专栏首页养码场你的服务器,真的还好吗?

你的服务器,真的还好吗?

人们常认为,由于服务器在数据中心锁起来,又由于数据在持续使用,因此不需要加密服务器驱动器,因为数据永远不处于静止状态。

不过,这种想法带来了一大潜在问题。最终,所有驱动器都需要维修或处置,势必离开数据中心。对它们进行加密是保护其数据免受无意或有意泄露的最佳方法。

除此之外,鉴于似乎没完没了的泄密事件见诸报章,加上需要遵守GDPR、HIPAA和所有50个州的法规,明智的建议是随时随地加密所有内容。

如果你有Linux服务器,可能以为自己受到了保护,因为Linux内置加密技术已有数年。

但事实上可能并非如此。为什么?

以下是Linux内置的磁盘加密功能

dm-crypt

dm-crypt是Linux内核中一种透明的磁盘加密子系统。

它是一种基于块设备的抽象机制,可以嵌入到其他块设备(如磁盘)上。因此,它是用于全盘加密(FDE)的理想技术。实际的加密技术并不内置于dm-crypt中,而是它充分利用来自内核的Crypto API的加密例程(比如AES)。

LUKS

LUKS(Linux统一密钥方案)是一种磁盘加密规范,详细表明了用于各种工具(比如标准加密头)的与平台无关的标准磁盘格式,为实施密码管理机制提供了基础。LUKS在Linux上运行,是基于cryptsetup的增强版,它使用dm-crypt作为磁盘加密后端。

dm-crypt和LUKS共同为一款简单的“独立”密码验证FDE应用软件构筑了基础。然而这不是企业级解决方案。

问题是,Linux原生FDE在数据保护方面留下了空隙,包括:

  • 没有集中式密码、密钥管理和加密服务器的备份。
  • 困难的根卷加密为错误留有余地。
  • 没有简单的方法来加密擦除中招的驱动器。
  • 对加密设备缺乏统一的合规视图,以证明所有服务器的加密状态。

缺少Linux服务器内置的管理和合规功能,导致企业难以做好加密和数据保护工作。

那么,使用Linux服务器的企业如何才能最好地解决这个问题?

寻求含有以下功能特性的解决方案

  • 加密与密钥管理相分离

想获得最大效果,加密产品应分为两个组件:加密和密钥管理,因为提供这两个组件的专长大不一样。为了获得额外的保护,请考虑建立在dm-crypt上的解决方案而不是更换dm-crypt,以便更好地管理加密。

  • 强大的验证

由于如今身份和访问控制备受关注,拥有一种可以提供更强大的服务器验证机制,确保数据免受危害的加密解决方案,这很重要。基于网络的预启动验证可以提供此功能,在操作系统引导之前加强安全。

  • 确保根和数据卷加密以及加密擦除中招驱动器的简单方法

根卷加密、数据卷加密和加密交换分区都是安全和合规所需要的。寻找能够以简单方式做到这点的解决方案。此外,解决方案应该有一种简单的机制,可在驱动器中招或另作他用时加密擦除所有数据。出于合规原因,还必须记录此操作。

  • 加密设备、密钥以及恢复信息的集中式合规视图和管理

有了这种类型的可见性,你可以查看企业中的Linux服务器是否已加密、并符合加密政策。服务器会将其加密状态(针对所有磁盘)传达给中央控制台。因此,如果某台服务器丢失,IT部门将为审计员提供其加密状态的证明。

此外,从中央控制台对加密的Linux服务器执行总体的密码恢复、操作和管理至关重要。控制台还应该能提供集中备份加密密钥和恢复信息的功能。

为服务器(包括Linux服务器)提供无缝集成的加密解决方案至关重要。有了上面列出的几类功能,万一发生数据泄露,企业完全有能力保护拥有的机密信息,并满足越来越多的合规法规的要求。

作者:Garry McCracken

原文标题:Are Your Linux Servers Really Protected?

本文转自51CTO.com

“养码场”

现有技术人80000+

覆盖JAVA/PHP/IOS/测试等领域

80%级别在P6及以上,含P9技术大咖30人

技术总监CTO 500余人

本文分享自微信公众号 - 养码场(yangmachang0)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-06-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 一周播报|520首个网上登记项目启动!本月待售楼盘汇总,送给想买房的你~

    5月16日,位于大江东宝龙广场的龙润城发布销售公示方案。此次预售公示中最大的亮点是登记地点分为线上、线下两部分。

    养码场
  • 74集《面向机器人学习的神经网络》教程视频!深度学习开山鼻祖Hinton带你系统学习!

    但他创立的门派——深度学习,却无人不知,点开本文的高傲的你,也许就是、或者即将成为,他的徒孙。

    养码场
  • 小米三星先后包围iPhone发布,50%买iPhone的程序员最终的选择是……

    按理说,每年的九月份都是科技圈最忙碌的时候:围着苹果转。因为照常苹果会在秋季新品发布会上发布新品iPhone手机,并顺势在月底的时候引发一波抢购热潮。而且一般在...

    养码场
  • 前端动态加盐慢加密方案图解

    密码破解:1、算法逆向破解(一般算法都是不可逆的);2、穷举暴力破解 3、查表,实际上表也是提前穷举跑出来的。

    IMWeb前端团队
  • SQL Server 数据加密功能解析

    通常来讲,数据加密分为对称加密和非对称加密。SQL Server 就使用了折中的方法,所以SQL Server 加密功能包含2个部分:数据加密和密钥管理。本文将...

    腾讯云数据库团队
  • 前端动态加盐慢加密方案图解

    加密:利用某种加密算法,将明文转换成无法简单识别的密文。 解密:利用相应的解密算法,将密文转换成可识别的明文。 密码破解:1、算法逆向破解(一般算法都是不可逆的...

    IMWeb前端团队
  • 音视频防爬技术

    小编团队多年的技术服务中沉淀了一些音视频加密的经验,对于在线教育平台的音视频加密提供一些知识了解和交流

    点量小崔
  • 从技术应用层来分析常见的视频加密方式

    网络通信的工作有七层:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在不同的层级上可以对数据进行加密,总的来说在根据加密技术应用的层级不同,加密的...

    点量小崔
  • 最好的文件夹加密软件有哪些?

    我所说的这些,VeraCrypt 全部具备,并且它还支持多平台( macOS、Windows 和 Linux)。

    wuweixiang
  • 加密通讯可以防止隐私窃取,为何我们都不用它?

    前言: 分享这篇文章的原因是这几天在上课的时候,密码学老师讲解的密码学把我吸引住了,说到什么加密解密,讲课逻辑性挺高的,我喜欢—>_<。 其实说到真正分享这篇文...

    FB客服

扫码关注云+社区

领取腾讯云代金券