Buenas, este post viene en relación de una consulta de un cliente para cumplimiento de la LOPD, donde le preguntaban si los Backups que sacaba fuera de la empresa están con algún tipo de encriptación en caso de perdida del dispositivo donde se almacenaban dichas copias. Así que por petición me puse a investigar un poco.
Hace un tiempo en este POST explicaba como habilitar la Encriptación en un Backup con loss protection disable, en otras palabras, si perdías el password, no lo recuperabas de ninguna manera. Por esta razón hay que habilitar encryption password loss protection desde Veeam Backup Enterprise Manager.
En que ocasiones utilizaremos Cifrado end to end:
- Backups Jobs
- Backup Copy Jobs
- VeeamZip
- Tape in media pools
Os dejo una descripción sacada de la pagina de Veeam de como funciona el cifrado end to end.
¿Cómo funciona?
- Cada archivo de backup de Veeam se cifra por una clave de encriptación generada aleatoriamente.
- Cada backup cifrado de backup tiene dos contraseñas. Una contraseña del job de backup creada por el administrador y una clave pública generada automáticamente en segundo plano por Veeam Enterprise Manager que se distribuye a todos los servidores de backup.
- Si alguien olvida la contraseña del trabajo de backup, o si el administrador abandona la empresa, mediante la utilización de Enterprise Manager se podrá conseguir acceso a sus datos sin afectar a la seguridad del backup.
Veeam usa el cifrado AES 256-bit, donde tendrás la capacidad de proteger sus datos:
- Durante un backup, antes de que abandone la red de la empresa.
- Durante la transferencia entre componentes (p.e. tráfico del proxy al repositorio).
- Mientras sus datos están almacenados en su destino final (p.e. en disco, cinta o en la nube), lo que resulta idóneo para enviar backups cifrados off site usando los jobs de Backup Copy con la Aceleración integrada WAN.
También tiene flexibilidad total para elegir cuándo y dónde cifrar los backups. Por ejemplo, puede dejar backups Veeam locales sin cifrar para conseguir un backup más rápido y mejor rendimiento de restauración, pero cifrar los backups que copia a un destino off-site, en cinta, Disco duro Externo o en la nube. También puede proteger otras tareas de Backup con distinta contraseñas, mientras que las claves de cifrado reales se generan aleatoriamente dentro de cada sesión para conseguir una seguridad de cifrado adicional.
Para configurar una key, primero tendremos que instalar el Veeam Backup Enterprise manager y acceder a configuration — key Management. Por defecto ya nos viene creada una Key, pero yo personalmente prefiero crearme una personalizada. Le damos a Generate.
Al generar la Key nos pedirá una descripción, si vamos a generar varias conviene pornersela.
Una vez creada, la activamos, de esta manera podremos eliminar la que viene por defecto y que no queremos para nada. Si no activamos la que hemos creado, no podremos eliminar la que viene por defecto.
Es muy importante hacer un Backup o Exportar la Key a un sitio seguro para poder importarla cuando nos haga falta, ya sea por una reinstalación o instalación desde Cero del Servidor de Veeam.
Al exportar nos generará un fichero .pem. Guardar este fichero por si os hace falta en un futuro
Ejemplo de la key.pem.
Para agregar el password vamos al menú y Manage Passwords.
Add — y escribimos el password.
Una vez creado el password vamos a la tarea que vamos a encriptar y marcamos el check de Enable Backup File Encryption.
Si la tarea ya estaba hecha, se aplicará en el siguiente Full Backup, si queremos podemos forzar la tarea para que haga una Full y así no esperar al momento en el que este programado.
Una vez hecho el Full Backup, si intentamos abrir el backup, nos pedirá la contraseña.
Si no nos acordamos del password nos dirá invalid password.
Para recuperarlo, pinchamos en I have lost the password.
Nos aparecerá un asistente donde nos dará un mensaje.
Lo copiamos al portapapeles.
Y desde el Enterprise Manager — Key Management — Password Recovery, pegamos desde el portapapeles y next.
Si todo esta correcto nos dirá que se ha verificado correctamente, next.
En el siguiente paso del asistente nos dará un respuesta que copiaremos.
Y la pegaremos en el asistente que teníamos abierto de la consola de Veeam Backup.
Si todo esta correcto nos dirá que la Key de encriptación se ha recuperado correctamente.
Una vez hecho esto, ya podremos abrir sin problemas nuestros backups encriptados.
Si por alguna razón hemos perdido o borrado la Key que teníamos y no nos acordamos del password, al intentar recuperarlo nos dará un error.
Si nos ocurriese esto tendríamos que importar el certificado (.pem) exportado anteriormente.
Saludos y espero que os sirva.