển khai mã hóa tại nguồn cho sao lưu.LƯU Ý: Khi bật mã hóa mạng, dữ liệu sao lưu sẽ được mã hóa trước khi được truyền qua mạng và được giải mã khi được ghi vào kho lưu trữ sao lưu đích. Tải trọng của Các phương tiện vận chuyển sẽ tăng lên do quá trình mã hóa và giải mã dữ liệu. Khi bật mã hóa sao lưu, dữ liệu sẽ được mã hóa tại phía nguồn, được truyền dưới dạng dữ liệu đã mã hóa và được lưu trữ dưới dạng dữ liệu đã mã hóa trong kho lưu trữ sao lưu. Việc bật cả mã hóa sao lưu và mã hóa mạng sẽ làm tăng tải do phải mã hóa dữ liệu hai lần và không cần thiết.
- Nhấp vào
Settingsđể thiết lập khóa mã hóa. - Thiết lập các thông số cần thiết trong cửa sổ
Set a Password.- Tạo mật khẩu mới và xác nhận mật khẩu.
- Nhập mô tả, ví dụ:
Backup encryption password.
Khi bạn nhấp vào
Proceed, mật khẩu mới sẽ được lưu vào cơ sở dữ liệu của NAKIVO Director, và bạn có thể chọn mật khẩu này cho các tác vụ sao lưu khác sau này.
Bạn cũng có thể thiết lập Dịch vụ Quản lý Khóa (KMS) để tăng cường các biện pháp bảo mật. NAKIVO Backup & Replication hỗ trợ AWS KMS.
- Để kích hoạt AWS KMS, bạn cần Thêm tài khoản AWS vào danh sách tài nguyên NAKIVO.
- Để kích hoạt Dịch vụ Quản lý Khóa AWS cho mã hóa sao lưu, hãy truy cập
Settings > General > System Settingsvà chuyển sang tabEncryption.- Chọn hộp kiểm “Sử dụng Dịch vụ Quản lý Khóa AWS”.
- Chọn tài khoản AWS đã được thêm vào danh sách tài nguyên NAKIVO.
- Chọn khu vực AWS.
- Chọn một khóa.
Bạn có thể kiểm tra trạng thái mã hóa bằng cách truy cập Settings > Repositories và chọn kho lưu trữ sao lưu (ví dụ: Onboard repository). Nhấp vào tên kho lưu trữ để xem danh sách các bản sao lưu trong kho lưu trữ này.
Trang này hiển thị tên bản sao lưu, trạng thái mã hóa, trạng thái mật khẩu mã hóa, tên công việc và kích thước.
Trạng thái mã hóa sao lưu :
- Đã mã hóa
- Chưa mã hóa
Trạng thái mật khẩu mã hóa :
Available– Băm mật khẩu tương ứng được lưu trữ trong cơ sở dữ liệu của NAKIVO Director.Not available– Bản sao lưu (điểm khôi phục) được mã hóa, nhưng băm mật khẩu mã hóa không có trong cơ sở dữ liệu của Director.Not applicable– Được hiển thị nếu điểm khôi phục của bản sao lưu không được mã hóa.
Bạn có thể chỉnh sửa các tùy chọn tác vụ sao lưu bất cứ lúc nào và thay đổi cài đặt mã hóa sao lưu.
Kết luận
Mã hóa tại nguồn là biện pháp an toàn và hiệu quả để bảo vệ dữ liệu sao lưu khi truyền qua mạng và lưu trữ trong kho lưu trữ sao lưu đích. Loại mã hóa sao lưu này hiệu quả cho các tình huống khác nhau, bao gồm sao lưu cục bộ và sao lưu lên đám mây công cộng. Sử dụng mật khẩu để tạo khóa mã hóa là giải pháp tiết kiệm chi phí và thân thiện với người dùng. Hơn nữa, dịch vụ quản lý khóa nâng cao như AWS KMS có thể được sử dụng để tránh việc quên hoặc mất khóa mã hóa.
Tải xuống phiên bản mới nhất của NAKIVO Backup & Replication hỗ trợ mã hóa phía nguồn và mã hóa phía đích để triển khai chiến lược sao lưu của bạn một cách hiệu quả.
