Qual è il valore della crittografia della partizione dati per i file di database su un server di database Postgres?

2

Stiamo per implementare un'applicazione web basata su Postgres e sto cercando di capire il valore della crittografia dell'intero database. Nel caso di Postgres, l'unico modo per farlo è archiviare i file di database su una partizione crittografata, come documentato qui link .

Per quanto posso dire, questo è utile solo se qualcuno ottiene una sospensione del nostro hard disk mentre il server non è in esecuzione. Anche allora, dal momento che dobbiamo avere una password per montare quella partizione, non è così importante perché presumibilmente la password deve essere sull'host da qualche parte, o essere inserita manualmente dopo ogni avvio.

C'è una specie di vettore di attacco aggiuntivo che mi manca e che difende da questo? O è la nozione di crittografare un database come questo principalmente teatro di sicurezza?

    
posta AndrewSwerlick 16.03.2015 - 15:01
fonte

1 risposta

1

Prima di tutto, ci sono modi per montare le partizioni crittografate senza dover inserire manualmente la passphrase o memorizzarla sul sistema che si sta proteggendo. Guarda Mandos per un esempio di questo; è fondamentalmente un'applicazione client / server che memorizza la chiave per sbloccare il contenitore crittografato separato dal contenitore stesso. Un hacker avrebbe perlomeno bisogno di accedere al contenuto di entrambi i sistemi per poter aggirare la sicurezza. Un'alternativa a questo potrebbe essere qualcosa come il YubiHSM o anche solo una soluzione low-tech di alcune chiavette USB collegate a i portachiavi dei dipendenti fidati. Questo rende il tuo problema di dover inserire la passphrase all'avvio o di memorizzarlo sul sistema stesso in gran parte moot.

In secondo luogo, la crittografia a disco intero (o anche solo a tutta la partizione) consente una distruzione dei dati efficiente e ragionevolmente affidabile: con qualsiasi crittografia competente a metà strada, se si eliminano le chiavi, i dati diventano inaccessibili. Questo può essere importante se si sta eseguendo la decompressione di un disco rigido che non risponderà normalmente ai comandi host. Significa anche che non devi preoccuparti affatto del riposizionamento dei settori a livello di unità in termini di data rimanenza dei dati (e può probabilmente respingere interamente tale questione).

Detto questo, ovviamente, mentre il sistema sta eseguendo il file system crittografato deve essere completamente accessibile, quindi ci sono molti vettori di attacco che la crittografia a disco intero non protegge affatto. Tuttavia, aggiunge un ulteriore livello di difficoltà per chi vuole attaccare i dati a riposo, a un costo potenzialmente marginale per il difensore. Per molte situazioni, specialmente se riesci a gestire il problema della gestione delle chiavi, un tale compromesso può avere senso.

    
risposta data 16.03.2015 - 15:20
fonte

Leggi altre domande sui tag