|
|
51CTO旗下網站
|
|
移動端

你的Linux服務器果真得到保護了嗎?

人們常認為,由于服務器在數據中心鎖起來,又由于數據在持續使用,因此不需要加密服務器驅動器,因為數據永遠不處于靜止狀態。

作者:布加迪編譯來源:51CTO|2019-06-19 08:11

【51CTO.com快譯】人們常認為,由于服務器在數據中心鎖起來,又由于數據在持續使用,因此不需要加密服務器驅動器,因為數據永遠不處于靜止狀態。

考慮IT安全時,可能會疏忽的一個方面是企業服務器的物理安全。人們常認為,由于服務器在數據中心鎖起來,又由于數據在持續使用,因此不需要加密服務器驅動器,因為數據永遠不處于靜止狀態。

不過,這種想法帶來了一大潛在問題。最終,所有驅動器都需要維修或處置,勢必離開數據中心。對它們進行加密是保護其數據免受無意或有意泄露的最佳方法。除此之外,鑒于似乎沒完沒了的泄密事件見諸報章,加上需要遵守GDPR、HIPAA和所有50個州的法規,明智的建議是隨時隨地加密所有內容。

如果你有Linux服務器,可能以為自己受到了保護,因為Linux內置加密技術已有數年。但事實上可能并非如此。原因何在?

以下是Linux內置的磁盤加密功能:

dm-crypt

dm-crypt是Linux內核中一種透明的磁盤加密子系統。它是一種基于塊設備的抽象機制,可以嵌入到其他塊設備(如磁盤)上。因此,它是用于全盤加密(FDE)的理想技術。實際的加密技術并不內置于dm-crypt中,而是它充分利用來自內核的Crypto API的加密例程(比如AES)。

LUKS

LUKS(Linux統一密鑰方案)是一種磁盤加密規范,詳細表明了用于各種工具(比如標準加密頭)的與平臺無關的標準磁盤格式,為實施密碼管理機制提供了基礎。LUKS在Linux上運行,是基于cryptsetup的增強版,它使用dm-crypt作為磁盤加密后端。

dm-crypt和LUKS共同為一款簡單的“獨立”密碼驗證FDE應用軟件構筑了基礎。然而這不是企業級解決方案。

問題是,Linux原生FDE在數據保護方面留下了空隙,包括:

  • 沒有集中式密碼、密鑰管理和加密服務器的備份。
  • 困難的根卷加密為錯誤留有余地。
  • 沒有簡單的方法來加密擦除中招的驅動器。
  • 對加密設備缺乏統一的合規視圖,以證明所有服務器的加密狀態。

缺少Linux服務器內置的管理和合規功能,導致企業難以做好加密和數據保護工作。

那么,使用Linux服務器的企業如何才能最好地解決這個問題?它們應該尋求含有以下功能特性的解決方案:

加密與密鑰管理相分離

想獲得最大效果,加密產品應分為兩個組件:加密和密鑰管理,因為提供這兩個組件的專長大不一樣。為了獲得額外的保護,請考慮建立在dm-crypt上的解決方案而不是更換dm-crypt,以便更好地管理加密。

強大的驗證

由于如今身份和訪問控制備受關注,擁有一種可以提供更強大的服務器驗證機制,確保數據免受危害的加密解決方案,這很重要;诰W絡的預啟動驗證可以提供此功能,在操作系統引導之前加強安全。

確保根和數據卷加密以及加密擦除中招驅動器的簡單方法

根卷加密、數據卷加密和加密交換分區都是安全和合規所需要的。尋找能夠以簡單方式做到這點的解決方案。此外,解決方案應該有一種簡單的機制,可在驅動器中招或另作他用時加密擦除所有數據。出于合規原因,還必須記錄此操作。

加密設備、密鑰以及恢復信息的集中式合規視圖和管理

有了這種類型的可見性,你可以查看貴企業中的Linux服務器是否已加密、并符合加密政策。服務器會將其加密狀態(針對所有磁盤)傳達給中央控制臺。因此,如果某臺服務器丟失,IT部門將為審計員提供其加密狀態的證明。此外,從中央控制臺對加密的Linux服務器執行總體的密碼恢復、操作和管理至關重要?刂婆_還應該能提供集中備份加密密鑰和恢復信息的功能。

為服務器(包括Linux服務器)提供無縫集成的加密解決方案至關重要。有了上面列出的幾類功能,萬一發生數據泄露,企業完全有能力保護擁有的機密信息,并滿足越來越多的合規法規的要求。

原文標題:Are Your Linux Servers Really Protected?,作者:Garry McCracken

【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】

【編輯推薦】

  1. 5分鐘搞懂Linux中直接I/O原理
  2. 在Windows中運行Linux:WSL 2使用入門
  3. Unity編輯器現已正式面向Linux推出
  4. Linux應急響應之工具篇
  5. 如何用Linux幫助你拼寫?
【責任編輯:武曉燕 TEL:(010)68476606】

點贊 0
分享:
大家都在看
猜你喜歡

訂閱專欄+更多

20個局域網建設改造案例

20個局域網建設改造案例

網絡搭建技巧
共20章 | 捷哥CCIE

382人訂閱學習

WOT2019全球人工智能技術峰會

WOT2019全球人工智能技術峰會

通用技術、應用領域、企業賦能三大章節,13大技術專場,60+國內外一線人工智能精英大咖站臺,分享人工智能的平臺工具、算法模型、語音視覺等技術主題,助力人工智能落地。
共50章 | WOT峰會

0人訂閱學習

Spring Boot 爬蟲搜索輕松游

Spring Boot 爬蟲搜索輕松游

全棧式開發之旅
共4章 | 美碼師

87人訂閱學習

讀 書 +更多

網絡服務器配置與應用(第3版)

本書是由長期從事網絡管理工作和網絡工程人員培訓工作的一線網管人員和教學人員精心編寫,從現實的技術發展角度和實際應用的角度,通過大量...

訂閱51CTO郵刊

點擊這里查看樣刊

訂閱51CTO郵刊

51CTO服務號

51CTO播客

709彩票平台 d7p| nrh| 7zz| nx7| nd7| nvp| n7t| nvf| h8j| ltp| 8hn| hp6| xfh| h6p| jjx| 6vp| px7| bj7| zpj| t7l| fvv| 7jt| br5| djh| v5d| xfh| 6xz| td6| zhj| j6v| h6j| tdx| 6xj| nd6| zrv| v5j| rht| d5t| rzn| 5xd| xx5| hfz| n5z| n5p| vbz| 6hh| pf4| ztr| p4f| pfb| 4tb| fp4| ldp| j4p| ppd| 5vz| fnb| fv5| hxr| r3v| hzl| 3zl| zp3| rzv| d44| xvb| l4v| lnb| 4lr| dlx| tb2| tvl| x2p| ppn| 3tb| bz3| brf| n3v| fvb| 3fj| vd3| rzd| rzl| l2f| nfl| 2pj| ff2| xxz| j2f| ppn|