Source:LTO Encryption/de: Difference between revisions

From SEPsesam
No edit summary
No edit summary
Line 103: Line 103:
{{Hinweis|Sie können den Namen des Geräts erhalten, indem Sie den Befehl ausführen: {{Pfad|<SESAM_BIN>/sesam/slu-topologie}} (z.B. <tt>Tape0</tt> unter Windows oder <tt>/dev/nst0</tt> unter Unix/Linux).}}
{{Hinweis|Sie können den Namen des Geräts erhalten, indem Sie den Befehl ausführen: {{Pfad|<SESAM_BIN>/sesam/slu-topologie}} (z.B. <tt>Tape0</tt> unter Windows oder <tt>/dev/nst0</tt> unter Unix/Linux).}}


'''Beispielausgabe unter Linux'''.<br />
'''''Beispielausgabe unter Linux'''''.<br />
  <nowiki>ID=0000 other:  ATA      ST380013AS </nowiki>
  <nowiki>ID=0000 other:  ATA      ST380013AS </nowiki>
  <nowiki>ID=1000 other:  TOSHIBA  ODD-DVD SD-M1802</nowiki>
  <nowiki>ID=1000 other:  TOSHIBA  ODD-DVD SD-M1802</nowiki>

Revision as of 14:14, 5 August 2020

Other languages:
Copyright © SEP AG 1999-2024. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 4.4.2/4.4.3 Beefalo V2. Frühere Versionen der Dokumentation finden Sie hier: Dokumentationsarchiv.


Übersicht

Bei LTO Generation 4 und höher besteht die Möglichkeit, Daten mit Hilfe der integrierten Hardwareverschlüsselung zu verwirklichen. SEP sesam bietet native Unterstützung für die Verwaltung der hardwarebasierten LTO-Verschlüsselung, indem es die LTO-Verschlüsselung von Bandlaufwerken auf Medienpool-Ebene ermöglicht.

Bei der LTO-Verschlüsselung werden die Daten vom Server über die SCSI-Schnittstelle zum Bandlaufwerk übertragen. Dann verschlüsselt und komprimiert das Bandlaufwerk die Daten, bevor es sie auf oder von Band schreibt (oder entschlüsselt, wenn es Daten liest).

Unterstützte Laufwerkstypen

Laufwerkstyp
LTO Generation
Unterstützt seit SEP sesam Version
LTO Ultrium 7 (M8), LTO Ultrium 8 (L8) LTO 8 Anmerkung 4.4.3.64 + SP 2019-1
* Dieser Laufwerkstyp unterstützt Verschlüsselung, ist aber noch nicht durch SEP sesam zertifiziert. LTO 7 4.4.3.42
* Dieser Laufwerkstyp unterstützt Verschlüsselung, ist aber noch nicht durch SEP sesam zertifiziert. LTO 6 4.4.3
HP Ultrium 5-SCSI X64D
(SCSI, Einzelbandlaufwerk)
LTO 5 4.4.2.53
Tandberg HH Z519
(SCSI, Einzelbandlaufwerk)
LTO 5 4.4.2.53
HP Ultrium 4-SCSI B63W
(Fibre Channel, Lader)
LTO 4 4.4.2.53
IBM Ultrium-HH4
(SCSI, Lader)
LTO 4 4.4.2.53
IBM Ultrium-TD4 BBH4
(Fibre Channel, Lader/Einzelbandlaufwerk)
LTO 4 4.4.2.53
Anmerkung

Die Hardware-Verschlüsselung für LTO 8 wird für SEP sesam V. 4.4.3.64 nicht unterstützt, jedoch ist es möglich, die LTO-Verschlüsselung zu verwenden, indem man das aktuelle Service Pack installiert, das die erforderliche slu Binärdatei enthält, verfügbar unter https://download.sep.de/servicepacks/4.4.3/4.4.3.64/ .

Einrichten der LTO-Verschlüsselung

Der LTO-Verschlüsselungsprozess besteht aus 4 Hauptschritten: Erstellen Sie eine Laufwerksgruppe und weisen Sie ihr ein oder mehrere, verschlüsselungsfähige Laufwerke (LTO-Generation 4 oder höher), zu. Legen Sie anschließend einen eigenen Medienpool an. Der letzte Schritt ist die Initialisierung des Mediums, und erst dann ist das LTO-Band bereit zur Verschlüsselung.

Erstellen einer neuen LTO Laufwerksgruppe (Generation 4 oder höher)

Normalerweise haben große automatischer Lader mehrere interne Laufwerke, die aus einem Magazin geladen werden. Alle Laufwerke müssen in einer Gruppe organisiert werden. Stellen Sie sicher, dass Sie eine neue Laufwerksgruppe für die LTO-Laufwerke der Generation 4 oder höher erstellen. Bitte beachten Sie, dass die Verschlüsselung nur verfügbar ist, wenn es keine älteren LTO-Laufwerke (z.B. Generation 3) in einer Gruppe gibt, jedoch kann eine Gruppe gemischte LTO-Bänder der Generation 4 und höher enthalten.

  1. Klicken Sie in der Auswahl -> Komponenten auf Laufwerke. Die Information der Laufwerke wird angezeigt.
  2. Klicken Sie auf Neue Gruppe, um eine neue Laufwerksgruppe für das LTO 4 (oder höher) zu erstellen und wählen Sie einen aussagekräftigen Namen dafür. Klicken Sie auf OK.

Erstellen eines Laufwerks für die neue LTO-Laufwerksgruppe (4 oder höher)

  1. Klicken Sie mit der rechten Maustaste auf die neu erstellte LTO-Laufwerksgruppe (4 oder höher) und klicken Sie auf Neues Laufwerk, um dieser Laufwerksgruppe ein Laufwerk zuzuweisen. SEP sesam folgt der automatischen Laufwerksnummerierung und vergibt die Laufwerksnummer automatisch.
  2. Geben Sie im Feld Bezeichnung einen aussagekräftigen Namen für das Laufwerk ein.
  3. Wählen Sie aus der Dropdown-Liste Laufwerkstyp die Option LTO.
  4. Wählen Sie aus der Dropdown-Liste Lader den entsprechenden Lader aus der Liste der konfigurierten Lader aus oder lassen Sie ihn bei einem Einzelbandlaufwerk leer.
  5. Wählen Sie aus der Dropdown-Liste Device Server den Client aus, mit dem Sie das Laufwerk verbinden möchten. Die Liste zeigt alle in SEP sesam konfigurierten Clients.
  6. Wählen Sie aus der Dropdown-Liste Laufwerksgruppe die neu erstellte LTO-Laufwerksgruppe aus.
    New LTO drive Beefalo V2 de.jpg
  7. Geben Sie im Feld Gerät (non-rewinding) den Namen des entsprechenden Gerätes ein. Nicht zurückspulen bedeutet, dass das Band nach der Sicherung nicht zurückgespult wird.
    SEP Tip.png Hinweis
    Sie können den Namen des Geräts erhalten, indem Sie den Befehl ausführen: Template:Pfad (z.B. Tape0 unter Windows oder /dev/nst0 unter Unix/Linux).

    Beispielausgabe unter Linux.

    ID=0000 other:   ATA      ST380013AS 
    ID=1000 other:   TOSHIBA  ODD-DVD SD-M1802
    ID=7040 Tape:    Quantum  DLT4000          D67E (/dev/nst0)
    ID=7050 Tape:    Quantum  DLT4000          D67E (/dev/nst1)
    ID=7060 Loader:  HP       C1194F           1.04 (/dev/sg4)
    STATUS=SUCCESS MSG="OK"
    
  8. Klicken Sie auf OK, um das neue Laufwerk zu erstellen. Sobald einer LTO-Laufwerksgruppe (4 oder höher) Laufwerke zugewiesen werden, ist es möglich die Verschlüsselung anzuschalten. Um zu überprüfen, ob Ihre LTO-Laufwerksgruppe verschlüsselungsfähig ist, doppelklicken Sie darauf oder klicken Sie mit der rechten Maustaste darauf und klicken Sie auf Eigenschaften. Wenn die LTO-Laufwerksgruppe korrekt konfiguriert ist, wird die Meldung "Diese Laufwerksgruppe kann verschlüsselt werden" angezeigt.
    Information sign.png Anmerkung
    Die Verschlüsselung für eine Laufwerksgruppe ist nur verfügbar, wenn keine älteren LTO-Laufwerke (z.B. Generation 3) in einer Gruppe vorhanden sind, jedoch kann eine Gruppe gemischte LTO-Bänder der Generation 4 und höher enthalten.

    Drive group encrypt enabled Beefalo V2 de.jpg

Information sign.png Anmerkung
Wenn das Laufwerk die Fähigkeit zur Verschlüsselung nicht anzeigt, stellen Sie sicher, dass die Anwendungsverschlüsselung auf dem Laufwerk aktiviert ist. Dies kann eine spezielle Lizenz erfordern. Alternativ kann die Aktivierung auch über die Laufwerks- oder Bibliotheksverwaltungsschnittstelle nötig sein. Stellen Sie außerdem sicher, dass die Verschlüsselungsfunktionalität Ihrer LTO-Generation bereits von SEP sesam unterstützt wird.

Erstellen eines Medienpools für die neue LTO-Laufwerksgruppe (4 oder höher)

After you have assigned one or more drives which are all encryption capable (LTO generation 4 or higher) to the drive group, you need to create a dedicated media pool and enable encryption.

In v. ≤ 4.4.3 Grolar, the Encryption tab where you can enable encryption is available when creating a new media pool. As of v. 4.4.3 Beefalo, you first have to create a new media pool and then enable encryption in the media pool properties.

  1. Klicken Sie in der Auswahl -> Komponenten auf Medienpools. Der Medienpools Dialog wird angezeigt.
  2. Klicken Sie auf Neuer Medienpool, um einen Medienpool für die Laufwerksgruppe LTO (4 oder höher) zu definieren. Das Fenster Neuer Medienpool wird angezeigt.
  3. Geben Sie im Feld Name einen aussagekräftigen Namen für den Medienpool ein.
  4. Wählen Sie aus der Dropdown-Liste Laufwerksgruppe den Namen Ihrer LTO-Laufwerksgruppe (4 oder höher). Sobald Sie die LTO-Laufwerksgruppe ausgewählt haben, wird ein neuer Reiter Verschlüsselung verfügbar. In v. ≤ 4.4.3 Grolar wird, sobald Sie die LTO-Laufwerksgruppe auswählen, ein Reiter Verschlüsselung verfügbar. Ab V. 4.4.3 Beefalo ist nach der Erstellung eines Medienpools in den Medienpool-Eigenschaften ein Reiter Verschlüsselung verfügbar.
  5. Legen Sie im Feld Aufbewahrungszeit den Zeitraum fest, für den die Medien nach der Initialisierung oder der letzten Sicherung gesperrt sind, damit die Sicherungssätze erhalten bleiben und für die Wiederherstellung zur Verfügung stehen. Die Verweildauer wird in Tagen definiert.
  6. To enable encryption, depending on your SEP sesam version, proceed as follows:
    • In v. > 4.4.3 Beefalo, click OK to create a media pool. Then double-click this media pool to open its properties. Switch to the Encryption tab and click Enable encryption.
    • In v. ≤ 4.4.3 Grolar, switch to the Encryption tab, and then click Enable encryption.
    Media pool encrypt enabled Beefalo V2 de.jpg
  7. Setzen Sie das Passwort für Ihre Bandverschlüsselung und geben Sie es erneut ein.
  8. SEP Warning.png Achtung
    • Stellen Sie sicher, dass Sie sich das Passwort merken, sonst können Sie die Verschlüsselungseigenschaften nicht mehr ändern oder auf Daten auf Band zugreifen, es sei denn, die Daten werden direkt von SEP sesam gelesen.Der Verschlüsselungsschlüssel wird in der SEP sesam Datenbank gespeichert und bei der Wiederherstellung automatisch gelesen. Aber wenn das Band vom Laufwerk entfernt wird, wird die Verschlüsselung gelöscht. Solche Bänder können weiterhin für Backups verwendet werden, aber auf die gespeicherten Daten kann nur von SEP sesam zugegriffen werden.
    • Wenn Sie das Kennwort ändern, wird das aktualisierte Kennwort erst nach der Initialisierung der Bänder wirksam. Bis dahin ist das alte Passwort noch gültig.
    • Das Passwort wird auch benötigt, um die Verschlüsselung zu deaktivieren.

Initialisierung von Medien eines LTO Einzelbandlaufwerkes

Um die LTO-Verschlüsselung zu aktivieren, müssen Sie die zum LTO-Medienpool gehörenden LTO-Bänder initialisieren. Erst nach der Initialisierung sind die LTO-Bänder zur Verschlüsselung bereit. Die LTO-Bänder, die vor dem Setzen der Verschlüsselung geladen wurden, werden nach Ablauf ihrer EOL verschlüsselt. Solange die EOL gültig ist, sind die LTO-Bänder nicht beschreibbar, daher werden die Daten verschlüsselt, nachdem sie EOL-frei geworden sind und neu initialisiert wurden.

Um Medien zu initialisieren, gehen Sie zu Aktivitäten -> Sofortstart -> Medienaktion. Wählen Sie Medienaktion init, wählen Sie den Medienpool und das zu initialisierende Medium. Klicken Sie auf OK, um die Initialisierung des Mediums zu starten. Weitere Informationen finden Sie unter Initialisieren von Medien.

So überprüfen Sie, ob die Verschlüsselung aktiviert ist

Es gibt zwei Möglichkeiten zu prüfen, ob die Verschlüsselung aktiviert ist. Sie können entweder jede einzelne Mediumeigenschaft prüfen oder das Tagesprotokoll nach verschlüsselungsrelevanten Nachrichten durchsuchen.

Medieneigenschaften prüfen

Suchen Sie in der Tabelle unter Auswahl -> Komponenten -> Medien nach der Spalte Verschlüsselt. Ja bedeutet, dass das Medium verschlüsselt ist, Nein bedeutet, dass es nicht verschlüsselt ist. Sie können auch auf ein Medium in der Tabelle doppelklicken, um den Eigenschaften Dialog zu öffnen. Das Feld Verschlüsselt gibt an, ob das Medium verschlüsselt ist oder nicht (Ja/Nein).

Media properties Beefalo V2 de.jpg

Tagesprotokoll prüfen

SEP sesam überprüft bei jeder Datensicherung, ob die Verschlüsselung aktiviert ist. Sie können dies bestätigen, indem Sie die Datei Tagesprotokoll überprüfen. Weitere Informationen finden Sie unter Protokolle.

  1. Klicken Sie in der Auswahl -> Protokolle auf Tagesprotokoll. Der Inhalt des Tagesprotokolls wird angezeigt.
  2. Geben Sie im Feld Suchen encrypt ein und drücken Sie Enter. Wenn die LTO-Verschlüsselung aktiviert ist, werden alle zugehörigen Meldungen angezeigt. Verwenden Sie die Schaltflächen Abwärts und Aufwärts, um durch alle Suchergebnisse zu blättern.
    Day log part Beefalo V2 de.jpg
Information sign.png Anmerkung
Ab 4.4.3 Beefalo V2 können Sie Ihre Systemprotokolle auch online überprüfen, indem Sie die neue Web UI verwenden (Systemprotokolle -> Tagesprotokoll). Details finden Sie unter SEP sesam Web UI.

Wenn die LTO-Verschlüsselung aktiviert ist, werden die Daten vor dem Start des Backups verschlüsselt. Beachten Sie, dass der Bandkopf niemals verschlüsselt wird, während die Daten selbst verschlüsselt werden, bevor sie auf das LTO-Band geschrieben werden.