La sécurité des données est un élément important de la stratégie de sauvegarde. Il est primordial de protéger les informations contre tout accès non autorisé, en particulier s’il est sauvegardé des données sensibles de VM sur des sites distants ou dans le cas d’archivage sur bandes. Le chiffrement des données permet d’assurer leur sécurité.
Le chiffrement des données transforme les données en un format illisible à l'aide d'un algorithme cryptographique et d'une clé secrète. Si des données chiffrées sont interceptées, elles ne peuvent pas être déverrouillées et lues. Seuls les destinataires en possession de la clé secrète peuvent déchiffrer l'information.
Dans Veeam Backup & Replication, le chiffrement peut s'activer sur les sauvegardes et médias suivants :
Backup
Transaction log backup
Backup Copy
VeeamZIP
Tapes in media pools
Veeam Backup & Replication utilise un algorithme de chiffrement par blocs. Le chiffrement fonctionne du côté source. Veeam Backup & Replication lit les données des VM ou des fichiers, encode les blocs de données, les transfère vers la cible dans le format chiffré et stocke les données dans un Repository de sauvegarde ou archive sur bande. Le déchiffrement des données est également effectué du côté source : Veeam Backup & Replication transfère les données chiffrées vers la source et les déchiffre à cet endroit.
En plus du chiffrement au niveau des job, Veeam Backup & Replication permet de chiffrer le trafic réseau entre le site principal et le site de secours. Le chiffrement du trafic réseau est une configuration globale définie au niveau des composants de l'infrastructure de sauvegarde.
Pour le chiffrement du trafic réseau, Veeam Backup & Replication utilise l'Advanced Encryption Standard (AES) 256 bits.
Si la compression et le chiffrement des données sont activés pour un job, Veeam Backup & Replication compresse d'abord les données des VM, puis encode les blocs de données compressés. Les deux opérations sont effectuées du côté source.
Veeam Backup & Replication utilise les algorithmes de chiffrement de données suivants, conformes aux normes de l'industrie :
Pour chiffrer les blocs de données dans les fichiers de sauvegarde et les fichiers archivés sur bande, Veeam Backup & Replication utilise l'AES 256 bits avec une longueur de clé de 256 bits en mode CBC.
Pour générer une clé basée sur un mot de passe, Veeam Backup & Replication utilise la Password-Based Key Derivation Function, PKCS #5 version 2.0. Veeam Backup & Replication utilise 10 000 itérations HMAC-SHA1 et un salt 512 bits.
Pour générer les clés Enterprise Manager nécessaires à la restauration des données sans mot de passe, Veeam Backup & Replication utilise l'algorithme RSA avec une longueur de clé de 4096 bits.
Pour générer une demande de restauration de données à partir d'un serveur de sauvegarde, Veeam Backup & Replication utilise l'algorithme RSA avec une longueur de clé de 2048 bits.
Veeam Backup & Replication utilise les algorithmes de hashing suivants :
Pour la génération de signatures numériques : SHA-256
Pour la vérification des empreintes SSH : HA-256
Pour la génération de HMAC : SHA-1
Pour des raisons de compatibilités et génération d'empreinte de certificat: SHA-1
Pour la génération de nombres aléatoires : OpenSSL, les bibliothèques cryptographiques fournies par le système d'exploitation
Pour les Repository basés sur Microsoft Windows et le chiffrement logiciel des bandes, Veeam Backup & Replication utilise l'API Windows Crypto conforme aux normes FIPS 140 (Federal Information Processing Standards).
Veeam Backup & Replication utilise les fournisseurs de services cryptographiques suivants :
Microsoft Base Cryptographic Provider.
Microsoft Enhanced RSA and AES Cryptographic Provider.
Microsoft Enhanced Cryptographic Provider.
Pour les Repository basés sur Linux, Veeam Backup & Replication utilise une librairie de chiffrement OpenSSL liée statiquement, sans le support FIPS 140.
Veeam Backup & Replication chiffre les informations d'identification stockées en utilisant les mécanismes de l'API de protection des données (DPAPI).
Veeam intègre les serveurs de gestion des clés (KMS). Cette fonctionnalité permet d'éliminer le besoin de sauvegarder manuellement la gestion du cycle de vie des clés de chiffrement en l'intégrant au serveur KMS dédié.
Veeam porte les avantages de l'utilisation de KMS à un niveau supérieur en s'appuyant sur des clés de chiffrement asymétriques, rendant impossible à l'attaquant de déchiffrer les sauvegardes.
Cette fonctionnalité permet également de faire face à l'exfiltration des sauvegardes lors d'une cyberattaque, aux sauvegardes perdues pendant le transport, etc. en leur permettant de "détruire" à distance toutes les sauvegardes en supprimant la clé de chiffrement privée du serveur KMS et en rendant ainsi les sauvegardes complètement irrécupérables.
L'intégration est basée sur la spécification KMIP (Key Management Interoperability Protocol) version 1.4.
Les dernières versions des solutions suivantes ont été validées comme supportées par l'Assurance Qualité de Veeam (QA) dans le cadre des tests d'acceptation des fonctionnalités :
Fortanix Data Security Manager,
IBM Security Guardium Key Lifecycle Manager
et Thales CipherTrust Manager.
Cette fonctionnalité n'est disponible que dans les éditions Advanced et Premium de Veeam Data Platform.
Par défaut, Veeam Backup et Replication chiffre le trafic réseau transféré entre les réseaux publics.
Veeam offre la possibilité de créer des règles de trafic réseau permettant également de chiffrer les connexions de transfert de données de sauvegarde entre Veeam Data Movers dans des réseaux privés. Le chiffrement du trafic réseau est assuré par la connexion TLS 1.2 et 1.3.