14 Eyl 2009

Storage Backup Yedekleme

Yedekleme ve Log Çözümleri

Genel olarak “Bilgi Güvenliği” göz önüne alındığında “Backup Encryption” (Yedek Şifrelemesi) bütüne oranla önemli bir paya sahiptir. Uzun yıllar çoğu kimsenin (bence haklı olarak) göz ardı ettiği “Backup Encryption” konusu ihtiyaçlar dahilinde tekrar şekillenmiş olup son kullanıcı bakımından seçenekler oldukça artmıştır.

Son birkaç yıldır değişik nedenlerle dünyada kaybolan yedekleme kartuşlarına ilişkin birkaç haber duyduğunuza eminim ve bu kayıpların firmalara olan zararları konusunda ise genelde pek fikir beyan edilmez. Yaklaşık iki sene önce ABD ‘de katıldığım bir seminerde katılımcılara “yedekleme işlemleri sırasında şifreleme yapıyor musunuz?” diye bir soru yöneltildi. Tüm dünyadaki oranı yansıtır mı bilmiyorum ama katılımcıların %80 ‘inin yedekleme işlemlerinde şifreleme yapmadıkları sonucu ortaya çıktı. Eğer kartuş kaybolma oranı da bu oranla aynı değere sahip olsaydı tahmin ediyorum ki bilgi güvenliği açısında oldukça transparan bir dünyada yaşıyor olurduk 🙂

Şifreleme çözümlerinde dikkat edilmesi gereken iki önemli nokta vardır. Bunlar “Performans” ve “Anahtar Yönetimi” (Key Managment) işlemidir. Tercih edilen şifreleme yönteminin, yedekleme işlemi sırasında sistem kaynaklarına (CPU, Memory v.s.) getirdiği iş yükü %5 ‘in üzerine çıkmamalıdır. Aynı oran yedekleme kaynaklarına (tape, disk, optik disk v.s.) yapılan data transferi işlemi için de geçerlidir.

Şifreleme sırasında kullanılanılan şifre veya anahtarların etkin,kolay ve güvenli bir şekilde yönetilmesi gerekmektedir. Genelde yazma (write) işlemleri için kullanılan anahtarlar (write encryption keys) 1 adettir ve değişik peryodlar ile değiştirilmesi gerekir. Yazma anhtarının değişimi sonrasında, mevcut ve değiştirilen anahtarlar okuma (read) işlemleri için saklanmalıdır. Dolayısı ile okuma şifre anahtarları (read encryption keys) “n” adet olabilir ve çok iyi korunması gerekir. Doğru şifre anahtarları olmadan bir geri dönüş işleminin (restore) yapılamayacağı unutulmamalıdır. Şifre veya anahtar yönetimi ayrı bir iş süreci olup kurum politikaları ve yerel regülasyon kuralları göz önüna alınarak dikkatlice oluşturulmalıdır.

Günümüzde “Backup Encryption” için kullanılabilecek alternatif yöntem ve teknolojiler şunlardır;

Yedekleme Yazılımı Şifrelemesi(Backup Software Encryption) : Birçok (major) yedekleme yazılımı üreticisi, opsiyonel ya da yalın olarak yazılımsal şifreleme (software encryption) özelliğini sunmaktadır. Yedekleme (veya yedeğin geri dönüşü) işlemi sırasında, yazılımsal şifreleme ya da şifre çözme işlemi “client” tarafında yapıldığı için “client” üzerindeki CPU ve memory kaynak kullanımı oldukça artmakta ve mevcut uygulamalar negatif etkilenmektedir. Dolayısı ile özel kullanım alanları hariç yedekleme işlemlerinde yazılımsal şifreleme pek tercih edilen bir yöntem olmamıştır. Ayrıca tape sürücülerin yazma sırasında yaptığı sıkıştırma (compression) işlemi “encrypted data” (şifrelenmiş bilgi) yedeklerinde yeterli performansı gösterememektedir. Ancak küçük data miktarı olan sistemlerde ucuz bir çözüm olabilir.

Örnek yazılımlar;

  • Symantec© Netbackup ,
  • IBM© TSM ©,
  • EMC© Legato Networker ©

SAN Tabanli Şifreleme : Donanımsal olarak şifreleme yapan cihazlardır (appliance) ve data hattı üzerinde (in-band) çalışırlar. FC ya da SCSI bağlantı tiplerini desteklemektedirler. Yedekleme sunucusu ve yedekleme kaynakları (tape, disk, optik disk v.s.) arasında yer alırlar. Mutlaka yedekli yapıda mimariler oluşturulmalıdır. Sistemler üzerinde negatif performans etkisi yoktur. Anahtar Yönetimi (Key Management) için çözüm sunarlar. Tape sürücü ve yedekleme yazılımı bağımsız çalıştıkları için avantajlıdırlar ancak mimari katman (layer) sayısı arttığı için kompleks yapılar oluşur.

Örnek cihazlar;

  • Decru© ,
  • Crossroads© ,
  • Chipermax©

SAN Switch Tabanli Şifreleme : SAN tabanlı cihazlarla benzer yapıları vardır. Şifreleme işlemi, SAN bağlantısını sağlayan FC Switchler üzerinde yapılır, in-band çalışan sistemlerdir. Sistemler üzerinde negatif performans etkisi yoktur. Daha az kompleks bir yapı oluşturulabilir.

Örnek cihazlar;

  • Cisco© MDS9000

Tape Sürücü Şifrelemesi : Tape sürücüler üzerinde yapılan şifreleme işlemidir. Bilgi donanımsal olarak şifrelendikten sonra tape kartuşlarına yazılır. Tape ‘ler üzerindeki şifreleme anahtarlarının yönetimi için harici yazılımlar ya da donanımlar gerekebilir. Yedekleme Yazılım ‘ları tape sürücüler üzerindeki şifre anahtarlarının yönetimini yapabilirler.

Örnek Cihazlar ;

  • SUN© STK T10000
  • SUN© STK T9840D
  • IBM© TS1120
  • IBM© LTO4
  • HP© LTO4
  • Quantum© LTO4

Günümüzde yukarıdaki seçenekleri kullanarak yedekleme işlemlerini şifreli olarak yapmak mümkün ancak ürün seçiminde genişliyebilirlik ve geriye dönük destek oldukça önemlidir. Seçilen teknolojilerin ve kurulan mimarilerin sonradan değiştirilmesi maliyetli olabilmektedir. Ancak yedekleme şifreleme yöntemlerinde “Tape Sürücü Şifrelemesi” bütünlük bakımından daha öne çıkan bir teknoloji olmaktadır. Yukarıdaki paragraflarda bahsettiğim gibi performans ve anahtar yönetimi “yedek şifreleme” (backup encryption) işleminin köşe taşlarını oluşturmaktadır. Genelde kullanılan algoritmalar tek yönlü şifreleme algoritmaları (one-way) olduğu için, şifre kaybı durumlarında herhangi bir geri dönüş işlemi mümkün olmayacaktır.