Jump to content

EFS Verschlüsselung - knackbar?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

kurz zur Ist Situation:

Wir sichern unsere VMs alle per Veeam auf den Backupserver. 

Von dort wird per BAckup Copy Job über eine Laserverbindung die Daten noch auf ein NAS in ein anderes Gebäude gesichert.

Trotzdem haben wir uns entschlossen jetzt die Daten noch auf ein weiteres Ziel zu sichern und haben uns ein RDX Quickstation 4 gekauft.

 

per Backup Copy Job werden von Veeam die Backups dort drauf kopiert. Diese sind per Veeam verschlüsselt. 

Jetzt wollte ich aber zusätzlich noch auf die RDX Medien einen Ordner erstellen, wo per Job-Pre-Script Daten drauf kopiert werden. 

 

Jetzt meine Frage, ich habe Bitlocker versucht. Das ist jedoch nicht nutzbar, die Schreib-Performance bricht von ca. 85 MB/s auf 15 MB/s ein. 

Jetzt habe ich diesen Ordner per EFS Verschlüsselt. Da ist kein Performance Verlust spürbar, meine Frage wäre nur, wie sicher ist denn das ganze?

 

Angenommen die RDX Medien, die dann täglich getauscht werden, kommen in die falschen Hände. Wie sicher sind die Daten im Ordner X? 

Habe schon ein wenig gegoogelt, alles was ich finde ist jedoch recht alt, ich weiß ja nicht in wie Weit sich das zu heute geändert hat.

 

Ansonsten wäre ich auch für andere Ideen offen :-) Habe auch per Veeam probiert, mit dem File Copy Job. Da ist ja aber wirklich gar nichts möglich, weder Verschlüsselung noch ein Spiegeln (ich möchte Quelle und Ziel spiegeln, nicht nur einfach kopieren).

 

Lieben Dank

Link zu diesem Kommentar

Wieviele "Brüche" von EFS hast du denn auf die Schnelle mittels Google gefunden? Wenn es korrekt implementiert ist, so dass ein DRA existiert und jemand das Zertifikatshandling monitored, sollte das als sicher gelten.

vor 13 Minuten schrieb Leuchtkondom:

Angenommen die RDX Medien, die dann täglich getauscht werden, kommen in die falschen Hände. Wie sicher sind die Daten im Ordner X? 

Ich _würde_ sagen, ziemlich sicher, bei korrekter Vorgehensweise mit EFS. Aber das gilt ja wie immer nur ohne Gewähr und bis zur Entdeckung der nächsten Securitylücke. ;)

https://technet.microsoft.com/en-us/library/cc749962.aspx (schon ziemlich alt), aber eventuell ein Ansatz um mal zu recherchieren.

 

Bye

Norbert

 

Link zu diesem Kommentar

Moin,

 

ich ziehe das Konzept grundlegend in Zweifel. Hast du dir schon mal Gedanken gemacht, wie du im Fall des Falles an die verschlüsselten Daten rankommen willst? Bist du dir sicher, dass das nötige EFS-Zertifikat dann bereitsteht?

Oder noch grundlegender: Hast du dich mit der Funktionsweise von EFS soweit vertraut gemacht, dass du begründet annehmen kannst, dass es für dieses Szenario geeignet ist? Das sehe ich nämlich ganz und gar nicht so.

 

Wie immer, kommt es nicht auf das Backup an, sondern auf das Recovery. Und da ist Verschlüsselung immer ein Problem. Wenn du der Meinung bist, dass du Backup-Verschlüsselung brauchst, dann löse das Problem so, dass du dich auf die Lösung verlassen kannst.

 

Gruß, Nils

 

Link zu diesem Kommentar

Vielen Dank für eure Beiträge.

 

Nils, du hast sicher recht. Bisher habe ich mich mit EFS noch nicht all zuviel Beschäftigt, und dass diese Art von Verschlüsselung vermutlich eher ungünstig für "Wechseldatenträger" ist, die an eventuell anderen Rechnern gelesen werden müssen, habe ich bereits gelesen. Bisher bin ich wie gesagt noch in der Findungsphase für diese Sicherung.

 

Auch ist bisher in der Firma noch nicht geklärt, wie und wer das mit den RDX Medien am Ende handhabt. Da das ein Verbund aus mehreren Firmen ist und jeder so seine Befindlichkeiten hat, wird das erst im Vorstand geklärt. Ich mache mir nur im voraus schon mal Gedanken, im Falle des Falles des Abhandenkommens der Medien. Wie gesagt, die VMs werden ja nur Veeam verschlüsselt. Aber mal am konkreten Beispiel:

 

Es gibt auch eine Datevserver VM. Dort läuft Datev DMS, Datev Rewe und noch viele andere Datev Applikationen. Diese VMs wird zwar von Veeam gesichert, trotzdem wird aller 2 Stunden die Datev eigene Datensicherung innerhalb der VM gestartet, weil nur so kann ich dann einzelne Programmteile wieder herstellen. Diese Daten landen dann auf dem Backupserver in einen Ordner.

 

Diese Sicherungen werden wie gesagt schon an ein NAS in einen externen Gebäude gesichert, nichts desto trotz hätte ich diese auch ganz gern auf den RDX Medien. Was gäbe es denn, zum für diesen Fall ungeeigneten EFS, als Alternativen? Okay, ich könnte das ganze vorher packen und mit Passwort versehen, und dieses Archiv dann auf das RDX Medium speichern. Daher frage ich hier, was euch für Alternativen einfallen würden. 

 

Wie gesagt, Bitlocker war nicht nutzbar.

 

Link zu diesem Kommentar

*Alu Hut aufsetz*

Jede Verschlüsselung ist knackbar. Vor allem die von großen US Firmen, die stecken doch mit der NSA alle unter einer Decke!

 

Aber mal ernsthaft, wie soll das hier irgendwer beurteilen? Selbst Sachen die öffentlich einsehbar von Gremien mit vielen Experten erarbeitet wurden haben sich irgendwann als absolut trivial herausgestellt. Man denke nur an die alte WEP Verschlüsselung, heute knackt man in wenigen Minuten mit kaum Vorkenntnissen.

 

Man muss bei sowas auch immer an die Wiederherstellung denken. Wie kommt man dann an die Daten ran wenn man sie braucht? Willst du da erst mal irgendwo die Schlüssel aus dem Tresor ziehen? Der war halt leider auch in dem Gebäude das abgebrannt ist...

bearbeitet von Doso
Link zu diesem Kommentar
Am 1/27/2018 um 11:25 schrieb Leuchtkondom:

Jetzt meine Frage, ich habe Bitlocker versucht. Das ist jedoch nicht nutzbar, die Schreib-Performance bricht von ca. 85 MB/s auf 15 MB/s ein. 

Was ist denn das für ein Server bzw. Storage Controller und CPU?
Da stimmt meiner Meinung nach was nicht, ich würde das Übel an der Wurzel suchen und mir erst mal das ansehen wollen.

 

Korrigiert mich, wenn ich falsch liege, aber die Werte sind unterirdisch und nicht normal. 

Link zu diesem Kommentar

Ich bin bei Backups Fan  von Hardware-Verschlüsselung.

Wir haben gute Erfahrungen mit LTO Libraries gemacht.

Dafür gibt es kleine USB-Schlüsselspeicher, die den Schlüssel erst nach Eingabe eines Passworts rausrücken. 

Auf den Bändern ist dann generell kein Schlüssel zu finden und die LTO Laufwerke weigern sich ohne Schlüssel die  Bänder zu  lesen.

Bevor Ihr fragt: Benutzt  nicht  die Software-Verschlüsselung von Comvault Simpana. Da gibt es ein paar Design-Schwächen, die der Hersteller aber nicht wirklich einsehen will.

LTO-Laufwerke bekommt man durchaus auch gebraucht halbwegs günstig.

 

Link zu diesem Kommentar

Wir sichern unsere Daten zuerst auf eine Storage und anschließend auf LTO Bänder. Nach der Sicherung bringt der Azubi die Bänder zur Bank und legt diese dort im Tresor ab.

Unser Backupverfahren ist abgesegnet durch die GF und dem internen und externen Datenschutzbeauftragten.

 

Wir überspielen zudem regelmäßig alte Monats- und Jahressicherungen auf neue LTO Generationen. Somit stellen wir sicher, auch eine 10 Jahre alte Sicherung sauber wiederherstellen können.

 

Den Performanceeinbruch bei Bitlocker kann ich nicht nachvollziehen. Unsere kompletten Clients plus Server an externen Standorten (Besenkammer :)) sind mittels Bitlocker verschlüsselt. Wir verwenden allerdings MBAM als Enterprise Lösung.

 

bearbeitet von speer
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...