La crittografia End to End è possibile per tutti i server sull'intera infrastruttura?

2

Correndo in una possibile situazione in cui un cliente con cui lavoro sta richiedendo che tutti i dati che lasciano i server siano crittografati e qui, stiamo parlando di centinaia di server Linux che si estendono su tutti i data center e include anche offerte cloud pubbliche e private .

Capisco che i tunnel basati su IPSec avrebbero potuto funzionare se avessimo parlato di una manciata di server, ma qui, non sono riuscito a trovare una soluzione facile da scalare e distribuire, qualcosa che non garantisce modifiche alle applicazioni.

Ho esaminato tcpcrypt e ho cercato il web alla ricerca di offerte proprietarie (basate su TLS) se si adattavano il caso d'uso - ha esaminato CipherCloud, Safenet e CertesNetworks ma dubito che qualcuna delle offerte soddisfi i requisiti. Molte offerte parlano di crittografia basata su gateway ma che lascia i dati sulla rete locale non crittografati.

Esiste una soluzione che si adatta alla perfezione al compito? (o sto cercando di mordere più di quanto possa masticare?)

    
posta Prasoon 10.03.2015 - 06:14
fonte

1 risposta

0

Ricorda che la crittografia "end-to-end" non significa necessariamente che ogni singolo link debba essere crittografato.

es. La richiesta di pagamento viene crittografata nel browser client utilizzando la chiave pubblica app-3. La chiave privata corrispondente risiede in un HSM.

Browser client (payload crittografato) - > reverse proxy - > web - > app1 - > app2 - > APP3

Il payload è decrittografato in app3 usando HSM. Se questo è ciò che il cliente deve proteggere, puoi letteralmente lasciare tutto nel percorso in chiaro e i dati sono ancora al sicuro.

Quindi chiedi al tuo cliente dove sono i punti di uscita importanti dei dati in cui deve essere applicata la crittografia.

    
risposta data 10.03.2015 - 08:49
fonte

Leggi altre domande sui tag