ストレージキー

バックアップチェーン内のバックアップファイルに変換が必要となる場合があります。たとえば、チェーンで最も古い増分バックアップファイルが使用されなくなり、そのデータをフルバックアップファイルに含める必要が生じた場合に、変換が必要です。Veeam Agent for Microsoft Windowsでは、フルバックアップファイルを変換するときに、いくつかのリストアポイントからフルバックアップファイルにデータブロックを書き込みます。その結果、フルバックアップファイルには、異なるジョブセッション内で異なるセッションキーを使って暗号化されたデータブロックが含まれます。

そのような「複合型」のバックアップファイルからデータをリストアするために、Veeam Agent for Microsoft Windows では多数のセッションキーが必要になります。たとえば、バックアップ・チェーンにリストア・ポイントが2か月間格納される場合、Veeam Agent for Microsoft Windowsではセッション・キーを2か月間保持する必要があります。

このような状況では、セッションキーの保管や使用はリソースを消費する煩雑な作業になります。暗号化プロセスを容易にするために、Veeam Agent for Microsoft Windowsでは、別の種類のサービスキーである「ストレージキー」が使用されます。

ストレージキーについては、Veeam Agent for Microsoft Windowsでは、キー長256ビットのAESアルゴリズムがCBCモードで使用されています。ストレージキーは、バックアップチェーン内の1つのリストアポイントと直接関連付けられます。暗号化階層内の以下のキーの暗号化に使用されます。

• 1つのリストアポイントに含まれるすべてのデータブロックのすべてのセッションキー
• バックアップメタデータを暗号化するメタキー

リストアプロセスの間に、1つのリストアポイントのすべてのセッションキーが、Veeam Agent for Microsoft Windows によって1つのストレージキーで復号されます。これは、このリストアポイント内のデータブロックの暗号化にいくつのセッションキーが使用されたかに関わりません。その結果、Veeam Agent for Microsoft Windowsでは、<%VAL%>データベース内にセッションキーの履歴を保持する必要がなくなり、代わりに、1つのファイルからデータをリストアするのに必要なものは1つのストレージキーだけになります。

暗号化プロセスにおいて、ストレージキーは、1つ上位層のキー、つまりユーザーキーで暗号化されます。ストレージキーの暗号文は、暗号化されたデータブロックの次に生成されたファイルに格納されます。セッションキーおよびメタキーの暗号文も同様です。

また、ストレージキーはVeeam Agent for Microsoft Windows データベースにも保持されます。有効なストレージキーのセットをデータベースに保持するために、Veeam Agent for Microsoft Windows では、ジョブに対して指定されている保持ポリシー設定が使用されます。リストアポイントが保持によってバックアップチェーンから削除されると、このリストアポイントに対応するストレージキーもVeeam Agent for Microsoft Windowsデータベースから削除されます。