Abbiamo un'applicazione Web (in esecuzione su Apache Tomcat su un computer Windows Server 2008) che memorizza la maggior parte dei suoi dati nel file system. Stiamo studiando i modi per implementare la crittografia per questi dati a riposo. Per il nostro caso d'uso, c'è solo una singola cartella che vorremmo criptare in modo tale che possa essere letta / modificata solo dall'account utente del servizio tomcat. Quella singola cartella è attualmente di circa 20 GB e viene continuamente letta e scritta dall'applicazione.
Il nostro primo pensiero è stato l'utilizzo di Windows EFS, ma ciò si è rivelato problematico. Per ragioni che non siamo stati in grado di scoprire, alcune centinaia di migliaia di file che abbiamo provato a crittografare sono stati permanentemente corrotti. Sembrava che fossero ancora crittografati, ma il sistema operativo pensava che fossero solo file di testo normale ingarbugliati e non ci offriva la possibilità di decrittografarli. Dal momento che non siamo stati in grado di identificare la causa di ciò, ci sentiamo a disagio nel fare affidamento su EFS.
Le altre alternative che siamo stati in grado di identificare (finora VeraCrypt e Symantec File Encryption), tuttavia, presuppongono che ci sarà un utente fisico all'altra estremità della crittografia che sarà in grado di inserire una passphrase in sblocca i file. Questo non funzionerà per un account di servizio che non effettuerà l'accesso. La nostra applicazione perderebbe l'accesso ai file ogni volta che il server si riavvia.
Non riesco a immaginare che gli altri non abbiano avuto una situazione simile, ma stiamo riscontrando difficoltà nell'individuare alternative valide. Esistono soluzioni consigliate per questo tipo di casi d'uso?