ฉันกำลังตอบคำถามนี้และฉันทำให้มันเป็นวิกิของชุมชนเนื่องจากฉันกำลังคัดลอกและวางจากเอกสารที่มีอยู่
สำหรับบันทึกนี้ฉันใช้ Amanda Enterprise เป็นโซลูชันสำรองข้อมูลของฉันและฉันไม่ได้ใช้การเข้ารหัสเทปที่ให้ไว้ด้วยเหตุผลที่คุณพูดถึง
ฉันกำลังค้นคว้าเรื่องการเข้ารหัสเทปและฉันได้พบกับกระดาษแข็งสีขาวที่ยอดเยี่ยมจาก HP ที่พูดถึงการเข้ารหัส LTO-4และมีความเป็นไปได้มากมายสำหรับการจัดการคีย์ นี่คือบทสรุปพื้นฐานของตัวเลือกที่มีอยู่ที่นำเสนอ:
•การเข้ารหัสโหมดเนทีฟ (บางครั้งเรียกว่าตั้งค่าและลืม) วิธีนี้ควบคุมการเข้ารหัส LTO4 จากภายในเทปไดรฟ์ไลบรารี มีคีย์เดียวที่ถูกตั้งค่าโดยส่วนต่อประสานการจัดการไลบรารี (Web GUO หรือแผงควบคุมของผู้ปฏิบัติงาน) วิธีการนี้จะเข้ารหัสเทปทั้งหมดด้วยคีย์เดียวกันโดยมีข้อเสียของระดับความปลอดภัยที่ส่งผลเสีย
•การเข้ารหัสที่ใช้ซอฟต์แวร์จะเข้ารหัสข้อมูลก่อนที่จะออกจากเซิร์ฟเวอร์และคีย์จะถูกเก็บไว้ในฐานข้อมูลภายในหรือแคตตาล็อกของแอปพลิเคชัน วิธีการเข้ารหัสนี้วางภาระสูงบนเซิร์ฟเวอร์ในขณะที่ซอฟต์แวร์ทำการดำเนินการทางคณิตศาสตร์มากมายโดยใช้พลังการประมวลผลโฮสต์ แอพพลิเคชั่นมากมายรวมถึง HP Open View Storage Data Protector 6.0 ให้การเข้ารหัสเป็นคุณสมบัติ แม้ว่าความปลอดภัยของการเข้ารหัสวันที่ด้วยวิธีนี้จะสูงมาก (เนื่องจากข้อมูลถูกเข้ารหัสระหว่างการขนส่ง) เนื่องจากข้อมูลที่เข้ารหัสนั้นมีการสุ่มสูงดังนั้นจึงเป็นไปไม่ได้ที่จะบรรลุการบีบอัดข้อมูลแบบดาวน์สตรีมในเทปไดร์ฟ
•คีย์ที่จัดการโดยแอปพลิเคชัน ISV หรือที่รู้จักในชื่อการจัดการคีย์ในวง ซอฟต์แวร์ ISV จัดหาคีย์และจัดการกับมันและ Ultrium LTO4 Tape Drive ทำการเข้ารหัส คีย์จะถูกอ้างอิงโดยข้อมูลที่เกี่ยวข้องกับคีย์และเก็บไว้ในฐานข้อมูลภายในแอปพลิเคชัน (โปรดอ้างอิงผู้จำหน่ายแอพพลิเคชั่นสำรอง ISV ของคุณสำหรับการรองรับฟังก์ชั่นนี้)
•อุปกรณ์เข้ารหัสแบบ in-band ดักลิงค์ Fibre Channel และเข้ารหัสข้อมูลในเที่ยวบิน ผลิตภัณฑ์เหล่านี้มีวางจำหน่ายจากผู้ค้าหลายรายเช่น Neoscale และ Decru การจัดการคีย์มาจากอุปกรณ์การจัดการคีย์แบบแข็ง วิธีนี้เป็นอิสระจากซอฟต์แวร์ ISV และสนับสนุนเทปไดร์ฟและไลบรารีดั้งเดิม อุปกรณ์เหล่านี้ต้องทำการบีบอัดข้อมูลเนื่องจากการบีบอัดภายในเทปไดร์ฟไม่สามารถทำได้หลังจากการเข้ารหัส
•สวิตช์ผ้า SAN ที่มีความสามารถในการเข้ารหัสคล้ายกับอุปกรณ์ในวง แต่ฮาร์ดแวร์การเข้ารหัสนั้นฝังอยู่ในสวิตช์
• Key Management Appliance ทำงานร่วมกับไลบรารี่ระดับองค์กรเช่น HP StorageWorks EML และไลบรารี่ ESL E-series เป็นที่รู้จักกันในชื่อการจัดการคีย์นอกแบนด์เนื่องจากคีย์ถูกส่งไปยังเทปไดร์ฟโดยอุปกรณ์การจัดการคีย์ รูปที่ 8 แสดงส่วนประกอบพื้นฐานของเครื่องมือการจัดการคีย์ แอปพลิเคชั่นสำรองไม่มีความรู้เรื่องความสามารถในการเข้ารหัสของเทปไดร์ฟ คีย์ถูกส่งไปยังคอนโทรลเลอร์ไลบรารีเทปโดยวิธีการเชื่อมต่อเครือข่ายโดยใช้ Secure Sockets Layer (SSL) เมื่อเร็ว ๆ นี้เปลี่ยนชื่อเป็น Transport Layer Security (TLS) นี่คือการเชื่อมต่อแบบเข้ารหัสที่จำเป็นในการป้องกันความปลอดภัยของกุญแจในการขนส่งจากเครื่อง ในการตั้งค่าความปลอดภัยใบรับรองดิจิทัลจะถูกติดตั้งลงในฮาร์ดแวร์การจัดการห้องสมุด สิ่งนี้สร้างการเชื่อมต่อที่ปลอดภัยที่จำเป็น การตั้งค่า SSL / TLS ใช้การเข้ารหัสคีย์สาธารณะ แต่หลังจากการจับมือเสร็จสมบูรณ์แล้วรหัสลับจะส่งผ่านไปยังการเข้ารหัสลิงก์ เมื่อเทปถูกกู้คืนคีย์ที่เชื่อมโยงข้อมูล (ดึงจากเทป) จะใช้เพื่ออ้างอิงคำขอสำหรับคีย์ที่ถูกต้องเพื่อถอดรหัสเทปที่เป็นอิสระจากแอปพลิเคชันสำรอง
แน่นอนว่าสิ่งที่เราขาดหายไปคือสิ่งที่ผู้คนในโลกแห่งความจริงกำลังทำอยู่ Whitepapers ดีมาก แต่นั่นไม่จำเป็นต้องสะท้อนความเป็นจริง
นอกจากนี้ฉันโพสต์คำถามนี้ในบล็อกของฉันดังนั้นคำตอบหรือตัวอย่างอาจปรากฏขึ้นที่นั่นเช่นกัน