- Forum
- Ana Sayfa
- Destek
- Guvenlik Cozumleri
- Haberler
- @ Fortinet Urunler
- FORTIGATE-1240B
- FORTISWITCH
- FortiAnalyzer
- FortiGate 1240
- Fortigate 110
- Fortigate 110C
- Fortigate 200B
- Fortigate 30
- Fortigate 3016B
- Fortigate 310
- Fortigate 310B
- Fortigate 311
- Fortigate 311B
- Fortigate 3810A
- Fortigate 50
- Fortigate 5000
- Fortigate 51
- Fortigate 60
- Fortigate 620
- Fortigate 620B
- Fortigate 80
- Fortigate 82C
- Fortigate
- Fortimail 2008 Başarısı
- Fortimail Quiz Yapildi
- Fortinet Partner 2009 Konferansı İskoçya'da Yapıldı
- McAfee 8.7i Patch Yayinlandi
- Projeler
- Wireless Wpa Şifresini Bir Dakikada Kıralabilir
- Yine Gartner'da Fortinet Lider
- @ Fortinet Urunler
- Kurumsal Cozumler
- İletişim
- Makaleler
- Dns Sorunu Makale
- Fortinet Hakkinda Bilinmesi Gerekenler
- Fortinet Makale
- Fortigate Active Directory
- Fortigate Flash Formatlama
- Fortigate IM & P2P Security
- Fortigate IPS V4
- Fortigate Kurulum
- Fortigate Syn Attack Block
- Fortigate Url Filtering
- Fortigate V4 Msn
- Fortigate Vlan Kurulumu
- Fortimail Archive Export
- Fortimail HA Yapilandirilmasi
- Fortimail Mail Server
- Fortinet Register
- Logların Hashlenmesi
- Mcafee EPO Makale
- Msn Geri Alma
- OSI KATMAN BILGISI
- Osi ve Network Notlar
- Postfix Makale
- STP Spanning Tree Protocol
- Secure Computing Makale
- Tcp / Ip Blok Bilgileri
- Turkiye IP Blocks Bilgileri
- WebWasher Kurulum
- Hakkımızda
- Referans
Storage Backup Yedekleme
|
Genel olarak "Bilgi Güvenliği" göz
önüne alındığında "Backup Encryption" (Yedek Şifrelemesi) bütüne
oranla önemli bir paya sahiptir. Uzun yıllar çoğu kimsenin (bence
haklı olarak) göz ardı ettiği "Backup Encryption" konusu ihtiyaçlar
dahilinde tekrar şekillenmiş olup son kullanıcı bakımından
seçenekler oldukça artmıştır. Son birkaç yıldır değişik nedenlerle
dünyada kaybolan yedekleme kartuşlarına ilişkin birkaç haber
duyduğunuza eminim ve bu kayıpların firmalara olan zararları
konusunda ise genelde pek fikir beyan edilmez. Yaklaşık iki sene
önce ABD 'de katıldığım bir seminerde katılımcılara "yedekleme
işlemleri sırasında şifreleme yapıyor musunuz?" diye bir soru
yöneltildi. Tüm dünyadaki oranı yansıtır mı bilmiyorum ama
katılımcıların %80 'inin yedekleme işlemlerinde şifreleme
yapmadıkları sonucu ortaya çıktı. Eğer kartuş kaybolma oranı da bu
oranla aynı değere sahip olsaydı tahmin ediyorum ki bilgi güvenliği
açısında oldukça transparan bir dünyada yaşıyor olurduk :)
Şifreleme çözümlerinde dikkat edilmesi gereken iki önemli nokta vardır. Bunlar "Performans" ve "Anahtar Yönetimi" (Key Managment) işlemidir. Tercih edilen şifreleme yönteminin, yedekleme işlemi sırasında sistem kaynaklarına (CPU, Memory v.s.) getirdiği iş yükü %5 'in üzerine çıkmamalıdır. Aynı oran yedekleme kaynaklarına (tape, disk, optik disk v.s.) yapılan data transferi işlemi için de geçerlidir. Şifreleme sırasında kullanılanılan şifre veya anahtarların etkin,kolay ve güvenli bir şekilde yönetilmesi gerekmektedir. Genelde yazma (write) işlemleri için kullanılan anahtarlar (write encryption keys) 1 adettir ve değişik peryodlar ile değiştirilmesi gerekir. Yazma anhtarının değişimi sonrasında, mevcut ve değiştirilen anahtarlar okuma (read) işlemleri için saklanmalıdır. Dolayısı ile okuma şifre anahtarları (read encryption keys) "n" adet olabilir ve çok iyi korunması gerekir. Doğru şifre anahtarları olmadan bir geri dönüş işleminin (restore) yapılamayacağı unutulmamalıdır. Şifre veya anahtar yönetimi ayrı bir iş süreci olup kurum politikaları ve yerel regülasyon kuralları göz önüna alınarak dikkatlice oluşturulmalıdır. Günümüzde "Backup Encryption" için kullanılabilecek alternatif yöntem ve teknolojiler şunlardır; Yedekleme Yazılımı Şifrelemesi(Backup Software Encryption) : Birçok (major) yedekleme yazılımı üreticisi, opsiyonel ya da yalın olarak yazılımsal şifreleme (software encryption) özelliğini sunmaktadır. Yedekleme (veya yedeğin geri dönüşü) işlemi sırasında, yazılımsal şifreleme ya da şifre çözme işlemi "client" tarafında yapıldığı için "client" üzerindeki CPU ve memory kaynak kullanımı oldukça artmakta ve mevcut uygulamalar negatif etkilenmektedir. Dolayısı ile özel kullanım alanları hariç yedekleme işlemlerinde yazılımsal şifreleme pek tercih edilen bir yöntem olmamıştır. Ayrıca tape sürücülerin yazma sırasında yaptığı sıkıştırma (compression) işlemi "encrypted data" (şifrelenmiş bilgi) yedeklerinde yeterli performansı gösterememektedir. Ancak küçük data miktarı olan sistemlerde ucuz bir çözüm olabilir. Örnek yazılımlar; SAN Tabanli Şifreleme : Donanımsal olarak şifreleme yapan cihazlardır (appliance) ve data hattı üzerinde (in-band) çalışırlar. FC ya da SCSI bağlantı tiplerini desteklemektedirler. Yedekleme sunucusu ve yedekleme kaynakları (tape, disk, optik disk v.s.) arasında yer alırlar. Mutlaka yedekli yapıda mimariler oluşturulmalıdır. Sistemler üzerinde negatif performans etkisi yoktur. Anahtar Yönetimi (Key Management) için çözüm sunarlar. Tape sürücü ve yedekleme yazılımı bağımsız çalıştıkları için avantajlıdırlar ancak mimari katman (layer) sayısı arttığı için kompleks yapılar oluşur. Örnek cihazlar; SAN Switch Tabanli Şifreleme : SAN tabanlı cihazlarla benzer yapıları vardır. Şifreleme işlemi, SAN bağlantısını sağlayan FC Switchler üzerinde yapılır, in-band çalışan sistemlerdir. Sistemler üzerinde negatif performans etkisi yoktur. Daha az kompleks bir yapı oluşturulabilir. Örnek cihazlar; Tape Sürücü Şifrelemesi : Tape sürücüler üzerinde yapılan şifreleme işlemidir. Bilgi donanımsal olarak şifrelendikten sonra tape kartuşlarına yazılır. Tape 'ler üzerindeki şifreleme anahtarlarının yönetimi için harici yazılımlar ya da donanımlar gerekebilir. Yedekleme Yazılım 'ları tape sürücüler üzerindeki şifre anahtarlarının yönetimini yapabilirler. Örnek Cihazlar ; Günümüzde yukarıdaki seçenekleri kullanarak yedekleme işlemlerini şifreli olarak yapmak mümkün ancak ürün seçiminde genişliyebilirlik ve geriye dönük destek oldukça önemlidir. Seçilen teknolojilerin ve kurulan mimarilerin sonradan değiştirilmesi maliyetli olabilmektedir. Ancak yedekleme şifreleme yöntemlerinde "Tape Sürücü Şifrelemesi" bütünlük bakımından daha öne çıkan bir teknoloji olmaktadır. Yukarıdaki paragraflarda bahsettiğim gibi performans ve anahtar yönetimi "yedek şifreleme" (backup encryption) işleminin köşe taşlarını oluşturmaktadır. Genelde kullanılan algoritmalar tek yönlü şifreleme algoritmaları (one-way) olduğu için, şifre kaybı durumlarında herhangi bir geri dönüş işlemi mümkün olmayacaktır. |
