システムのバックアップと暗号化

システムのバックアップ先にクラウド上の安価なオブジェクトストレージを利用したいということがあります。オブジェクトストレージは大容量のファイルを長期に保存することに向いているので、バックアップ用途としては最適です。しかし、バックアップデータというのは重要な情報を含んでいることが多く、安全を確認せずに保存するわけにはいきません。

バックアップを暗号化するときに、オブジェクトストレージ側に暗号化機能があることがありますが、透過型暗号化では通常のAPI接続で中身が閲覧できてしまいます。しかも、暗号鍵がクラウド事業者の管理下にあり、強固な暗号化とは言えません。では、このような場合、どうすればいいのでしょうか?

オブジェクトストレージにバックアップデータを保存するのであれば、データを独自に暗号化した状態で保存すべきです。つまりクラウド側の暗号化機能を利用せず、ローカルで暗号化したデータを直接保存します。このようにすれば、たとえオブジェクトストレージのAPIを直接操作されたとしても問題は起こらないでしょう。

オブジェクトストレージに送信するバックアップを事前に暗号化するのは、Linux暗号化ソリューション「Server-GENERAL」では特別な操作は必要ありません。管理者が暗号化されたデータのみをオブジェクトストレージに送ることができます。この方法でバックアップするとオブジェクトストレージ側には暗号化された状態のファイルのみが送られるので、API経由で中を閲覧しても解読することはできません。これで安心してオブジェクトストレージを利用できますね。