你的Linux服務(wù)器果真得到保護(hù)了嗎？

人們常認(rèn)為，由于服務(wù)器在數(shù)據(jù)中心鎖起來，又由于數(shù)據(jù)在持續(xù)使用，因此不需要加密服務(wù)器驅(qū)動(dòng)器，因?yàn)閿?shù)據(jù)永遠(yuǎn)不處于靜止?fàn)顟B(tài)。

考慮IT安全時(shí)，可能會(huì)疏忽的一個(gè)方面是企業(yè)服務(wù)器的物理安全。人們常認(rèn)為，由于服務(wù)器在數(shù)據(jù)中心鎖起來，又由于數(shù)據(jù)在持續(xù)使用，因此不需要加密服務(wù)器驅(qū)動(dòng)器，因?yàn)閿?shù)據(jù)永遠(yuǎn)不處于靜止?fàn)顟B(tài)。

不過，這種想法帶來了一大潛在問題。最終，所有驅(qū)動(dòng)器都需要維修或處置，勢(shì)必離開數(shù)據(jù)中心。對(duì)它們進(jìn)行加密是保護(hù)其數(shù)據(jù)免受無意或有意泄露的好方法。除此之外，鑒于似乎沒完沒了的泄密事件見諸報(bào)章，加上需要遵守GDPR、HIPAA和所有50個(gè)州的法規(guī)，明智的建議是隨時(shí)隨地加密所有內(nèi)容。

如果你有Linux服務(wù)器，可能以為自己受到了保護(hù)，因?yàn)長(zhǎng)inux內(nèi)置加密技術(shù)已有數(shù)年。但事實(shí)上可能并非如此。原因何在?

以下是Linux內(nèi)置的磁盤加密功能：

dm-crypt

dm-crypt是Linux內(nèi)核中一種透明的磁盤加密子系統(tǒng)。它是一種基于塊設(shè)備的抽象機(jī)制，可以嵌入到其他塊設(shè)備(如磁盤)上。因此，它是用于全盤加密(FDE)的理想技術(shù)。實(shí)際的加密技術(shù)并不內(nèi)置于dm-crypt中，而是它充分利用來自內(nèi)核的Crypto API的加密例程(比如AES)。

LUKS

LUKS(Linux統(tǒng)一密鑰方案)是一種磁盤加密規(guī)范，詳細(xì)表明了用于各種工具(比如標(biāo)準(zhǔn)加密頭)的與平臺(tái)無關(guān)的標(biāo)準(zhǔn)磁盤格式，為實(shí)施密碼管理機(jī)制提供了基礎(chǔ)。LUKS在Linux上運(yùn)行，是基于cryptsetup的增強(qiáng)版，它使用dm-crypt作為磁盤加密后端。

dm-crypt和LUKS共同為一款簡(jiǎn)單的“獨(dú)立”密碼驗(yàn)證FDE應(yīng)用軟件構(gòu)筑了基礎(chǔ)。然而這不是企業(yè)級(jí)解決方案。

問題是，Linux原生FDE在數(shù)據(jù)保護(hù)方面留下了空隙，包括：

• 沒有集中式密碼、密鑰管理和加密服務(wù)器的備份。
• 困難的根卷加密為錯(cuò)誤留有余地。
• 沒有簡(jiǎn)單的方法來加密擦除中招的驅(qū)動(dòng)器。
• 對(duì)加密設(shè)備缺乏統(tǒng)一的合規(guī)視圖，以證明所有服務(wù)器的加密狀態(tài)。

缺少Linux服務(wù)器內(nèi)置的管理和合規(guī)功能，導(dǎo)致企業(yè)難以做好加密和數(shù)據(jù)保護(hù)工作。

那么，使用Linux服務(wù)器的企業(yè)如何才能最好地解決這個(gè)問題?它們應(yīng)該尋求含有以下功能特性的解決方案：

加密與密鑰管理相分離

想獲得大效果，加密產(chǎn)品應(yīng)分為兩個(gè)組件：加密和密鑰管理，因?yàn)樘峁┻@兩個(gè)組件的專長(zhǎng)大不一樣。為了獲得額外的保護(hù)，請(qǐng)考慮建立在dm-crypt上的解決方案而不是更換dm-crypt，以便更好地管理加密。

強(qiáng)大的驗(yàn)證

由于如今身份和訪問控制備受關(guān)注，擁有一種可以提供更強(qiáng)大的服務(wù)器驗(yàn)證機(jī)制，確保數(shù)據(jù)免受危害的加密解決方案，這很重要?；诰W(wǎng)絡(luò)的預(yù)啟動(dòng)驗(yàn)證可以提供此功能，在操作系統(tǒng)引導(dǎo)之前加強(qiáng)安全。

確保根和數(shù)據(jù)卷加密以及加密擦除中招驅(qū)動(dòng)器的簡(jiǎn)單方法

根卷加密、數(shù)據(jù)卷加密和加密交換分區(qū)都是安全和合規(guī)所需要的。尋找能夠以簡(jiǎn)單方式做到這點(diǎn)的解決方案。此外，解決方案應(yīng)該有一種簡(jiǎn)單的機(jī)制，可在驅(qū)動(dòng)器中招或另作他用時(shí)加密擦除所有數(shù)據(jù)。出于合規(guī)原因，還必須記錄此操作。

加密設(shè)備、密鑰以及恢復(fù)信息的集中式合規(guī)視圖和管理

有了這種類型的可見性，你可以查看貴企業(yè)中的Linux服務(wù)器是否已加密、并符合加密政策。服務(wù)器會(huì)將其加密狀態(tài)(針對(duì)所有磁盤)傳達(dá)給中央控制臺(tái)。因此，如果某臺(tái)服務(wù)器丟失，IT部門將為審計(jì)員提供其加密狀態(tài)的證明。此外，從中央控制臺(tái)對(duì)加密的Linux服務(wù)器執(zhí)行總體的密碼恢復(fù)、操作和管理至關(guān)重要?？刂婆_(tái)還應(yīng)該能提供集中備份加密密鑰和恢復(fù)信息的功能。

為服務(wù)器(包括Linux服務(wù)器)提供無縫集成的加密解決方案至關(guān)重要。有了上面列出的幾類功能，萬一發(fā)生數(shù)據(jù)泄露，企業(yè)完全有能力保護(hù)擁有的機(jī)密信息，并滿足越來越多的合規(guī)法規(guī)的要求。

分享文章：你的Linux服務(wù)器果真得到保護(hù)了嗎？
當(dāng)前網(wǎng)址：http://www.muchs.cn/news38/98038.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、網(wǎng)站營(yíng)銷、網(wǎng)站維護(hù)、網(wǎng)站設(shè)計(jì)、定制網(wǎng)站、電子商務(wù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)