Come crittografare i dati sul server?

Naviga le tue risposte
11

Ho alcuni dati sul server (con Linux in esecuzione) che deve essere crittografato (politica aziendale). Questi dati vengono offerti da un'applicazione in esecuzione su questa macchina. Ora considero alcune possibilità:

1) Cripta solo la partizione su cui risiedono i dati (dal sistema operativo).
2) Cifra solo i dati in questione (alcuni software di terze parti) ma non l'intera partizione.
3) Cripta tutto.

Quale opzione consiglieresti? La cosa che mi preoccupa di più è la performance in quanto questi dati sono pesantemente utilizzati. Attualmente non abbiamo la possibilità di utilizzare dischi SAN criptati. Quanto sopra sembra essere l'unica opzione. Potresti dirmi quale opzione è la migliore e quali software / strumenti consiglieresti per implementarla?

    
posta Janek 07.05.2013 - 10:39
fonte

2 risposte

22

Ci sono un certo numero di difese che puoi usare per prevenire e recuperare dal furto.

La prima cosa da considerare è la crittografia a disco intero, ad es. LUKS , TrueCrypt , o PGP . Ciò impedirà a un utente malintenzionato di leggere i dati sul disco, anche se rubano l'hardware. Dovrai inserire la password all'avvio, quindi, per l'hardware remoto non presidiato ciò potrebbe essere problematico a meno che tu non abbia accesso a gestione luci spente (ad es. HP iLO o Dell DRAC).

Oltre a questo, dovresti assicurarti che esistano molti altri meccanismi:

  • strong sicurezza fisica nel tuo data center (ad es. serrature, dati biometrici, CCTV, allarmi)
  • Le procedure di sicurezza dovrebbero essere implementate nel data center. Tutte le persone che entrano dovrebbero essere costrette ad accedere e tutti gli accessi / modifiche all'hardware devono essere registrati e firmati per
  • I server rack sono dotati di dispositivi appropriati per i server con lucchetto in posizione. Se disponibile, questa funzione dovrebbe essere utilizzata. Seleziona un lucchetto robusto che sia resistente a croppers e shivs di bulloni.
  • Password di amministrazione del BIOS impostata, per impedire la modifica dell'ordine di avvio.
  • Imposta password di avvio del BIOS, se possibile (potrebbe richiedere la presenza fisica all'avvio)
  • Le credenziali dell'applicazione possono essere archiviate in un HSM dedicato dedicato per impedire il recupero dei dati in caso di furto.
  • La resina epossidica può essere utilizzata per disabilitare le porte fisiche, per impedire che dispositivi non autorizzati vengano inseriti nel sistema.
  • Gli ID degli asset devono essere impostati correttamente nel BIOS o nella console di gestione del server e devono essere registrati in un registro delle risorse.
  • Inchiostro UV deve essere utilizzato per contrassegnare tutti i dispositivi. È possibile acquistare penne di sicurezza UV molto a buon mercato, e sono molto utili per l'identificazione della proprietà in caso di furto. Spesso vale la pena contrassegnare i singoli dischi rigidi e lo chassis del server.
  • Meccanismi anti-manomissione , ad es. nastro di sicurezza, può essere utilizzato per garantire che l'hardware non sia stato manomesso. Un modo semplice e veloce per utilizzarlo è di registrare il server e firmare il nastro con un pennarello. Se il server viene aperto in seguito, il sigillo sarà rotto. Il nuovo nastro applicato sopra non porterà la stessa firma.
risposta data 07.05.2013 - 12:07
fonte
7

Seguendo il tuo modello di minaccia che è il furto del server, sceglierei di andare con la crittografia completa del disco sotto forma di LUKS o simili.

Tuttavia, per quel modello di minaccia, la crittografia non dovrebbe essere il tuo obiettivo. Invece, assicurati che il tuo data center abbia una sicurezza fisica appropriata sotto forma di controllo degli accessi, sorveglianza e simili.

    
risposta data 07.05.2013 - 11:14
fonte

Leggi altre domande sui tag

Tecniche per l'evasione di Anti Virus iPhone Tracking debacle - rischi e contromisure