Come già accaduto lo scorso anno (con i vari annunci riguardanti Veeam Backup & Replication 7), Veeam sta mano mano snocciolando le novità della nuova versione 8, la cui suite sarà chiamata Veeam Availability Suite.
Uno degli ultimi annunci, riguarda le funzionalità di cifratura end-to-end che saranno incluse in Veeam Backup & Replication v8. In reatà la cifratura non è nuova nei prodotti Veeam : era già presente nell’edizione Veeam Backup & Replication Cloud, ma era solo usata per cifrare i dati verso target di tipo cloud provider.
Nella versione 8 sarà possibile:
- Protettegere i dati alla sorgente (durante le operazioni di backup)
- Proteggere i dati nei target, ma permetterne una de-cifratura trasparente (ad esempio per le operazioni di replica o quick migration)
- Proteggere i dati “in-flight” (ad esempio quando vengono trasferiti tra componenti Veeam)
- Proteggere i dati nelle operazioni di “vaulting”, come i Backup Copy o sul tape (in questo caso usando hardware e software encryption)
La funzionalità di cifratura non è solo un livello di paranoia (o di sicurezza) in più, può diventare essenziale in taluni ambienti (e magari essere richiesto da requisiti di compliance). Può rappresentare però un possibile problema di disponibilità dei dati , con il rischio di non riuscire più ad accedervi, oltre che un possibile problema di carico/ritardo nelle operazioni di backup e restore dovuto alle maggiori operazioni da fare. Veeam cerca di risolvere entrambi i problemi.
Nella versione 8, l’algoritmo di cifratura usato è l’algoritmo simmetrico AES a 256-bit. La scelta è dovuta ad una serie di motivazioni: sia perchè è uno standard, ma soprattutto perché è ottimizzato in hardware in molti processori moderni, permettendone quindi l’ottimizzane e la riduzione dei tempi nelle varie operazioni.
Ovviamente l’impatto sul backup proxy, ed in particolare sulla sua CPU, rimane evidente durante le operazioni di cifratura, ma bisogna comunque ricordare che i proxy sono scalabili. Al momento invece non mi ancora chiaro quale sia l’impatto sui target, soprattutto in operazioni come i restore istantanei o le repliche, ma ipotizzo che vi saranno ottimizzazioni simili anche a livello di repository.
Da notare che la chiave di cifratura (e decifratura, visto che parliamo in un algorimo simmetrico) è memorizzata due volte nel backup file. Una copia è protetta tramite cifratura con la passord che l’utente ha scelto per proteggere il backup. La seconda copia è cifrata con la chiave privata del Veeam Enterprise Manager. Questo permette ad alcune componenti di decifrare i dati per accederne in modalità raw (si pensi ad esempio al WAN accelerator), oppure di poter eseguire il recovery dei dati anche nel caso che l’utente dimentichi la propria password.
Per maggiori informazioni vedere il post di Rick Vanover (in inglese): Encryption coming to Veeam Availability Suite v8!