データ暗号化のしくみ

データ暗号化は、バックアップ、バックアップコピー、またはテープへのアーカイブプロセスの一部として実行されます。暗号化は、データがターゲット側に転送される前に、ソース側で実行されます。WANアクセラレータを介してバックアップコピージョブを実行する場合や、暗号化されたバックアップファイルの正常性確認を実行する場合を除き、暗号化キーはターゲット側に渡されません。

データ暗号化のしくみ 注:

以下の手順では、バックアップ、バックアップコピージョブ、およびVeeamZIPタスクの暗号化プロセスを説明しています。テープデータの暗号化の詳細については、「テープ暗号化」を参照してください。

暗号化プロセスの手順は次の通りです。

  1. 新しいジョブを作成するときに、そのジョブの暗号化オプションを有効にして、ジョブレベルでデータを保護するためのパスワードを入力します。
  2. 入力されたパスワードに基づいて、Veeam Backup & Replicationがユーザー・キーを生成します。
  3. 暗号化されたジョブが開始されると、Veeam Backup & Replicationがストレージ・キーを作成して、このキーを構成データベースに格納します。
  4. Veeam Backup & Replicationがセッション・キーとメタキーを作成します。メタキーは構成データベースに格納されます。
  5. Veeam Backup & Replicationがジョブ・データを次のように処理します。
  1. セッションキーがバックアップファイル内のデータブロックを暗号化します。メタキーがバックアップメタデータを暗号化します。
  2. ストレージキーがセッションキーとメタキーを暗号化します。
  3. ユーザーキーがストレージキーを暗号化します。
  4. Veeam Universal License(または、レガシーベースのライセンスの場合は、Enterprise以上のエディション)を使用しており、バックアップサーバーがVeeam Backup Enterprise Managerに接続されている場合、Enterprise Managerキーもストレージキーを暗号化します。
  1. 暗号化されたデータブロックがターゲットに渡されます。Enterprise Managerパブリックキー(使用する場合)、ユーザーキー、ストレージキー、セッションキー、およびメタキーの暗号文が、暗号化されたデータブロックと共に実行結果としてファイルに保存されます。

Veeam Backup & ReplicationのEnterprise EditionまたはEnterprise Plus Editionを使用しており、バックアップサーバーがVeeam Backup Enterprise Managerに接続されている場合、Veeam Backup & Replicationは、生成されたファイルにストレージキーの2つの暗号文、つまりユーザーキーで暗号化された暗号文(c)とEnterprise Managerキーで暗号化された暗号文(d)を保存します。暗号文が2回保存されるため、パスワードを紛失した場合や忘れた場合でも、Veeam Backup & Replicationによってファイルを復号化できます。詳細については、「パスワードを使用しない復号化のしくみ」を参照してください。

データ暗号化のしくみ