Все знают, что регулярное резервное копирование это хорошо и правильно. Этот тезис даже не обсуждается, а поговорим мы о том, как данный процесс, обеспечивая доступность данных, влияет на их защищенность. Кроме того, отдельно мы посмотрим на то, как осуществлять резервное копирование собственно средств шифрования. Данный пост не содержит рекомендаций по выбору или настройке решений по резервному копированию, а посвящен исключительно вопросам проектирования архитектуры.

Часть 1. Резервные копии

Что происходит с резервными копиями после того, как вы их сделали? Существует несколько вариантов – носитель лежит под замком в том же офисе, носитель регулярно выносится за пределы помещения, либо отчуждаемого носителя как такового нет, потому что резервное копирование делается на СХД внешнего провайдера, либо на СХД на другой площадке организации, т.н. cross-site backup. В большинстве случае, надо исходить из того, что уровень защиты этих данных на «периметре» практически нулевой. Чтобы не быть голословным – несколько заметных примеров хищения лент с резервными копиями.

Итак, правило №1 – обязательное шифрование резервных копий, предназначенных для хранения на отчуждаемых носителях.

Где шифрование, там и управление ключевой информацией. Давайте посмотрим, что надо учесть при выработке правильного подхода к управлению ключами.

1. Ключи должны храниться отдельно от самих резервных копий

2. Ключи не должны быть бесконтрольно доступны людям, имеющим физический доступ к резервным копиям, в противном случае все данные могут легко покинуть организацию в обход любых DLP-систем, а обнаружить факт такой утечки будет крайне сложно.

3. Паранойя должна быть под контролем. В час X ключи должны оказаться доступны на той площадке, на которой будет выполняться восстановление данных, и время их доставки туда не должно [существенно] увеличивать целевое время восстановления RTO.

4. ЧС любого масштаба (в разумных пределах, естественно), затрагивающая основную площадку, не должна приводить к безвозвратной потере ключей шифрования.

Отдельного внимания заслуживает резервное копирование информации, изначально обладающей определенным уровнем защиты (например ресурсы, хранящиеся на зашифрованной файловой системе). Поскольку зачастую целью построения таких решений является защита от неправомерных действий третьих лиц, получивших доступ к оборудованию, важно построить управление ключами таким образом, чтобы доступ к инфраструктуре резервного копирования не давал возможности провести расшифровку резервных копий.

Часть 2. Средства шифрования.

У средств шифрования есть две особенности, которые делают задачу резервного копирования одновременно и более сложной, и более важной. Во-первых, порой резервирование ключевых носителей может быть нереализуемо (например, в случае генерации ключевой пары на токене), либо, возникновение второго экземпляра ключевого носителя делает нелигитимным первый (например, ЭЦП). С другой стороны, утеря или повреждение ключевых носителей может лишить вас всей информации, поэтому пренебрегать резервным копированием ключевой информации – недопустимо. Поэтому соблюдение нескольких рекомендации позволит вам обеспечить сохранность данных и там, где используются средств шифрования.

1. При шифровании данных всегда делайте резервные копии ключевой информации, и храните их в надежном месте, вдали от основной площадки. Схемы, в которых нельзя сделать резервную копию ключа для шифрования данных (или, как вариант, мастер-ключа), вам не подходят. Это замечание относится к сценарию, когда вам надо впоследствии расшифровывать данные с использованием своего закрытого ключа. Для сценария, например, подписи платежных поручений, потеря ключа приведет к некоторому простою, но не приведет к потере информации.

2. Убедитесь (опытным путем) в том, что вы знаете, как восстановить всю необходимую ключевую информацию из резервных копий.

3. Кроме собственно ключевой информации, важно иметь дистрибутивы/серийные номера/лицензии для используемых программных средств шифрования данных.

4. При использовании ЭЦП – разработайте четкий регламент, как в случае утери ключевой информации вы будете восстанавливать ключи. Как правило, в этих регламентах нет ничего сложного, важно только, чтобы вы смогли выполнить эти действия в разумные сроки. Иногда, впрочем, технически вполне реально сделать копии контейнера с ключами, и если потеря ключей не привела к их компрометации, то можно просто восстановить их из резервной копии.

5. Для аппаратных решений типа HSM – прислушайтесь к рекомендациям производителя по резервированию.

Очевидно, сегодня мы рассмотрели не весь спектр проблем, но даже следование этим рекомендациям поможет вам избежать ряда проблем, связанных с обеспечением сохранности информации.

Автор - Alexey Chekanov