Crittografia nativa dei dati di backup con IBM BRMS (5770BRX): protezione software avanzata per IBM i

Articolo

23/06/2025  /  Gianfranco Napolano

Nell'era digitale, i dati sono uno degli asset più preziosi per qualsiasi organizzazione.

La loro perdita o, peggio, il loro furto, possono avere conseguenze devastanti: danni economici, perdita di reputazione, sanzioni legali e violazione della fiducia dei clienti. 

I backup su nastro, pur essendo una componente fondamentale delle strategie di disaster recovery, rappresentano un potenziale anello debole se non adeguatamente protetti. Una cassetta persa, rubata durante il trasporto o smaltita in modo improprio può cadere nelle mani sbagliate, esponendo dati sensibili.

La crittografia dei dati di backup su nastro non è quindi un optional, ma una necessità imprescindibile per mitigare questi rischi, garantire la conformità normativa (es. GDPR) e proteggere l'integrità del business.
In questo articolo, alla citazione del prodotto programma 5770BRX, faccio riferimento sia al 5770BR1 che al 5770BR2, la nuova versione del BRMS alla quale dedicherò un prossimo articolo.

IBM BRMS e la sfida della sicurezza dei backup

IBM Backup, Recovery, and Media Services for i (BRMS), prodotto con licenza 5770BRX, è la soluzione strategica di IBM per la gestione centralizzata e automatizzata delle operazioni di backup e ripristino su piattaforme IBM i.

Oltre alle sue robuste funzionalità di pianificazione, gestione dei supporti e automazione del recovery, BRMS offre una capacità cruciale spesso sottovalutata: la crittografia nativa dei dati di backup.

Mentre molte soluzioni di crittografia per i backup si affidano a dispositivi hardware dedicati (come unità nastro con capacità di crittografia LTO o appliance esterne), BRMS si distingue per la sua capacità di eseguire la crittografia direttamente a livello software, utilizzando gli algoritmi di cifratura nativi del sistema operativo IBM i.

Crittografia nativa via software: il vantaggio unico di BRMS 

La caratteristica distintiva di BRMS nel contesto della crittografia dei dati di backup risiede nella sua implementazione puramente software, che sfrutta le API (Application Programming Interfaces) crittografiche integrate nel sistema operativo IBM i.

Questo approccio offre diversi vantaggi:

  • Indipendenza dall'Hardware
    Non è necessario acquistare specifiche unità nastro con funzionalità di crittografia hardware. BRMS può crittografare i dati su qualsiasi unità nastro supportata da IBM i, offrendo maggiore flessibilità e potenziali risparmi sui costi dell'infrastruttura.

  • Integrazione Profonda
    Essendo una soluzione IBM nativa, la crittografia è profondamente integrata con il sistema operativo e con le logiche di BRMS. La gestione delle chiavi di crittografia avviene tramite un keystore file (*SWF - Software Keystore File) sicuro, gestito all'interno dell'ambiente IBM i.

  • Utilizzo di Algoritmi Standard e Robusti
    BRMS supporta algoritmi di crittografia standard di settore, come AES (Advanced Encryption Standard) con chiavi a 128, 192 o 256 bit. Questi algoritmi sono ampiamente riconosciuti per la loro robustezza e affidabilità.

  • Controllo Granulare
    La crittografia può essere abilitata a livello di control group BRMS, permettendo di decidere selettivamente quali dati necessitano di protezione crittografica.
È fondamentale sottolineare che, mentre altre soluzioni possono gestire la crittografia hardware offerta dalle unità nastro, BRMS è l'unico prodotto che implementa la crittografia dei dati di backup interamente via software, sfruttando gli algoritmi di cifratura nativi di IBM i.
Questo significa che il processo di cifratura avviene sulla CPU del sistema IBM i prima che i dati vengano scritti sul nastro.

Configurazione della crittografia in BRMS

Per abilitare la crittografia software in BRMS, è necessario:

  1.  Avere installato il prodotto 5770SS1 Opzione 47 "IBM i LPP Encrypted Backup Enablement".

  2.  Creare un Keystore File (*SWF) utilizzando il comando CRTCKMKSF (Create Cryptographic Key Management Keystore File) o utilizzare quello predefinito fornito da BRMS (es. QUSRBRM/Q1AKEYFILE).

  3.  Generare o importare le chiavi di crittografia nel keystore.

  4.  Associare il keystore e la chiave desiderata al control group BRMS che si intende crittografare. Questa associazione si effettua nelle proprietà del control group, specificando il nome del keystore e l'etichetta della chiave.

    5. Una volta configurato, BRMS utilizzerà la chiave specificata per crittografare tutti i dati salvati tramite quel control group.
    Durante un'operazione di ripristino, BRMS richiederà automaticamente la stessa chiave (o la passphrase del keystore) per decrittografare i dati.

Algoritmi di cifratura supportati

BRMS, attraverso le capacità native di IBM i, supporta principalmente l'algoritmo AES (Advanced Encryption Standard).

Questo standard è disponibile con diverse lunghezze di chiave:

o AES 128-bit
Offre un buon bilanciamento tra sicurezza e prestazioni.

o AES 192-bit
Maggiore sicurezza rispetto a AES 128-bit.


o AES 256-bit
Il livello di sicurezza più elevato, raccomandato per dati altamente sensibili.

La scelta dell'algoritmo e della lunghezza della chiave dipenderà dai requisiti di sicurezza specifici e dalla tolleranza all'impatto prestazionale.

Impatto della crittografia sulle risorse di sistema e sui tempi di backup

L'implementazione della crittografia software, sebbene offra notevoli vantaggi in termini di sicurezza e flessibilità, non è priva di impatti sulle prestazioni del sistema. 

È cruciale comprendere e pianificare questi effetti:

Utilizzo della CPU:

La crittografia è un processo computazionalmente intensivo. L'esecuzione degli algoritmi di cifratura (come AES) per ogni blocco di dati da salvare impegna significativamente la CPU del sistema IBM i. L'incremento dell'utilizzo della CPU sarà direttamente proporzionale alla quantità di dati da crittografare e alla complessità dell'algoritmo scelto (es. AES 256-bit è più oneroso di AES 128-bit). Sui sistemi più datati o con CPU già molto sollecitate, questo carico aggiuntivo potrebbe diventare un fattore limitante. I processori POWER più recenti includono acceleratori crittografici hardware che possono mitigare parzialmente questo impatto.

Utilizzo della Main Storage (RAM) :

L'impatto sulla Main Storage (RAM) è generalmente meno pronunciato rispetto a quello sulla CPU. Tuttavia, buffer aggiuntivi potrebbero essere necessari per gestire i dati durante il processo di crittografia e scrittura su nastro. Questo è raramente un collo di bottiglia su sistemi IBM i moderni e correttamente dimensionati.

Estensione dei Tempi di Backup:

L'effetto più evidente per gli amministratori di sistema sarà l'estensione della finestra di backup. Poiché la CPU deve dedicare cicli alla crittografia, il throughput complessivo del processo di salvataggio può diminuire.
L'entità di questo estensione dipende da molteplici fattori:

o Potenza della CPU
Sistemi con CPU più potenti e moderne gestiranno meglio il carico.

o Velocità delle unità nastro
Se l'unità nastro è lenta, la crittografia potrebbe non essere il collo di bottiglia principale. Se l'unità è molto veloce, la CPU potrebbe non riuscire a "tenere il passo" con la crittografia, rallentando l'intero processo.

o Quantità e tipo di dati
Più dati da crittografare significano più lavoro per la CPU. Dati altamente comprimibili, se compressi prima della crittografia (opzione standard), riducono la quantità di dati su cui operare la cifratura.

o Forza dell'algoritmo
AES-256 richiederà più tempo di AES-128.


È fondamentale eseguire test approfonditi in un ambiente di pre-produzione per quantificare l'impatto specifico della crittografia sui propri sistemi e sulle proprie finestre di backup, prima di implementarla in produzione. Potrebbe essere necessario rivedere la pianificazione dei backup o considerare l'aggiornamento dell'hardware se i tempi si allungano in modo inaccettabile.

Considerazioni sulla gestione delle chiavi

La sicurezza di un sistema crittografico dipende interamente dalla sicurezza delle chiavi. Se le chiavi di crittografia vengono perse o compromesse, i dati crittografati potrebbero diventare irrecuperabili o accessibili a terzi non autorizzati.

Con BRMS e la crittografia software IBM i:

  • Il keystore file (*SWF) deve essere protetto con una passphrase robusta.

  • È assolutamente critico eseguire backup regolari del keystore file e conservarli in un luogo sicuro, separato dai nastri di backup crittografati. La perdita del keystore file senza un backup valido implica l'impossibilità di ripristinare i dati crittografati.

  • Controllare attentamente le autorizzazioni di accesso al keystore file e ai comandi di gestione delle chiavi.

Conclusioni

La funzionalità di crittografia nativa software offerta da IBM BRMS (5770BRX) rappresenta una soluzione potente e flessibile per proteggere i dati di backup su piattaforma IBM i.
Distinguendosi dalle soluzioni puramente hardware, BRMS sfrutta gli algoritmi di cifratura integrati nel sistema operativo, garantendo un'elevata integrazione e indipendenza da specifiche periferiche. 

Sebbene l'implementazione della crittografia comporti un inevitabile impatto sulle risorse di sistema (principalmente CPU) e sui tempi di backup, i benefici in termini di sicurezza dei dati, conformità normativa e mitigazione dei rischi sono spesso preponderanti.

Una corretta pianificazione, test approfonditi e una gestione rigorosa delle chiavi di crittografia sono essenziali per implementare con successo questa fondamentale misura di protezione.

Desideri approfondire questo argomento?

RICHIEDI UN APPUNTAMENTO CON UN NOSTRO CONSULENTE