Quanto è importante la crittografia del traffico che non lascia mai un data center?
Per me, sembra sia importante e (grazie a IPsec) facile da raggiungere. Tuttavia, sembra essere fatto raramente; Ad esempio, Google non lo fa.
Quanto è importante il traffico di crittografia all'interno di un data center e perché viene eseguito così raramente, anche quando l'infrastruttura necessaria è già presente?
La crittografia dei dati interni è importante quando ci sono più zone di fiducia nel centro dati.
Le zone di fiducia più comuni possono derivare dall'avere più aziende che condividono un data center. Avere una crittografia di rete garantisce che nel caso in cui i pacchetti diretti a una macchina finiscano per arrivare a quella sbagliata, si troveranno in una forma illeggibile per i tenant di zone di fiducia diverse.
Tuttavia, anche se una singola azienda possiede l'intero data center, di solito una grande azienda è composta da più reparti ed è spesso necessario che un'azienda consapevole della sicurezza imponga limiti interni. Ad esempio, i sistemi di contabilità possono essere separati dai sistemi HR, tranne che attraverso un numero di punti di scambio predefiniti che possono essere monitorati.
Un altro motivo comune per cui si desidera che la crittografia interna protegga dagli attacchi fisici, dall'intercettazione dei cavi tra le macchine. In un data center di grandi dimensioni, avrai cavi che vanno da molte direzioni diverse. Potresti non volere che il personale del servizio di pulizia abbia accesso ai rack dei server bloccati, ma potresti avere cavi che devono attraversare i rack. Quando un data center diventa sufficientemente complicato, può essere difficile tenere traccia di quale cavo deve andare dove e che deve essere crittografato, quindi avere una politica di crittografia globale può effettivamente ridurre il carico sul processo decisionale. In un altro scenario, potresti voler applicare una regola a due uomini in cui nessuno può avere accesso fisico a una macchina da solo. La crittografia del traffico locale può ridurre la quantità di zone che sarebbero considerate zone di due uomini.
Penso che dipenda dagli obiettivi di sicurezza della tua azienda e dalla valutazione del rischio. Sei felice di possedere il rischio? Nel peggiore dei casi in cui i tuoi dati vengano intercettati o rubati, quale sarà l'impatto sulla tua attività? Quanto sono importanti i tuoi dati?
Prendi in considerazione questi fattori durante la pianificazione.
Pensa al motivo per cui crittografiamo la rete (o quali sono le minacce all'indirizzo di crittografia?). La risposta è di evitare che qualcuno nel mezzo catturi / modifichi i dati. La crittografia garantisce anche se i pacchetti vengono catturati, non sono di alcuna utilità per l'utente malintenzionato.
Se ti fidi della tua rete di data center (zona fidata) e hai la certezza che nessuno annuserà nella tua rete di data center, potresti non aver bisogno di crittografare il traffico.
Il traffico lascia il tuo data center sta entrando nella zona non fidata, quindi lo stiamo crittografando con l'aiuto di IPSEC, ecc.
Leggi altre domande sui tag encryption data-leakage intranet