你的Linux服务器果真得到保护了吗?
考虑IT安全时,可能会疏忽的一个方面是企业服务器的物理安全。人们常认为,由于服务器在数据中心锁起来,又由于数据在持续使用,因此不需要加密服务器驱动器,因为数据永远不处于静止状态。
不过,这种想法带来了一大潜在问题。最终,所有驱动器都需要维修或处置,势必离开数据中心。对它们进行加密是保护其数据免受无意或有意泄露的最佳方法。除此之外,鉴于似乎没完没了的泄密事件见诸报章,加上需要遵守GDPR、HIPAA和所有50个州的法规,明智的建议是随时随地加密所有内容。
如果你有Linux服务器,可能以为自己受到了保护,因为Linux内置加密技术已有数年。但事实上可能并非如此。原因何在?
以下是Linux内置的磁盘加密功能:
dm-crypt
dm-crypt是Linux内核中一种透明的磁盘加密子系统。它是一种基于块设备的抽象机制,可以嵌入到其他块设备(如磁盘)上。因此,它是用于全盘加密(FDE)的理想技术。实际的加密技术并不内置于dm-crypt中,而是它充分利用来自内核的Crypto API的加密例程(比如AES)。
LUKS
LUKS(Linux统一密钥方案)是一种磁盘加密规范,详细表明了用于各种工具(比如标准加密头)的与平台无关的标准磁盘格式,为实施密码管理机制提供了基础。LUKS在Linux上运行,是基于cryptsetup的增强版,它使用dm-crypt作为磁盘加密后端。
dm-crypt和LUKS共同为一款简单的“独立”密码验证FDE应用软件构筑了基础。然而这不是企业级解决方案。
问题是,Linux原生FDE在数据保护方面留下了空隙,包括:
- 没有集中式密码、密钥管理和加密服务器的备份。
- 困难的根卷加密为错误留有余地。
- 没有简单的方法来加密擦除中招的驱动器。
- 对加密设备缺乏统一的合规视图,以证明所有服务器的加密状态。
缺少Linux服务器内置的管理和合规功能,导致企业难以做好加密和数据保护工作。
那么,使用Linux服务器的企业如何才能最好地解决这个问题?它们应该寻求含有以下功能特性的解决方案:
加密与密钥管理相分离
想获得最大效果,加密产品应分为两个组件:加密和密钥管理,因为提供这两个组件的专长大不一样。为了获得额外的保护,请考虑建立在dm-crypt上的解决方案而不是更换dm-crypt,以便更好地管理加密。
强大的验证
由于如今身份和访问控制备受关注,拥有一种可以提供更强大的服务器验证机制,确保数据免受危害的加密解决方案,这很重要。基于网络的预启动验证可以提供此功能,在操作系统引导之前加强安全。
确保根和数据卷加密以及加密擦除中招驱动器的简单方法
根卷加密、数据卷加密和加密交换分区都是安全和合规所需要的。寻找能够以简单方式做到这点的解决方案。此外,解决方案应该有一种简单的机制,可在驱动器中招或另作他用时加密擦除所有数据。出于合规原因,还必须记录此操作。
加密设备、密钥以及恢复信息的集中式合规视图和管理
有了这种类型的可见性,你可以查看贵企业中的Linux服务器是否已加密、并符合加密政策。服务器会将其加密状态(针对所有磁盘)传达给中央控制台。因此,如果某台服务器丢失,IT部门将为审计员提供其加密状态的证明。此外,从中央控制台对加密的Linux服务器执行总体的密码恢复、操作和管理至关重要。控制台还应该能提供集中备份加密密钥和恢复信息的功能。