你的Linux服务器果然获得维护了吗?

人们常觉得,因为服务器在数据信息管理中心锁起来,又因为数据信息在不断应用,因而不必须数据加密服务器驱动器器,由于数据信息始终不处在静止不动情况。

考虑到IT安全性时,将会会粗心大意的1个层面是公司服务器的物理学安全性。人们常觉得,因为服务器在数据信息管理中心锁起来,又因为数据信息在不断应用,因而不必须数据加密服务器驱动器器,由于数据信息始终不处在静止不动情况。

但是,这类念头带来了1大潜伏难题。最后,全部驱动器器都必须检修或处理,必然离去数据信息管理中心。对它们开展数据加密是维护其数据信息免受不经意或成心泄漏的最好方式。除此以外,鉴于好像没完没了的泄露恶性事件见诸报章,再加必须遵循GDPR、HIPAA和全部50个州的政策法规,明智的提议是随时随地数据加密全部內容。

假如你有Linux服务器,将会认为自身遭受了维护,由于Linux内嵌数据加密技术性已了解年。但客观事实上将会并不是这般。缘故在哪?

下列是Linux内嵌的硬盘数据加密作用:

dm-crypt

dm-crypt是Linux核心中1种全透明的硬盘数据加密子系统软件。它是1种根据块机器设备的抽象性体制,能够嵌入到别的块机器设备(如硬盘)上。因而,它是用于全盘数据加密(FDE)的理想化技术性。具体的数据加密技术性其实不内嵌于dm-crypt中,而是它充足运用来自核心的Crypto API的数据加密例程(例如AES)。

LUKS

LUKS(Linux统1密匙计划方案)是1种硬盘数据加密标准,详尽说明了用于各种各样专用工具(例如规范数据加密头)的与服务平台不相干的规范硬盘文件格式,为执行登陆密码管理方法体制出示了基本。LUKS在Linux上运作,是根据cryptsetup的提高版,它应用dm-crypt做为硬盘数据加密后端开发。

dm-crypt和LUKS相互为1款简易的“单独”登陆密码认证FDE运用手机软件构建了基本。但是这并不是公司级处理计划方案。

难题是,Linux原生态FDE在数据信息维护层面留下了间隙,包含:

  • 沒有集中化式登陆密码、密匙管理方法和数据加密服务器的备份数据。
  • 艰难的根卷数据加密为不正确留有余地。
  • 沒有简易的方式来数据加密擦除中招的驱动器器。
  • 对数据加密机器设备欠缺统1的合规主视图,以证实全部服务器的数据加密情况。

缺乏Linux服务器内嵌的管理方法和合规作用,致使公司无法做好数据加密和数据信息维护工作中。

那末,应用Linux服务器的公司怎样才可以最好是地处理这个难题?它们应当寻找含有下列作用特点的处理计划方案:

数据加密与密匙管理方法相分离出来

想得到最大实际效果,数据加密商品应分成两个组件:数据加密和密匙管理方法,由于出示这两个组件的特长大不1样。以便得到附加的维护,请考虑到创建在dm-crypt上的处理计划方案而并不是拆换dm-crypt,便于更好地管理方法数据加密。

强劲的认证

因为现如今身份和浏览操纵备受关心,有着1种能够出示更强劲的服务器认证体制,保证数据信息免受伤害的数据加密处理计划方案,这很关键。根据互联网的预起动认证能够出示此作用,在实际操作系统软件正确引导以前提升安全性。

保证根和数据信息卷数据加密和数据加密擦除中招驱动器器的简易方式

根卷数据加密、数据信息卷数据加密和数据加密互换分区全是安全性和合规所必须的。找寻可以以简易方法保证这点的处理计划方案。另外,处理计划方案应当有1种简易的体制,可在驱动器器中招或另作他用时数据加密擦除全部数据信息。出于合规缘故,还务必纪录此实际操作。

数据加密机器设备、密匙和修复信息内容的集中化式合规主视图和管理方法

有了这类种类的可见性,你能够查询贵公司中的Linux服务器是不是已数据加密、并合乎数据加密政策。服务器会将其数据加密情况(对于全部硬盘)传递给中间操纵台。因而,假如某台服务器遗失,IT单位将为财务审计员出示其数据加密情况的证实。另外,从中间操纵台对数据加密的Linux服务器实行整体的登陆密码修复、实际操作和管理方法相当关键。操纵台还应当能出示集中化备份数据数据加密密匙和修复信息内容的作用。

为服务器(包含Linux服务器)出示无缝拼接集成化的数据加密处理计划方案相当关键。有了上面列出的几类作用,万1产生数据信息泄漏,公司彻底有工作能力维护有着的商业秘密信息内容,并考虑愈来愈多的合规政策法规的规定。

原文题目:Are Your Linux Servers Really Protected?,作者:Garry McCracken