人们通常认为,因为服务器被锁定在数据中心,并且因为数据被连续使用,所以不需要加密服务器驱动程序,因为数据永远不会处于静态状态。
在考虑IT安全性时可能忽略的一个方面是企业服务器的物理安全性。通常认为,由于服务器被锁定在数据中心并且因为数据被连续使用,所以不需要加密服务器驱动器,因为数据永远不会处于静态状态。
但是,这个想法带来了很大的潜在问题。最终,所有驱动器都需要维修或处理,并且必然会离开数据中心。加密它们是保护其数据免受无意或有意披露的最佳方式。此外,鉴于报纸看似无休止的泄漏以及遵守GDPR,HIPAA和所有50个州法规的必要性,在任何时间和地点加密所有内容都是明智之举。
如果您有Linux服务器,您可能会认为自己受到保护,因为Linux内置加密多年。但事实上可能并非如此。是什么原因?
以下是Linux的内置磁盘加密功能:
DM-隐窝
Dm-crypt是Linux内核中的透明磁盘加密子系统。它是一种基于块的抽象机制,可以嵌入到其他块设备(如磁盘)中。因此,它是全盘加密(FDE)的理想技术。实际的加密技术没有内置到dm-crypt中,但它利用了内核的Crypto API中的加密例程(例如AES)。
LUKS
LUKS(Linux统一密钥方案)是一种磁盘加密规范,详细说明了各种工具(如标准加密头)的独立于平台的标准磁盘格式,并为实现密码管理机制提供了基础。 LUKS在Linux上运行,是一个基于cryptsetup的增强版本,它使用dm-crypt作为磁盘加密后端。
Dm-crypt和LUKS共同构成了一个简单的“独立”密码验证FDE应用程序的基础。但是,这不是企业解决方案。
问题是Linux原生FDE在数据保护方面留下了空白,包括:
没有集中密码,密钥管理和加密服务器的备份。
困难的根卷加密留下了出错的空间。
没有简单的方法来加密橡皮擦中的驱动器。加密设备没有统一的合规性视图来证明所有服务器的加密状态。
Linux服务器内置的管理和合规性缺乏使企业难以进行加密和数据保护。
那么,使用Linux服务器的公司如何最好地解决这个问题呢?他们应该寻找包含以下功能的解决方案:
从密钥管理中分离加密
为了获得最大效果,加密产品应分为两个部分:加密和密钥管理,因为提供这两个组件的专业知识是完全不同的。为了获得额外保护,请考虑构建在dm-crypt上的解决方案,而不是替换dm-crypt以更好地管理加密。
强大的验证
由于身份和访问控制在今天越来越受到关注,因此拥有一种加密解决方案非常重要,该解决方案可提供更强大的服务器身份验证机制,以确保数据免受伤害。基于网络的预启动身份验证提供此功能,以在操作系统引导之前增强安全性。
一种确保根和数据卷加密和加密擦除驱动器的简便方法
根卷加密,数据卷加密和加密交换分区都是安全性和合规性所必需的。寻找能够以简单方式完成此任务的解决方案。此外,该解决方案应该有一个简单的机制来加密和擦除驱动器中的所有数据或其他。出于合规性原因,还必须记录此操作。
集中的合规性视图和加密设备,密钥和恢复信息的管理
通过这种类型的可见性,您可以查看企业中的Linux服务器是否已加密并符合加密策略。服务器将其加密状态(对于所有磁盘)传送到中央控制台。因此,如果服务器丢失,IT部门将向审核员提供其加密状态的证明。此外,从中央控制台执行加密Linux服务器的整体密码恢复,操作和管理至关重要。控制台还应提供集中备份加密密钥和恢复信息。
为服务器(包括Linux服务器)提供无缝集成的加密解决方案至关重要。通过上面列出的功能类型,如果发生数据泄露,公司完全有能力保护其拥有的机密信息并满足不断增长的合规性要求。