web-dev-qa-db-ja.com

機密データのバックアップ-落とし穴とベストプラクティス

明らかに、機密データを安全にバックアップすることは困難です。リモートバックアップは、さまざまな災害に耐えるために重要です。そこに潜んでいる「落とし穴」のいくつかは何ですか、そしてどのベストプラクティスがそれらを避けることができますか?

それをもう少し具体的にするには、たとえば、ローカルユーザーアカウントデータ(ただし、クリアテキストのパスワード、クレジットカード、またはその他の厄介なものは含まない)を持つスタッフのデスクトップ(Windows)とサーバー(Linux)の両方をバックアップする、予算が少ない中小企業。お気に入りのツールやサービスの提案は大歓迎です。

21
nealmcb

予想よりも多くの問題を引き起こすもう1つの問題は、バックアップに十分なセキュリティを提供することです。倉庫に保管する以外にバックアップの保護がなかった多くの例を見てきました。これには、暗号化されていない顧客アカウントとパスワードデータの保存が含まれます。

それは攻撃者にとって非常に簡単になります-さて、彼らは物理的な攻撃に戻る必要がありますが、これはライブ環境に存在する可能性のあるすべての技術的コントロールを回避する比較的簡単な方法です。


バックアップのベストプラクティスは、小規模ビジネスにも適用できます。

バックアップに関して適切なレベルの暗号化を提供する

  • すべてを暗号化しますか?簡単だが時間のかかる
  • 機密データを暗号化するだけですか?次に、どのデータを計算する必要があります

バックアップすべきでないデータをバックアップしないでください

定期的に増分および主要バックアップをテストします

ゴールドビルドとスナップショットをテストします(これらもバックアップとしてカウントされます)

物理的なセキュリティも不可欠です

  • ロックされた施設
  • 防火金庫
  • 消火器

契約上のSLA

  • 誰がバックアップを管理していますか?
  • 必要に応じてタイムリーにバックルを提供してくれると信頼してもらえますか?
12
Rory Alsop

私が遭遇する最大の落とし穴はまだ「バックアップから回復できることをテストしましたか?」です。祖母に卵を吸うように教えていることをお詫びしますが、すべてのデータをどこかにうまく書いて、それを読み返すことができるかどうかわからない会社に出くわします。

18
user185

デスクトップについて話している場合は、リカバリ用のクリーンなデスクトップ展開イメージを用意し、すべてのデータをネットワークファイルサーバーに強制的に保存する必要があります。サーバーのプロファイルとローカル設定、およびデスクトップのすべてのドキュメントを保存することは難しくありません。

セカンダリファイルサーバーに増分日次スナップショットを実行します。オフサイトのバックアップを暗号化し、物理的にオフサイトに移動するか、VPN経由で別の安全な場所にバックアップします。おそらく、週4回のオフサイトバックアップをローテーションします(つまり、4回のバックアップ、毎週1回)。特定のキーを失うことによる損害を制限するために、それぞれを異なるキーで暗号化します。リスクプロファイルに応じて、6か月間のバックアップを安全な場所または四半期ごとに保管してください。

2
Bradley Kreider

多くのバックアップソリューションでは、バックアップの一部が破損している場合でも、ほとんどのバックアップを使用できます。暗号化にストリーム暗号を使用した場合を除きます。暗号化がバックアップパッケージに追加されている場合は、その落とし穴に注意してください。実際、バックアップパッケージに含まれている場合でも注意してください。

2
Jeff Ferland

練習。気にしないホームサーバーまたはボックスを、ベアメタルリストアを実行し、仮想状態にリストアし、このようなことを続けることができると思われるポイントまでバックアップします。私はまた、バックアップシステムのパッチをより多く監視しています。 PCI法も適用され(私は信じます)、インターネットから直接アクセスできるクライアントのクレジットカード情報を保持するコンピューターデータベースはありません。インターネットからもデータのバックアップにアクセスできないようにすることをお勧めします。また、複数のシステム(Microsoft Data Protection、Symantec、およびCommVault)を習得しても支障はありません。これらを学習することで、バックアップと復元のためにファイルを暗号化する最良の方法を理解できました。私が見てきた多くのショップやIT部門では、事後のバックアップを別のツールで暗号化しています。

2
IrqJD

少なくとも1つのバックアップがオフサイトにあり、電源またはインターネットに接続されていないことを確認してください。したがって、少なくとも1つのバックアップIMOは、ネットワーク経由の攻撃および電力サージ/雷に対して強化する必要があります。

また、オフサイトの場所を選択するときに、地域に共通する自然災害についてブレインストーミングを行います。メインサイトとすべてのバックアップ場所を奪われる可能性のあるものに襲われたくありません。

1
user1971