Hoe rouleren we backup-encryptie-sleutels zonder oude backups onleesbaar te maken?
Sleutel-rotatie is best-practice maar slecht gedaan vernietig je backups. De truc is: nieuwe backups onder nieuwe key, oude backups blijven leesbaar onder oude key, en je bewaart beide tot retentie verloopt.
Probeer dit eerst zelf
- 1Inventariseer waar je encryptie-keys staan: backup-tool zelf, KMS (AWS, Azure, GCP), HashiCorp Vault, of een password-manager. Documenteer per repo welke key.
- 2Plan rotatie-frequentie passend bij risico. Jaarlijks is gangbaar, halfjaarlijks bij regulated, sneller alleen na vermoede compromittering.
- 3Genereer een nieuwe key, configureer de backup-tool om vanaf nu daarmee te encrypten. De meeste tools (Veeam, Acronis, Restic, Duplicacy) ondersteunen meerdere keys parallel.
- 4Behoud de oude key tot de laatste backup met die key voorbij retentie is. Pas dan kun je 'm veilig vernietigen, niet eerder.
- 5Bewaar oude en nieuwe key in gescheiden opslag, met versie-tag en toepassingsdatum. Een sleutel kwijt is je backup kwijt.
- 6Test na rotatie een restore vanuit een backup met de oude en met de nieuwe key. Pas als beide werken is rotatie klaar.
Wanneer ons inschakelen
Bij regulated environments (PCI-DSS, HIPAA-equivalent) heeft key-rotatie strikte logging-eisen en eventueel HSM-gebruik. Vraag een security-engineer mee, dit is geen DIY-werk.
Zie ook
- We hebben backups maar weten niet of ze werkenEen backup die niet teruggezet kan worden is geen backup. Periodiek testen is even belangrijk als nemen.
- Vermoeden van ransomware - wat NU doen?De eerste 30 minuten zijn cruciaal. Eén verkeerde reactie en je verspreidt de schade. Lees voor je iets uitvoert.
- Iemand heeft per ongeluk een belangrijke map verwijderdIn de meeste gevallen prima recoverable. De truc is: niets nieuws op die schijf opslaan tot je weet hoe.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.