⚕️ 💝 ✊ ロシア連邦の機密情報を保護しながらバックアップと暗号化 🍇 👩‍👩‍👦‍👦 🥂

この記事の目的は、暗号化されたフォルダーを正しくバックアップして、その中のファイルが暗号化されたままになるようにする方法を示すことです。

はじめに

典型的な企業があると想像してください（図1）。多くの同様の組織と同様に、私たちの組織は、よく知られている1C：Enterpriseを使用しています。このデータベースは、図に示すサーバーに格納されています。

図 1.架空の企業のスキーム

1C：Enterpriseデータベースには処理された機密情報が含まれているため、不正アクセスから保護する必要があります。これを行うために、1Cデータベースを暗号化することにしました。

暗号化後、サーバー上の1Cデータベースファイルは暗号化された状態で保存されます。暗号化は、 CyberSafe Top Secretプログラムを使用して実行されます。データが存在する場合、それらをバックアップする必要があることは明らかです。しかし、私たちが持っているデータは単純ではなく、暗号化されます。

この記事の残りの部分で説明します。

1Cデータベースを使用してネットワークフォルダーの透過的な暗号化を整理する方法。
バックアップで暗号化されたままになるように、Acronis Backup＆Recoveryツールを使用して暗号化されたデータをバックアップする方法。
EFSを使用して問題を解決できないのはなぜですか。

法の手紙

使用するソフトウェアバンドル（CyberSafe Top SecretおよびAcronis Backup＆Recoveryプログラム）が選ばれた理由は次のとおりです。機密情報（個人データを含む）の保護に関する法律の要件を実施します。個人データの保護に興味があった場合、次の2つの主な規制法に精通している可能性があります。

2012年11月1日のロシア連邦政府の法令N 1119「個人データ情報システムでの処理中の個人データの保護要件の承認について」。
2013年2月18日付けのロシアのFSTECの命令N 21。

処理済みデータの定期的な予約、および不正アクセスに対する保護に関する法的要件を順守しました。

バックアップは、2012年7月16日付けのFSTEC証明書番号2677を持つAcronis Backup＆Recovery 11 Advanced Serverソフトウェアパッケージを使用して実行されます。

不正アクセスに対する保護は、CyberSafe Top Secretプログラムを使用して実装されます。CyberSafeTop Secretプログラムは、認定暗号プロバイダーCryptoPro CSPおよびデータ暗号化用GOSTアルゴリズムの使用とともに、認定ツールと見なされます。

ちなみに、TrueCryptのファンが何と言っても、認証された暗号化ツールではないため、個人データを保護するために使用することはできません。彼女にはFSTEC証明書がなく、決してありません。 EFSに関しては、FSTEC証明書を持つ特別なバージョンのWindowsでのみ認証されていると見なされます。

TrueCryptの範囲を超えると、このプログラムだけでなく、暗号化ディスクを使用する他のプログラムも問題の解決に適さなくなります。このプログラムが認定されている場合でも。以前、暗号ディスクの脆弱性について書きましたが、暗号ディスクを使用してタスクを解決する場合は、認証されていないオペレーティングシステム（ネットワーク認証）で暗号ディスクを保護する必要があります（または、Windowsの認証バージョンをお持ちですか？）。さらに、ネットワーク上の暗号ディスクからのデータは、暗号化されていない形式で送信されます。クライアントと暗号ディスクが「共有」されているサーバー間で送信されるデータを暗号化するには、VPNを構成する必要があります（もちろん、認定ソリューションを使用する必要があります）。したがって、暗号化ディスクの使用に基づくスキームは、この記事で説明したものよりも桁違いに費用がかかります。

ネットワークフォルダーの透過的な暗号化の構成

わかりやすくするために、1Cデータベースを格納するサーバーに簡単かつ明確に名前を付けます：SERVER。論理ドライブH：には1Cフォルダー（H：\ 1C）があり、1Cデータベースが格納されています。フォルダーは共有され、ネットワークパスは次のようになります：\\ SERVER \ 1C。このフォルダを暗号化する必要があります。

CyberSafeは、暗号化されたフォルダーを操作する必要があるすべてのコンピューター、つまり管理者のコンピューターと1Cを使用するすべてのユーザーのコンピューターにインストールする必要があります。

CyberSafe Top Secretプログラムを実行し、[ 透過的な暗号化 ]セクションに移動して、[ 追加 ]ボタンをクリックします。 フォルダーを作成し、ネットワークフォルダーを追加します（図2）。

図 2. CyberSafe Top Secretプログラム

[ 適用 ]ボタンをクリックします。 透過暗号化ウィンドウが表示されます。一度に複数のフォルダを暗号化する場合は、全員に対して[ はい ]または[ はい ]ボタンをクリックする必要があります。次に、フォルダーにアクセスするユーザー証明書を選択する必要があります（ プライベートキーセクションで独自の証明書を作成し、 すべてのキーセクションで他のユーザーのキーをインポートできます）。通常、管理者とバックアップオペレーターの証明書を選択する必要があります。図図3は、証明書選択ウィンドウを示しています。このプログラムは実際の企業で使用されているため、ユーザーのメールアドレスは隠されています。

図 3.証明書の選択

[ 適用 ]ボタンをクリックすると、管理者キーを追加する提案が表示されます。[ はい ]をクリックします。すべて、フォルダは保護されています。

ご注意 空のフォルダーまたはファイルのあるフォルダーをCyberSafe Top Secretプログラムに追加できます。違いはありません。空のフォルダを暗号化し、後でファイルを追加できます。

暗号化されたフォルダーを操作する

暗号化されたフォルダにアクセスできるようにするには、CyberSafe Top Secretプログラムを起動し、フォルダを選択して[ 有効にする ]ボタンをクリックする必要があります。次に、パスワード入力ウィンドウが表示されます。証明書のパスワードを入力する必要があります（もちろん、フォルダーの暗号化時に指定された場合）。フォルダーの操作が終了したら、 [オフにする ]ボタンをクリックして、フォルダーをオフにする必要があります。

誰かが暗号化されたネットワークフォルダーにあるファイルを別のコンピューター（または暗号化されたフォルダー自体が保存されているコンピューター）から開こうとすると、これらのファイルが暗号化されていることがわかります。

バックアップツールのセットアップ

したがって、フォルダは暗号化されます。 1C：Enterpriseプログラムは、わずかなパフォーマンスの低下を除いて、通常のフォルダーのように機能します。サーバーにインストールされているAcronis Backup＆Recoveryは、バックアップツールとして使用されます。

バックアップ中にアクロニスがファイルストリームを保存するため、このプログラムは偶然選択されませんでした。ファイルストリームには、1Cデータベースを含むフォルダーが暗号化されたキーに関する情報が保存されます。さらに、Acronisを使用する場合、1Cプロセスを完了する必要もありません。これは他のバックアップツールで必要です。

アクロニスのセットアップ自体は簡単です-コピーする対象（図4）とコピー先（図5）を指定する必要があります。

図 4.コピーするもの

図 5.コピー先

バックアップの実行場所に注意してください。バックアップはD-Link NASに保存されます。

Acronisではなく別のバックアップツールを使用している場合は、ファイルストリームの保存をサポートしていることを確認してください。一部のアーカイバ（バックアップソフトウェアを使用せず、手動でバックアップを作成する場合）でもファイルストリームをサポートしています。たとえば、WinRARでは、[ 詳細設定 ]タブ（図6）でアーカイブを作成するときに、[ ファイルストリームの保存]スイッチを有効にする必要があります。

図 6.アーカイブの作成

その後、暗号化されたフォルダーを含むアーカイブは、別のコンピューターまたは別のハードドライブで解凍できます。必要に応じて、そのようなアーカイブを宛先に転送できます。復号化の場合、フォルダを暗号化するときに受信者証明書を指定する必要があります。

EFSを使用できないのはなぜですか？

なぜタンバリンを使用し、CyberSafe Top Secretプログラムを使用するこれらすべてのダンスが必要なのですか？結局、EFSを使用してサーバー上のフォルダーH：\ 1Cを暗号化でき、データベースも暗号化されます。

そして今、最も重要なこと：すべてが正しいことです。データベースでフォルダを透過的に暗号化すると、データベースは暗号化されますが、バックアップコピーは暗号化されません。実際、EFSを使用する場合、Acronisを含むサーバー上のすべてのプログラムは、EFSを使用して暗号化されたすべてのファイルを復号化されたとおりに表示します。 CyberSafeを使用する場合、Acronisを含む他のプログラムは、最初に暗号化されたデータベースファイルを参照します。これは非常に重要です。バックアップが間違った人の手に渡った場合にどうなるかを言う必要はないと思います。バックアップコピーのファイルは暗号化されないため、誰でも読むことができます。

ソリューションの他の機能

したがって、CyberSafeを使用すると、バックアップツールが最初に暗号化されたファイルを「見る」ことを既に知っています。これがソリューションの主な機能です。ただし、他の人に注意を払うことはできません。

データは、サーバーではなくクライアントで暗号化および復号化されます -EFSとは異なり、既に述べたように、暗号化および復号化プロセスはサーバーでは行われません。したがって、攻撃者がサーバーにアクセスした場合、暗号化ソフトウェアもキー自体もありません。はい、CyberSafe Top Secretはサーバーにインストールされていません。暗号化されたフォルダーを操作する必要があるユーザーのコンピューターでのみ必要です。
ネットワーク経由の送信中のデータ暗号化 -悲しいかな、EFS はネットワーク経由のデータ暗号化をサポートしていません。これは、1Cデータベースサーバーとクライアント間のデータが復号化された形式で送信されることを意味します。透過的な暗号化を使用する場合、CyberSafeの暗号化と復号化はクライアント、つまり1Cで作業しているユーザーのコンピューターで行われます。したがって、ネットワークを介して、データは暗号化された形式で送信されます。
アクセス制御 -すべてのユーザーが透過的なネットワークフォルダーで作業できるわけではありませんが、フォルダーの暗号化時に証明書が指定されているもののみが追加レベルのデータ保護です。はい、アクセス制御もシステムレベルで実行されます-アクセス権を設定することにより、証明書を使用することでデータ保護の信頼性がさらに高まります。
バックアップはネットワークストレージで実行されます - ネットワークストレージ上のフォルダーを暗号化することはできません（NTFSサポートがないため、ネットワークストレージ上のハードディスクはext3としてフォーマットされます）が、Acronisツールを使用して暗号化されたフォルダーをバックアップできます。
インクリメンタルコピーの可能性 -TrueCryptファンは異議を唱え、仮想暗号化ディスクのコンテナを作成し、それを「共有」し、1Cデータベースをその中に保存することができます（ただし、このソリューションの欠点はすでに説明済みです）、Acronisは毎日同じようにコピーします仮想ハードディスクファイル。このようなファイルは数ギガバイトを簡単に占有する可能性があり、フォルダー内で数キロバイトのサイズのファイルが1つだけ変更されたとしても、毎日完全にコピーする必要があります。このようなソリューションを使用することは可能ですが、システムの負荷とディスク領域の使用率の両方の点で、合理性の問題はありません。このソリューションの場合、増分バックアップを実行できます。つまり、新しいファイルと変更されたファイルのみをコピーします。フォルダー全体を毎日コピーする必要はありません。増分ソリューションは、ディスク容量を節約し、ネットワークストレージを使用するため、ネットワークを含むシステム全体の負荷を軽減します。

ロシア連邦の機密情報を保護しながらバックアップと暗号化