Saya menjawab ini, dan saya membuatnya menjadi wiki komunitas, karena saya menyalin dan menempel dari dokumen yang ada.
Sebagai catatan, saya menggunakan Amanda Enterprise sebagai solusi cadangan saya, dan saya tidak menggunakan enkripsi rekaman yang disediakannya, karena alasan yang Anda sebutkan.
Saya sedang meneliti enkripsi pita, dan saya menemukan kertas putih besar dari HP berbicara tentang enkripsi LTO-4 , dan termasuk banyak kemungkinan untuk manajemen kunci. Berikut ini ikhtisar dasar dari opsi yang tersedia yang disajikan:
• Enkripsi mode asli (kadang-kadang disebut set dan lupa). Metode ini mengontrol enkripsi LTO4 dari dalam perpustakaan tape drive. Ada satu kunci yang diatur melalui antarmuka manajemen perpustakaan (Web GUO atau Panel Kontrol Operator). Metode ini mengenkripsi semua kaset dengan kunci yang sama, dengan sisi negatifnya berdampak pada tingkat keamanan.
• Enkripsi berbasis perangkat lunak mengenkripsi data sebelum meninggalkan server dan kunci disimpan dalam basis data internal atau katalog aplikasi. Metode enkripsi ini menempatkan beban tinggi pada server karena perangkat lunak melakukan banyak operasi matematika menggunakan kekuatan pemrosesan host. Beberapa aplikasi termasuk HP Open View Storage Data Protector 6.0 menawarkan enkripsi sebagai fitur. Meskipun keamanan tanggal yang dienkripsi dengan cara ini sangat tinggi (karena data dienkripsi dalam perjalanan), karena data yang dienkripsi sangat acak, maka menjadi mustahil untuk mencapai kompresi data apa pun di hilir dalam drive tape dan oleh karena itu penyimpanan tidak efisien.
• Kunci dikelola oleh aplikasi ISV, juga dikenal sebagai manajemen kunci in-band. Perangkat lunak ISV memasok kunci dan mengelolanya, dan Ultrium LTO4 Tape Drive kemudian melakukan enkripsi. Kunci akan dirujuk oleh data terkait kunci dan disimpan dalam basis data internal aplikasi. (Silakan merujuk ke vendor aplikasi cadangan ISV individual Anda untuk dukungan fungsi ini).
• Alat enkripsi in-band memotong tautan Fibre Channel dan mengenkripsi data dalam penerbangan. Produk-produk ini tersedia dari beberapa vendor seperti Neoscale dan Decru. Manajemen kunci berasal dari alat manajemen kunci yang diperkeras. Metode ini tidak tergantung pada perangkat lunak ISV dan mendukung legacy tape drive dan perpustakaan. Kompresi data harus dilakukan oleh perangkat ini karena kompresi dalam drive tape tidak dimungkinkan setelah enkripsi.
• Sakelar fabric SAN dengan kemampuan enkripsi mirip dengan alat in-band, tetapi perangkat keras enkripsi tertanam di sakelar.
• Alat Manajemen Kunci bekerja dengan perpustakaan kelas perusahaan seperti perpustakaan HP StorageWorks EML dan ESL E-series. Ini dikenal sebagai manajemen kunci out-of-band, karena kunci dipasok ke tape drive oleh alat manajemen kunci. Gambar 8 menunjukkan komponen dasar alat manajemen kunci. Aplikasi cadangan tidak memiliki pengetahuan tentang kemampuan enkripsi tape drive. Kunci-kunci tersebut dipasok ke pengontrol perpustakaan tape melalui koneksi jaringan menggunakan Secure Sockets Layer (SSL), yang baru-baru ini dinamai Transport Layer Security (TLS). Ini adalah koneksi terenkripsi yang diperlukan untuk melindungi keamanan kunci dalam perjalanan dari alat. Untuk mengatur keamanan, sertifikat digital dipasang ke perangkat keras manajemen perpustakaan. Ini menetapkan koneksi aman yang diperlukan. Pengaturan SSL / TLS menggunakan enkripsi kunci publik, tetapi kemudian setelah jabat tangan selesai, kunci rahasia dilewati untuk mengenkripsi tautan. Ketika kaset dipulihkan, data terkait kunci, (diambil dari kaset), digunakan untuk referensi permintaan kunci yang benar untuk mendekripsi rekaman independen dari aplikasi cadangan.
Apa yang benar-benar kita lewatkan adalah, tentu saja, apa yang dilakukan orang di dunia nyata. Buku putih itu bagus, tapi itu tidak selalu mencerminkan kenyataan.
Juga, saya memposting pertanyaan ini di blog saya , jadi beberapa jawaban atau contoh mungkin muncul di sana juga.