Система Zbackup - технические подробности

Zbackup – система защиты информации на стримерах. Система Zbackup ориентирована на средние и крупные компании, использующие для резервного копирования накопители на магнитных лентах. Система Zbackup автоматически, в on-line режиме, зашифровывает данные при их сохранении на ленту и расшифровывает при восстановлении. Это обеспечивает невозможность доступа к данным на ленте посторонним лицам, не имеющим ключа шифрования.

Описание системы

Zbackup не является системой резервного копирования, система Zbackup лишь обеспечивает защиту данных на магнитных лентах, которые записываются в процессе штатной работы ПО резервного копирования, такого как BrightStor™ ARCserve® Backup или Veritas Backup на серверах, причем таких компонент ПО резервного копирования, которые непосредственно взаимодействуют с устройствами резервного копирования. То есть, Zbackup устанавливается на сервера, где работают сервисы поддержки ленты (Tape Engine Service), на рабочие станции с программами - агентами резервного копирования установка не требуется.

После установки Zbackup в работе программ резервного копирования ничего не меняется, но данные, содержащиеся на зашифрованных лентах, становятся недоступными для простого считывания любыми программами, поскольку лента не содержит открытых данных, данные всегда находятся на ленте в зашифрованном виде, расшифровываются при чтении и зашифровываются при записи.

Шифрование производится на уровне физических секторов, при форматировании лент и записи на них непосредственно самим ПО резервного копирования. Для запуска шифрования достаточно загрузить в систему ключ шифрования и связать его с устройством резервного копирования (стримером). Все эти действия выполняются с помощью программы Zserver Administrator, которая позволяет загружать ключ и активировать шифрование стримера, не только на локальной машине, но и с удаленной консоли (по сети TCP/IP).

Шифрование выполняется специальным системным модулем (драйвером ядра). Ключ шифрования хранится в оперативной памяти и никогда не выгружается на диск.

При попытке чтения зашифрованных лент в программах резервного копирования без ввода соответствующих ключей шифрования, такие ленты будут распознаваться как ленты неизвестного формата или пустые.

Система Zbackup, поддерживает обработку сигнала "Тревога". Сигнал "Тревога" - это событие, после которого все ключи шифрования стираются из памяти, а устройства резервного копирования становятся недоступными до полной перезагрузки сервера, на котором установлен Zbackup. Если на этом же сервере установлен Zserver, то все открытые защищенные диски также блокируются по тому же самому сигналу тревоги.

Для подачи сигнала "тревога" могут использоваться различные устройства - "красные кнопки", радио-брелоки , датчики и устройства контроля доступа в помещение. Данный сигнал также может быть подан программным образом.

Интеграция

Система Zbackup очень тесно интегрирована с другим продуктом компании SecurIT – системой Zserver, обеспечивающей защиту информации , хранимой на разделах жесткого или съемного диска сервера . В частности, все администрирование этих систем осуществляется с помощью общей интегрированной консоли Zserver Administrator. Средства подачи сигнала "Тревога" также являются общими для этих систем. Но это не значит, что для установки Zbackup на сервер обязательно требуется установка также и Zserver, эти системы могут работать как по отдельности, так и совместно.

Криптосредства, аппаратные средства хранения ключей шифрования

Система Zbackup, как и Zserver, не содержит встроенных криптосредств, но позволяет подключать внешние. Вся работа с алгоритмами шифрования осуществляется специальным компонентом – криптоядром, которое обеспечивает открытый интерфейс для подключения криптоалгоритмов.

На данный момент криптоядро поддерживает следующие алгоритмы шифрования:

• Внутренний алгоритм с длиной ключа 128 бит (RC5);
• Программный эмулятор платы "Криптон" производства фирмы "Анкад";
• Аппаратная плата шифрования "Криптон" производства фирмы "Анкад", реализующая алгоритм шифрования ГОСТ 28147­89 с длиной ключа 256 бит;

Генерация ключей шифрования производится на основе последовательности случайных чисел, которая вырабатывается путем считывания большого объема информации о движении «мыши» пользователем, генерирующим ключ. Ключи шифрования хранятся на микропроцессорных смарт-картах, защищенных PIN-кодом, при повторном трехкратном вводе неправильного PIN-кода смарт-карта блокируется и доступ к ней становится невозможен.

Совместимость

Zbackup совместима со всеми традиционными устройствами резервного копирования на ленту, в том числе с ленточными библиотеками, и с наиболее распространенным программным обеспечением резервного копирования – BrightStor ARCserve, Symantec Backup Exec и т.д.