FAQ - Verschlüsselung in Commvault

Commvault bietet ein eigenständiges Key Management System (KMS) an, hierbei werden die Keys durch einen Zufallsgenerator konfiguriert. Die Schlüssel werden anschließend verschlüsselt in der CommServe Datenbank abgelegt.

Zusätzlich besteht die Möglichkeit auf das KMS eines Drittanbieters zurückzugreifen (third-party KMS). Dabei werden grundsätzlich Implementationen unterstützt, die das Key Management Interoperability Protocol (KMIP) nutzen oder spezifische Key Management Implementationen von Amazon Web Services oder Microsoft Azure.

Der Master Key entschlüsselt den Key Encryption Key (KEK).

Beim Passphrase Key Management werden die Master Keys auf mind. zwei Systemen abgelegt und ermöglichen beim Sichern oder im Falle eines Restores die Entschlüsselung der Daten. Der Master Key ermöglicht hierbei die interne Verschlüsselung Richtung Datenbank, wodurch der zufällig generierte Key zusätzlich gesichert wird, bevor er in der Datenbank abgelegt wird. Der Ablageort der Key Files ist definierbar, hierbei müssen mindestens zwei in der Commvault Umgebung existierende Systeme als Voraussetzung zur Sicherung angegeben werden.

• Supportanfragen erfolgen über das IT-ServiceDesk per E-Mail an servicedesk@itc.rwth-aachen.de, Telefon (+49 241 8024680) oder Chat via IT Center Help.
• Folgende Informationen müssen in meiner Anfrage enthalten sein:
  • Job-ID
  • Betriebssystem
  • FQDN/ Client Name
  • Ansprechperson
  • Gruppe/Context-ID und Institut
  • Rolle

• Bei der Backup-Umstellung geht es nicht um die Migration von Daten, sondern darum, dass neue Backup-Clients migriert werden.
• Konkret wird hier das entsprechende Software-Paket installiert und anschließend der Client in Commvault registriert.
• Über die Zuordnung des Serverplans wird anschließend das initiale Vollbackup automatisch durchgeführt.

• Voraussetzung für die Nutzung des Service Backup und Restore im Commvault Backup System ist die dezentrale Rolle Backup Admin bzw. DaSi Local Admin. (s. Erste Schritte mit Commvault)
• Die Administration von Berechtigungen innerhalb von Commvault erfolgt durch das IT Center bzw. dem jeweiligen Dienstleisterzentrum. 

• Die Auflistung der Rechte können Sie im Commvault Command Center unter https://console1.dasi.rwth-aachen.de/ einsehen. 
• Klicken Sie dort auf 'Manage', dann auf 'Security', weiter auf 'Roles' und unter 'Permissions' sehen Sie dann die Liste aller Berechtigungen. 

• Die Daten werden durchgängig im Gesamtsystem verschlüsselt, also über die gesamte Lebensdauer.
• Es wird keine Clientverschlüsselung geben, MGMT sorgt über das Server Schlüsselmanagement für Sicherheit.

• Grundsätzlich sind alle Personen mit der Rolle DaSi Local Admin, die zu einer Gruppe (Org ID) gehören, berechtigt Clients dieser entsprechenden Gruppe zu administrieren. (Bei der Rolle Administration Backup bzw. DaSi Local Admin handelt es sich um eine Rolle, die zentral vergeben wird)

• Große Bandbreite: WIN aktuelle Varianten, MacOS, Linux-Derivate, sehr viele UNIX-Systeme, einige Integrationen für Speicher Appliances, uvm.

• Die jeweils monatlichen Backups (Full backups) werden sechs Monate lang aufbewahrt. 

• Es wird keine Linux-Repos im klassischen Sinne geben, aber eine Verbesserung zu TSM.
• Das HTTP-Repo Download wird nur zur initialen Installation notwendig sein.

• Eine vorherige Datenverschlüsselung ist zwar nicht vorgesehen, aber möglich. Wir arbeiten aktuell an den Prozessen.

• Die Umstellung des TSM Backups auf „Read Only“ erfolgt am 17.01.2023, d.h. ab dem Zeitpunkt werden keine Backups mehr über TSM entgegen genommen. Bis dahin bitten wir alle Backup-Nutzenden ihre Systeme umzustellen. 
• Das TSM System steht danach noch für einen gewissen Zeitraum für einen Restore zur Verfügung. 

• Grundsätzlich erfolgt die Aktualisierung der Software auf den Clients über die CommServe. 

• Adminkonsole (https://console1.dasi.rwth-aachen.de/adminconsole/#/fsServers):

Die Adminkonsole erreichen Sie normalerweise, wenn Sie sich zum ersten Mal einloggen. Sollte dies einmal nicht der Fall sein, können Sie diese ebenfalls über die Adresszeile unter console1.dasi.rwth-aachen.de aufrufen. Wenn Sie sich auf der Adminkonsole befinden, steht unten links im Menü ein Link zur Webkonsole. 

• Webkonsole (https://console1.dasi.rwth-aachen.de/webconsole/applications/):

Die Webkonsole erreichen Sie, indem Sie sich auf der Adminkonsole anmelden und dann dem Link zur Webkonsole folgen (unten links im Menü). Bei einer automatischen Abmeldung werden Sie ebenfalls auf die Webkonsole geleitet.

Vom Client aus müssen die Ports 8400 und 8403 geöffnet sein. 

Über diese Ports baut Commvault eine VPN-Verbindung auf.