NAKIVO > Blog > Multiplatform

使用 NAKIVO 啟用備份加密：全面指南

Updated: 22 6 月, 2026

撰文:: NAKIVO 團隊

加密技術因能防止未經授權的第三方存取及散佈私人資料,而廣泛應用於安全領域。備份亦不例外,且經常成為資料外洩的目標。作為資料保護策略的一部分,您可以實施加密技術,為備份增添額外的安全防護層。

在這篇部落格文章中,我們將探討備份加密如何協助您在遭遇網路攻擊時保護資料,並提升整體資料保護水準,以建構更安全的備份基礎架構。

使用 NAKIVO 拒絕支付贖金

利用備份在遭受勒索軟體攻擊後快速還原資料。提供多種還原選項、不可變動的本地與雲端儲存、自動還原特點等。

探索解決方案

什麼是備份加密？

備份加密是指將備份資料從可讀格式轉換為安全格式,除非擁有特殊的解密金鑰或密碼,否則無法讀取該格式。這確保了即使未經授權者存取備份資料,在沒有適當憑證的情況下也無法讀取、使用或洩露該資料,而這些憑證僅限授權使用者持有。備份加密是一項關鍵的安全措施,旨在保護敏感資訊在儲存與傳輸過程中免於遭竊、遺失或洩露。

加密的實例之一,是將任何人都能讀取的明文轉換為加密資料(此處稱為密文),若未持有密鑰而以常規方式開啟,則無法讀取。因此,在使用密碼將原始資料轉換後,該資料的真實含義便會被扭曲,若無解密金鑰便無法理解其內容。

加密備份的重要性

備份加密對於防止未經授權的第三方竊取資料及造成資料外洩至關重要。網路犯罪分子可能會竊取您的資料,並將其出售給競爭對手,或將竊取的資料發布在網路上,對您的組織造成更大損害。這可能導致重大的聲譽與財務損失。

現代的病毒、間諜軟體和勒索軟體是惡意行為者實現其惡意目的的常用工具,且其攻擊手法已變得更加精巧且頻繁。除了為了防止未經授權存取而進行資料保護外,備份加密的重要性還源於其他原因,包括:

Compliance and regulations. 某些類別的企業必須符合特定的監管需求,例如歐盟的《一般資料保護條例》(GDPR),例如:支付卡產業資料安全標準(PCI DSS)、《加州消費者隱私法》(CCPA)、《健康保險攜帶與責任法案》(HIPAA)、《關鍵基礎設施通報法》(CIRCIA)、SOC 3(系統與組織控制第 3 級)等。這些法規標準要求組織在儲存及傳輸資料時必須進行資料加密。
Improving overall security. 加密備份能為安全性增添一層保障,並強化資料保護策略。以加密格式儲存備份,可讓將備份資料透過可移除儲存媒體(例如硬碟)傳輸至其他位置(例如位於不同地理區域的災難還原站點)時,更加安全。若載有加密備份的便攜式媒體遺失或遭竊,第三方將無法存取關鍵且敏感的資料。

防範勒索軟體的加密備份

備份的用途在於透過建立原始資料的至少一份額外副本來保護資料,以便在需要時能快速還原。因此,若原始資料副本遭勒索軟體損毀或刪除,您便可從備份中還原資料。攻擊者深知此策略,並會試圖存取資料備份以一併銷毀,使資料還原變得不可能。在損毀或銷毀備份之前,網路攻擊者可能會將備份複製到他們的伺服器上,從被竊取的備份中提取您的資料。

若備份是以加密檔案形式儲存,此方法並無法防止這些檔案遭勒索軟體損毀或刪除。勒索軟體通常會使用加密演算法來加密資料,從而使資料無法讀取,換言之,即造成資料損毀。勒索軟體甚至可能重新加密您或您的備份應用程式先前已加密的備份檔案,使您無法存取這些檔案。

與此同時,若勒索軟體將您已加密的備份檔案傳送給攻擊發起者,只要採用程式碼加密演算法,且金鑰、密碼及憑證皆存放於安全處,攻擊者便無法存取您的資料。攻擊者通常會以不公開竊取的資料為條件來索取贖金,但若您已加密備份,且攻擊者無法存取備份資料,那麼被竊取的加密備份資料對他們而言便毫無用處。加密備份更能抵禦篡改。

在面對勒索軟體攻擊時,硬體加密在某些使用情境下可能更為有效,但這種方法也有其缺點。硬體安全模組 (HSM) 可用於硬體加密。它可以是 PCIe 卡,加密金鑰也可以儲存在特殊的 USB 裝置上(外觀類似 USB 隨身碟)。智慧卡或 HASP 金鑰是儲存加密/解密硬體金鑰的其他範例。從這類裝置中提取金鑰的難度較高。在此情況下,電腦上必須安裝相應的驅動程式。

使用空間隔離儲存裝置來保護您的備份免受勒索軟體侵害。此類儲存裝置可防止勒索軟體修改資料。由於空間隔離儲存裝置與電腦及網路完全斷開連接,勒索軟體無法從中複製資料。使用不可變儲存或具備備份不可變性的儲存裝置,其用途類似於用於備份保護的空間隔離儲存裝置。

靜態加密與傳輸中加密

備份資料可在寫入目標儲存媒體時進行加密。由於備份資料通常會在寫入目標儲存裝置前透過網路傳輸,因此對包含這些資料的網路流量進行加密至關重要。惡意攻擊者可能會利用流量嗅探器攔截(擷取)網路流量,並藉此存取備份資料。對傳輸中的資料進行加密,可降低此類事件發生的風險。傳輸中加密是在資料來源與備份目標儲存裝置之間進行。

靜態加密則涉及對備份儲存裝置上的備份資料進行加密,例如硬碟、磁帶盒、雲端儲存等上的備份儲存庫。雖然傳輸中加密能在駭客入侵網路時保護資料,但靜態加密則能在駭客存取備份儲存裝置時提供防護。

傳輸中加密與靜態加密可併用於備份加密,以提升安全性。

加密演算法

資料加密是透過複雜的數學演算法及加密／解密金鑰來實現的。為了更方便起見,軟體可以將密碼或密語轉換為適當長度的加密金鑰。這種做法讓使用者能夠記住自己的密碼,這比記住冗長的加密金鑰要容易得多。與其他資料一樣,備份資料的加密效率取決於加密演算法。

加密演算法可分為對稱加密與非對稱加密。在對稱演算法中,使用單一金鑰進行資料的加密與解密。在非對稱演算法中,則使用一組金鑰對:公開金鑰用於加密資料,私密金鑰則用於解密資料。

兩者的範例包括:

Symmetric cryptographic algorithms 包括 AES、DES、3DES、Blowfish、Twofish 及其他加密演算法。
Asymmetric cryptographic algorithms 包括 RSA(1024、2048 和 4096 位元)、ECC、DSA、迪菲-赫爾曼(Diffie-Hellman)等。

先進加密標準(AES)因其高度安全性,是當今最廣泛使用的加密演算法之一。金鑰長度至關重要,它決定了加密資料能被視為安全且受保護的時間長度。 128 位元金鑰應足以保障資料長達三年。其他受支援的較長金鑰長度則為 192 位元與 256 位元。

採用 256 位元金鑰長度的 AES-256 可確保最高等級的安全性。即使以現代電腦的最高運算效能來計算,要透過暴力破解攻破 AES-256 的解密金鑰,仍需耗費數千年之久。自 2003 年起,美國政府便採用 AES 來保護資料。此加密演算法經過充分測試,並獲得加密專家認可。

採用安全通訊端層/傳輸層安全性 (SSL/TLS) 的網路交易,在傳輸過程中均經過加密。最常見的例子是 HTTPS 協定。程式碼加密應採用 TLS 1.1 或更高版本。

較長的加密金鑰能確保更高的安全性,但資料加密時需消耗更多 CPU 資源。此外,從加密備份中還原資料所需的時間也會增加。至於透過網路傳輸資料時的加密,加密金鑰越長,有效資料的傳輸速度也越低。這是因為:

由於為了確保資料與加密演算法的區塊大小對齊而添加了填充資料,加密後的資料有時可能會稍微大一些。
加密連線通常會包含用於管理加密流程的額外元資料和標頭,其中包括憑證、加密金鑰及握手資訊等元素。
這些額外的元資料位元組會增加資料載荷的大小,從而略微增加需要傳輸的資料量。
隨著傳輸相同原始資訊所需傳輸的數據量增加,數據大小的增長可能會降低實際網路吞吐量。

就輸入類型而言,對稱加密演算法可分為流密碼與分組密碼。在流密碼中,每次僅加密一個分組。分組密碼是一種對稱密鑰加密演算法,其特點為:

分組密碼會將資料以固定大小的分組(例如 64 位元或 128 位元分組)進行加密。
分組密碼使用對稱金鑰,這意味著加密和解密都使用相同的金鑰。
常見的分組密碼演算法包括 AES、DES 和 Blowfish。

加密與雜湊

哈希函數是一種不可逆函數,能夠將文字字串或其他資料集轉換為哈希值。計算出的哈希值可用於驗證資料的完整性(檔案)與真實性(密碼哈希),或產生唯一的識別碼(指紋)。哈希函數的例子包括 SHA-256 和 MD5。

加密備份相關的風險

加密備份會為備份子系統增添更多複雜性與額外負擔。若密鑰或密碼遺失,將導致嚴重問題,因為屆時將無法從加密備份中恢復資料。若第三方人員或攻擊者取得加密密鑰,便可能發生資料竊取與資料遺失的情況。基於上述原因,組織應採用可靠的策略來儲存加密備份的密鑰,並妥善管理這些密鑰、密鑰輪替方案及安全政策,確保僅向授權使用者提供密鑰。

此外,使用磁帶盒進行備份加密也存在相關風險。 LTO-4 至 LTO-7 磁帶標準支援對磁帶媒體進行 AES-256 加密。當磁帶機將資料寫入磁帶時,會將對稱加密/解密金鑰儲存於磁帶機中,但僅限於此階段。基於安全考量,這些金鑰不會寫入磁帶。若發生災難導致資料中心受損且備份伺服器毀損,由於解密金鑰亦隨之毀損,將可能引發資料還原問題。

為降低風險,建議您執行備份測試定期進行測試,以確保在各種情境下都能從加密備份中還原資料。

若採用硬碟層級加密或全碟加密,一旦硬碟發生故障,可能無法在實驗室環境中進行資料還原。備份複製有助於降低將備份儲存於加密硬碟或固態硬碟所帶來的風險。

金鑰管理

使用單一金鑰來加密所有資料存在風險。若攻擊者能取得此金鑰,便能解密並存取所有資料。為符合高安全標準,建議組織針對不同資料集使用多組加密金鑰。這些金鑰應存放於安全處所,且僅限具備權限的授權使用者存取。系統管理員必須保護金鑰,並確保在發生災難時金鑰仍可正常使用。

為改善加密/解密金鑰整個生命週期中的金鑰管理流程,並防止金鑰遺失與外洩,可導入金鑰管理系統(KMS)。KMS 可用於控制誰能存取金鑰,以及金鑰的指派與輪替方式。金鑰管理標準之一是金鑰管理互通協定(KMIP)。金鑰庫可用於儲存與管理加密金鑰。

在備份時進行加密 NAKIVO Backup & Replication

NAKIVO Backup & Replication 這是一款資料保護解決方案,支援加密備份,並可透過以下方式對備份資料進行加密:

源端加密可在資料離開來源前、傳輸過程中,以及在備份儲存庫中的整個生命週期內對其進行加密
網路加密,用於在資料透過網路傳輸至備份儲存庫的過程中進行加密
對備份儲存庫進行加密,以加密儲存於儲存裝置中的靜態資料

NAKIVO 解決方案採用 AES-256 加密演算法,該演算法被視為全球資料加密的業界標準。

自 11.0 版本起,已支援源端備份加密特點。此特點的優勢在於,備份資料會先在源端進行加密,隨後將這些加密資料傳輸至備份儲存庫,並以加密形式儲存於其中。此方法簡化了配置與備份流程,亦適用於雲端備份。

系統需求

Requirements for source-side encryption

在 11.0 版本中 NAKIVO Backup & Replication, 新增了一項選項,讓您能夠在備份工作層級設定備份加密。資料會在來源端進行加密,並在傳輸至網路以及儲存於備份儲存庫時維持加密狀態。

支援的備份目標類型:

本地資料夾
NFS 與 SMB 共用
Amazon EC2
Amazon S3 及與 S3 相容的物件儲存
山葵
重複資料刪除裝置
Azure Blob 儲存體
Backblaze B2
磁帶

支援的備份儲存庫類型:增量與完整備份

Requirements for network encryption

若要為 10.11.2 及更早版本設定網路加密,需使用兩個 Transporter。一個傳送器是……的核心組成部分 NAKIVO Backup & Replication 負責資料處理、傳輸、加密、壓縮等作業。

透過網路傳輸資料時的加密作業發生在兩個傳輸器之間:來源端的傳輸器會在將資料傳送至目的地傳輸器之前進行壓縮與加密,而目的地傳輸器則會解密資料並將其寫入備份儲存庫。

Requirements for backup repository encryption

目的地儲存裝置中的備份加密功能可在備份儲存庫在建立備份儲存庫時 NAKIVO Backup & Replication.

備份儲存庫加密功能已支援增量式且完整以及 Linux 作業系統上的永久增量備份儲存庫類型。

如何啟用備份加密

讓我們來探討如何在 NAKIVO 資料保護解決方案中啟用不同類型的備份加密功能。

來源端備份加密(版本 11.0 及以上)

在 NAKIVO Backup & Replication 在 v11.0 版本中,您可以在來源端設定備份加密,以確保資料傳輸與儲存的安全性。您可以在 Options 備份或備份複製工作精靈的步驟。

來源端備份加密是指在將資料傳送至儲存庫之前(即在來源端)對資料進行加密。

若要在 v11.0 中於備份工作層級啟用來源端備份加密,請執行以下操作:

在 Backup encryption 下拉式選單,選擇 Enabled.
點擊 Settings 在 Backup encryption 此行用於設定加密密碼。
選擇 Create password,輸入密碼,並確認密碼。
請為此密碼輸入說明。在說明中輸入的名稱將會顯示在密碼清單中,您稍後可從中選取密碼用於不同的備份工作。我們使用 Hyper-V 備份 作為密碼的名稱。

如果您未使用 AWS KMS,則會看到以下訊息: 金鑰管理服務已停用。請參閱"加密"索引標籤。 如果您已設定並啟用 AWS KMS,則不會顯示此警告。請注意,若要設定 KMS 來管理您的密碼,您必須將您的 AWS 帳戶新增至 NAKIVO Backup & Replication 先清點庫存。

點擊 Proceed.
您輸入的密碼已自動套用。
或者,您可以選擇現有的密碼。
點擊 Finish 要儲存工作設定,請點擊 Finish & Run 以儲存設定,並使用已設定的備份加密功能執行工作。
套用工作設定時,您會看到一則警告,指出備份受密碼保護,若遺失密碼,將無法解密資料。若您尚未啟用 AWS Key Management Service,系統便會顯示此警告。請點擊 Proceed.

您可以使用 AWS Key Management Service (AWS KMS),以確保不會遺失為備份設定的加密密碼。若要使用 AWS KMS,請在 NAKIVO Backup & Replication, 前往 Settings > General > System settings,請選擇 Encryption 標籤頁,然後選取 Use AWS Key Management Service 核取方塊。請記住,您必須將 AWS 帳戶新增至 NAKIVO Backup & Replication 請先進行清點,以便啟用 AWS KMS。

AWS Key Management settings in the NAKIVO solution

設定備份的網路加密

我們可以提升安全性,並在備份資料透過網路傳輸時設定加密。對於 v10.11 之前的版本,此特點要能正常運作的主要需求之一,是必須在不同的機器上安裝兩個 Transporters。

我們可以將 Hyper-V 主機新增至清單,並透過網路加密將 Hyper-V 虛擬機器備份至加密的備份儲存空間。當我們透過 NAKIVO 解決方案的網頁介面將 Hyper-V 主機新增至 NAKIVO 清單時,系統會於該 Hyper-V 主機上安裝一個 Transporter。

此設定如以下螢幕截圖所示。

Backup encryption in flight

現在,我們可以在備份工作選項中設定網路加密,以便透過網路傳輸備份資料。請輸入工作顯示名稱及其他參數。

在 Network Encryption 下拉式清單,請選擇 Enabled. 此參數處於啟用狀態,因為系統使用兩個傳輸器在機器之間傳輸備份資料。

Enabling network encryption for transferring the backup data to a backup repository

我們也可以在遠端機器上部署一個 Transporter,該機器可具有特定位置,位於本地站點,以增加待備份的工作負載數量。此外,亦可將 Transporter 部署在遠端站點的遠端機器上,用以儲存備份及備份複製,藉此實現 3-2-1 備份法則. 在這種情況下,即使無法使用加密的 VPN 連線,透過網路傳輸的備份資料仍可進行加密,並防止資料外洩。

A network scheme of encrypted backups transferred over the network

為備份儲存庫啟用加密功能

在建立備份儲存庫時,您可以為整個儲存庫設定備份加密。此特點已於 NAKIVO Backup & Replication 自 v5.7 起。如果您先前已建立未加密的備份儲存庫,則需建立新的儲存庫,才能在備份儲存庫層級啟用加密功能。該 船載傳送器 已預設安裝。現在讓我們建立一個備份儲存庫,並著重啟用備份加密功能。

註: 若為整個備份儲存庫啟用加密功能,將停用儲存於該儲存庫中的備份之不可變性特點。此特點僅適用於基於 Linux 的機器上的備份儲存庫。

整個備份儲存庫的加密設定需在選項備份儲存庫建立精靈的步驟:

在 Encryption 下拉式選單,選擇 Enabled. 接著,密碼欄位便會顯示在下方。
請輸入加密密碼並再次輸入以確認。
點擊 Finish 以完成加密備份儲存庫的建立。

Enabling encryption for a backup repository during the creation

從現在起,儲存於此備份儲存庫中的所有備份都將被加密。

從加密備份中還原

從加密備份中還原資料的流程與未加密備份類似。若未啟用 KMS,或將儲存庫附加至新的 NAKIVO 解決方案實例時,您必須再次提供密碼才能進行還原。換言之,若將加密備份儲存庫附加至該實例時 NAKIVO Backup & Replication (若為 Director 的不同執行個體或新安裝的執行個體),您必須輸入先前為此備份儲存庫設定的加密密碼(若您已在儲存庫層級啟用加密功能)。

若在將儲存庫附加至新的 NAKIVO 解決方案執行個體後,於加密備份時已啟用 KMS,您只需再次啟用 KMS 並選取適當的金鑰(即上次使用的金鑰)。在此情況下,您無需重新輸入所有密碼。