Frage:
Ist eine vollständige Festplattenverschlüsselung auf einem Server in einem sicheren Rechenzentrum sinnlos?
user4755220
2015-05-22 10:23:56 UTC
view on stackexchange narkive permalink

Ich habe eine Debatte mit mehreren Personen darüber, wie viel Schutz die vollständige Festplattenverschlüsselung bietet. dm-crypt wird zum Verschlüsseln von Daten verwendet, die von meinem Unternehmen im Ruhezustand verschlüsselt werden müssen. Die Linux-Server, auf denen die Daten gehostet werden, befinden sich in einem sicheren Rechenzentrum mit sehr geringem Risiko eines unbefugten physischen Zugriffs, geschweige denn, dass jemand den Server tatsächlich stiehlt.

Mein Argument ist, dass in dieser Situation der Brief eingehalten wird Nach dem Gesetz haben sie wenig bis gar nichts unternommen, um das mit unverschlüsselten Daten verbundene Risiko tatsächlich zu verringern. Aus logischer Sicht befinden sie sich genau in der gleichen Situation, als ob überhaupt keine Verschlüsselung implementiert worden wäre. Ich bin jedoch neugierig, ob dieser Zug richtig ist, Gedanken?

Um die Frage mehr auf meine spezifische Situation in Bezug auf den physischen Schutz abzustimmen, sind die Steuerelemente in der Regel sehr solide. Ich sage nicht, dass das Risiko beseitigt ist, aber es wird als gering angesehen. Ebenso wie bei der Entsorgung der Laufwerke arbeiten die Zerstörungskontrollen ziemlich effektiv und das Risiko wird als gering angesehen. Vom Standpunkt des logischen Zugriffs aus sind die Server nicht mit dem Internet verbunden, befinden sich hinter einer Firewall, der logische Zugriff ist gut kontrolliert (aber viele haben Zugriff) und sie sind nicht virtualisiert. Darüber hinaus arbeiten die Server rund um die Uhr. Sie werden nur dann neu gestartet, wenn dies nach einer Änderung oder während der Installation eines neuen Servers erforderlich ist.

Ich befürchte, dass die vollständige Datenverschlüsselung die Daten nicht schützt, wenn ein Insider auf Abwege gerät oder ein nicht autorisierter Benutzer eine logische Sicherheitslücke ausnutzt, anstatt einen Teil der anderen Feld- oder Dateiebene zu verwenden Verschlüsselungstools verfügbar. Während die Leute, über die ich diskutiere, argumentieren, dass dies nicht der Fall ist.

Gedanken, die mir einfallen: Wenn ein Server ausgeschaltet ist, können die Treiber gestohlen werden. An tiefer Sicherheit ist nichts auszusetzen. Was verhindert man, wenn der Server ausgeschaltet ist, das Netzwerk vom Server zu trennen und es zu starten? Ich denke hier nur laut nach.
Es ist nicht ganz sinnlos, erhöht jedoch die Komplexität und verringert die Leistung geringfügig.
Wenn Ihr Unternehmen überhaupt etwas Interessantes tut, besteht immer das Risiko, dass Personen mit einem Lächeln und Gewährleistungen für einige Stunden Hardwarezugriff auf Ihren Server wünschen. Natürlich wissen nur sie und die DC-Mitarbeiter, dass dies geschehen ist. FDE kann dazu beitragen, Ihre Kunden in dieser Situation zu schützen, auch wenn weder Sie noch sie es wissen.
@dotancohen und Sie werden es wahrscheinlich nicht einmal erkennen können, wenn sie die richtigen Laufwerke aus einem ordnungsgemäß konfigurierten RAID herausziehen, ein Image erstellen und sie wieder anschließen
Wie @dotancohen feststellt, überschätzen Sie in diesem Szenario wahrscheinlich die physische Sicherheit Ihrer Laufwerke. Ich gehe davon aus, dass jedes Unternehmen, das die Kosten für die Unterbringung seiner Systeme in einem Rechenzentrum mit "maximaler Sicherheit" tragen muss, es auch als Standardpraxis ansieht, seine Laufwerke zu verschlüsseln.
"geringes Risiko" ist nicht "kein Risiko" und alles hängt vom Risikomanagement ab. Richtig verschlüsselte Laufwerke tragen dazu bei, die Trennung von Bedenken zu erzwingen, indem sie den Datenzugriff verhindern, selbst wenn physischer Zugriff auf Server / SANs erforderlich ist. Besonders wichtig beim Outsourcing Ihrer DCs.
Was ist, wenn jemand einen Fehler in Ihrem Betriebssystem findet (oder einen USB-Stick einsteckt) und eine eigene Software ausführt, kann er den FDE-Schlüssel aus dem Speicher lesen?
Ich kann mir aus der Frage nicht sicher sein, ob Sie nach Argumenten fragen, dass FDE in diesem Szenario besser ist als die Verschlüsselung auf Dateiebene (da Sie sagen, "einige der anderen verfügbaren Verschlüsselungswerkzeuge auf Feld- oder Dateiebene verwenden") oder sind Sie suchen nach Argumenten, dass FDE besser ist als gar keine Verschlüsselung (da Sie sagen: "Aus logischer Sicht befinden sie sich in genau der gleichen Situation, als ob keine Verschlüsselung implementiert worden wäre")?
Der Wartungsvertrag für unser Speicherarray sieht vor, dass ausgefallene Festplatten nach dem Austausch an das Unternehmen zurückgesendet werden (oder wir zahlen eine hohe Rücknahmegebühr für die Laufwerke). Ohne Festplattenverschlüsselung ist die Rückgabe von Festplatten möglicherweise nicht möglich, da Sie eine ausgefallene Festplatte nicht löschen können. Wir ließen ein Netzteil einmal ein ganzes Festplattenfach herausnehmen - das hätte uns rund 40.000 US-Dollar an nicht zurückgegebenen Festplattengebühren gekostet.
@Johnny Klingt so, als wäre es billiger gewesen, so zu tun, als ob die Festplatten nicht ausgefallen wären, anstatt die Rücknahmegebühr zu zahlen.
Was ist, wenn sich die Sicherheit des Rechenzentrums verschlechtert? Management oder Richtlinien können sich ändern. Zu
@André Der Leistungspunkt ist bei selbstverschlüsselenden Laufwerken umstritten. Und die Verwendung des bewährten transparenten Komprimierungs- / Dekomprimierungsstapels ist in diesem Fall kaum ein Komplexitätsaddon auf der Software- / Betriebssystemseite. Sie müssten jedoch die Schlüsselverwaltung durchführen.
Betrachten Sie es so: Sind Airbags in einem Auto mit ABS und ESP sinnlos und werden nur von lizenzierten und professionellen Fahrern gefahren? Nein sind sie nicht. Da ein Restversagensrisiko für vorbeugende Maßnahmen besteht, muss ein Sicherheitsnetz für die Schadensbegrenzung vorhanden sein.
@syneticon-dj Derzeit ist die Sicherheit für selbstverschlüsselnde Laufwerke umstritten. Wir können ihrer "sicheren" Löschfunktion nicht einmal vertrauen. Warum sollten wir ihrer Verschlüsselung vertrauen? Und Komplexität sollte nicht übersehen werden, insbesondere wenn Sie den Schlüssel aus der Ferne eingeben möchten. Ich habe mir die Lösungen dafür unter Linux angesehen und es sieht immer noch nicht zuverlässig für die Produktion aus.
@atsby - Wenn wir so getan hätten, als wären die Festplatten nicht ausgefallen, hätten wir die Verwendung eines ganzen Fachs mit Festplatten in unserem Array verloren, da die Festplatten tatsächlich ausgefallen sind. Da wir die vollständige Festplattenverschlüsselung verwendet haben, haben wir sie erst zurückgesendet, nachdem wir die Ersatzfestplatten ausgetauscht hatten, da wir wussten, dass die Verschlüsselung verhindern würde, dass jemand Daten wiederherstellt. Ohne Verschlüsselung hätten wir die Festplatten physisch zerstören müssen und wären die teuren nicht zurückgegebenen Festplattengebühren entstanden.
Ein "sicheres Rechenzentrum"? Woher weißt du das? Was, hat es Kameras und ein paar unbewaffnete Rent-a-Cops? [Ja,] (http://www.theregister.co.uk/2007/11/02/chicaco_datacenter_breaches/) [gut] (http://www.computerworld.com/article/2538534/it-management/data- Center-Raub-führt-zu-neuem-Denken-auf-Sicherheit.html) [Glück.] (http://royal.pingdom.com/2008/07/18/forget-about-hacking-your-servers-might -get-gestohlen /) Das Militär? [Besser.] (Https://en.wikipedia.org/wiki/PNS_Mehran_attack)
@André Sie können einer bestimmten Implementierung oder sogar einem bestimmten Hersteller vertrauen oder nicht vertrauen. Aber das gesamte Feature-Set als nicht vertrauenswürdig abzutun, nur weil es Probleme mit einer ** völlig anderen ** Funktion bei ** einigen ** Festplattenmodellen gibt, scheint das Baby mit dem Badewasser wegzuwerfen.
Ich glaube an den Ansatz der Tiefenverteidigung. Musste es auf Fed-Regierungsservern verwenden, um Sicherheitsprüfungen der NSA-Klasse zu bestehen. Siehe: http://en.wikipedia.org/wiki/Defense_in_depth_%28computing%29
Ist es ein akzeptables Risiko, wenn Ihr angegriffener Server abstürzt und sofort neu gestartet wird, damit der Angriff weiter fortgesetzt und verbessert werden kann? ↵ Ein eingegebener Festplattenverschlüsselungsschlüssel würde dieses Risiko vollständig abdecken.
Neun antworten:
Stephane
2015-05-22 11:56:33 UTC
view on stackexchange narkive permalink

Zwei allgemeine Dinge, die Sie anscheinend übersehen haben:

  • Im Falle eines Festplattenfehlers löst das Verschlüsseln der Daten in Ruhe das Problem, dass potenziell sensible Daten auf einem Medium vorhanden sind, das Sie können. ' nicht mehr zugreifen. Dies macht die Entsorgung fehlerhafter Laufwerke einfacher und billiger (und es ist ein Problem weniger).

  • Die vollständige Festplattenverschlüsselung erschwert es einem Angreifer auch, Daten aus dem "leeren" Speicherplatz abzurufen die Laufwerke (die häufig Spuren zuvor gültiger Daten enthalten)

Und wenn Sie VMs verwenden:

  • Wenn Sie die Partition verschlüsseln, werden Sie dazu gebracht weniger abhängig von der Sicherheit Ihres Hypervisors: Wenn der Rohinhalt eines Ihrer Laufwerke auf eine andere VM "leckt" (was passieren kann, wenn der Speicherplatz des Laufwerks einer anderen VM zugewiesen und nicht auf Null gesetzt wird), ist diese VM weniger wahrscheinlich um Zugriff auf die tatsächlichen Daten zu haben (es müsste auch der Entschlüsselungsschlüssel abgerufen werden).
Der VM-Kommentar ist ein guter Punkt und etwas, an das ich nicht gedacht habe. Die Server, über die ich diskutiere, sind jedoch nicht virtualisiert, sondern hosten nur eine Anwendung.
Ich habe diese Debatte oft geführt und ich schätze diese Punkte, da sie sehr sinnvoll sind. Sie gehen jedoch nicht auf die ursprüngliche Frage ein, ob die Verschlüsselung der Laufwerke eine inhärente Sicherheit für sich bietet, während der Server in Betrieb ist. Jeder Sicherheitsexperte, mit dem ich spreche, sagt nein. Der einzige Wert ergibt sich, wenn die Laufwerke offline / getrennt sind.
@JohnVirgolino FDE wird explizit als "Data at Rest Protection" gekennzeichnet. Warum sollte eine nicht gesperrte (d. H. Entschlüsselte) Online-Festplatte geschützt werden?
→ Stephane: Punkt 1. & 3. sind Risiken, die durch eine vollständige Festplattenverschlüsselung korrekt abgedeckt werden. Zu Punkt 2. Ich bin mir nicht so sicher. Wenn ein Angreifer unter vielen Betriebssystemen Zugriff auf die unverschlüsselte laufende Festplatte hat, können die E / A-Puffer und der Teil der Festplatte, der für den virtuellen Speicher verwendet wird, auch über ein einfaches "Lesen" aufgerufen werden. Wenn ich falsch liege, könnten Sie diesen Punkt 2 verbessern?
@danielAzuelos Das ist einer der Gründe, warum ich geschrieben habe "mach es schwieriger" anstatt "schützt vor".
kasperd
2015-05-22 15:39:28 UTC
view on stackexchange narkive permalink

Wenn der Entschlüsselungsschlüssel einfach auf demselben Medium wie die verschlüsselten Daten gespeichert ist, ist die Verschlüsselung sinnlos. Wenn Sie über eine Reihe von Regeln verfügen, nach denen Daten verschlüsselt werden müssen, der Schlüssel jedoch in einfacher Form auf demselben Medium gespeichert werden kann, sind die Regeln fehlerhaft. Wenn Sie jemals mit einem solchen fehlerhaften Regelwerk konfrontiert werden, sollten Sie auf den Fehler hinweisen.

Wenn der Schlüssel nicht auf demselben Medium wie die Daten gespeichert ist. Dann erfüllt die Verschlüsselung einen Zweck. Dies wirft jedoch die Frage auf, woher der Server den Schlüssel beim Booten bezieht. Es gibt einige Optionen:

  • Während des Startvorgangs muss ein Kennwort eingegeben werden. Dies ist für einen Server nicht sehr praktisch.
  • Rufen Sie den Entschlüsselungsschlüssel von einem Schlüsselserver ab. Dies kann verhindern, dass die Daten entschlüsselt werden, wenn der Server gestohlen wurde. Der Schlüsselserver muss lediglich auf Anfragen aus dem Rechenzentrum antworten.
  • Geheime Freigabe des Schlüssels auf mehreren Festplatten. Tut nichts für den Fall, dass der Server gestohlen wird. Wenn Sie jedoch ein RAID haben, bei dem gelegentlich einzelne Festplatten ausgetauscht werden, wird garantiert, dass alle Daten, die auf den im Rahmen der Garantie zurückgegebenen Festplatten verbleiben, ordnungsgemäß verschlüsselt sind. Wenn dem RAID eine neue Festplatte hinzugefügt wird, muss eine Implementierung dieser Technik Folgendes tun:
    • Generieren Sie einen Verschlüsselungsschlüssel für diese einzelne Festplatte.
    • Generieren Sie einen neuen Hauptschlüssel.
    • Geheime Freigabe des neuen Hauptschlüssels für alle Festplatten.
    • Schreiben Sie auf jede Festplatte den unter dem neuen Hauptschlüssel verschlüsselten Festplattenverschlüsselungsschlüssel.

Die drei oben beschriebenen Ansätze können kombiniert werden. Wenn sie kombiniert werden, kann der Schlüsselserver mithilfe von blindem RSA implementiert werden.

Beachten Sie, dass das Abrufen des Entschlüsselungsschlüssels von einem Schlüsselserver Ihnen nicht wirklich dabei helfen würde, Lecks zu verhindern. Sie können lediglich einen Prüfpfad erstellen, der angibt, wann auf den Schlüssel zugegriffen wird.
Wenn Sie sich die Mühe machen, dass FDE dm-crypt verwendet, erkennen Sie hoffentlich die Notwendigkeit eines TPM, um den Entschlüsselungsschlüssel unterzubringen. Die Dinge, die Sie erwähnt haben, werden durch die ordnungsgemäße Verwendung eines TPM vermieden, da der Schlüssel ihn nie verlässt und eng in das Betriebssystem und die FDE-Software integriert ist, um bei Bedarf zu entschlüsseln, ohne sich einem einfachen Reverse Engineering auszusetzen.
@LieRyan Wenn der Angreifer den Server mit den verschlüsselten Daten stiehlt, aber den Schlüsselserver nicht stiehlt, kann der Angreifer die Daten nicht entschlüsseln. Dies setzt natürlich voraus, dass der Schlüsselserver nur auf Anfragen aus dem Rechenzentrum reagiert. Der Schlüsselserver selbst könnte einen anderen Schlüsselserver zum Entschlüsseln seiner eigenen Festplatte verwenden. Zum Starten der Schlüsselserver wäre ein Fallback auf Kennwörter erforderlich, falls beide gleichzeitig gleichzeitig ausgeschaltet werden.
@JeffMeden: Es muss besonders darauf geachtet werden, dass der TPM-Chip nicht zu einem einzigen Fehlerpunkt wird. Dadurch wird der Inhalt der Festplatten in der Tat mit dem TPM-Chip und dem Motherboard verknüpft. Wenn das Motherboard ausfällt, kann der Festplatteninhalt möglicherweise nicht abgerufen werden ...
@JeffMeden Sie würden dem Manipulationswiderstand gegen einen Angreifer vertrauen, der so viel Zeit verwenden kann, wie er möchte, um ihn zu brechen. Der Angreifer hätte den Server gestohlen, einschließlich des gesamten Schlüsselmaterials, das zum Entschlüsseln benötigt wird. Der Angreifer könnte den Computer sogar starten und versuchen, ihn über das Netzwerk in einem Setup anzugreifen, in dem kein IDS jemanden alarmieren kann und niemand die Netzwerkverbindung des Angreifers zum Ziel unterbrechen kann. Das klingt für mich nicht sehr robust. Ich möchte mich lieber darauf verlassen, dass der Angreifer nicht jeden Server im Rechenzentrum stiehlt, um den Entschlüsselungsschlüssel zu erhalten.
@WhiteWinterWolf Was auch immer Sie tun, ich möchte immer, dass es so angeordnet ist, dass die Festplatte mit einem Passwort entschlüsselt werden kann. Das Passwort ist für Notfallsituationen und der andere Ansatz für den normalen Start.
@kasperd, stimmte zu, dass ein TPM wahrscheinlich nicht fehlerfrei ist, aber es ist der aktuelle Stand der Technik, wenn es darum geht, Verschlüsselungsschlüsselmaterial in einer potenziell feindlichen Umgebung richtig zu handhaben. Es würde (derzeit) einen Angreifer mit erheblichem Einsatz und Ressourcen erfordern, um ihn zu gefährden (d. H. Ein böses Genie eines Nationalstaates oder eines Milliardärs). Für einen "normalen" Angreifer würden Sie den Beweisen des Diebstahls folgen (zweifellos wurden viele Sicherheitsfotos aufgenommen, einschließlich Gesicht und Fahrzeug), zu ihrem Versteck gehen und den Server mit Unterstützung der Strafverfolgungsbehörden zurücknehmen.
@JeffMeden Dies ist nur dann Stand der Technik, wenn Sie sich auf Lösungen beschränken, bei denen sich alles in der Maschine befinden muss, die Sie schützen müssen. Wenn Sie die Möglichkeit nutzen, zwischen verschiedenen Computern im Rechenzentrum zu kommunizieren, sind wesentlich sicherere Methoden möglich.
@kasperd Ihre Prämisse beinhaltet die Einschränkung, dass die "verschiedenen Maschinen" ein höheres Maß an Sicherheit aufweisen, aber in den meisten Colocation-Einstellungen (in denen ein Großteil des Internets lebt) bleibt keine andere Wahl, als alle Eier in einen Korb zu legen.
@kasperd: Wenn der Computer ohne menschliches Eingreifen neu gestartet werden kann, enthält der Computer notwendigerweise auch den Zugriffsschlüssel, um sich beim Schlüsselserver zu authentifizieren. Ich kann mir kein Angriffsszenario vorstellen, in dem der Angreifer diesen Authentifizierungsschlüssel und den Festplattenverschlüsselungsschlüssel nicht gleichzeitig stehlen kann.
@LieRyan Zum dritten Mal: ​​Der Schlüsselserver darf nur auf Anforderungen des lokalen Netzwerks antworten. Sobald der Server gestohlen wurde, befindet er sich nicht mehr im lokalen Netzwerk.
@kasperd: Wie können Sie über ausreichende Berechtigungen zum Kopieren der Serverfestplatte verfügen, jedoch nicht über die Berechtigung zum Herstellen einer Netzwerkverbindung im lokalen Netzwerk selbst? Das einzige Szenario, das dies möglich ist, ist, wenn Sie den Server für den physischen Transport trennen. Ich stimme zu, dass FDE erforderlich ist. In den meisten anderen Fällen hätte der Angreifer bereits Zugriff auf das lokale Netzwerk gehabt, um ein Disk-Image erstellen zu können.
@LieRyan Diebe bitten normalerweise nicht um Erlaubnis, etwas zu stehlen. Und normalerweise möchten sie schnell davonkommen. Daher ist es unrealistisch, den Schlüssel durch Kommunikation mit dem Schlüsselserver vor Ort zu kompromittieren. Und ja, das Trennen des Servers für den physischen Transport ist impliziert, wenn ich über den Diebstahl eines Servers spreche. Wenn die Diebe den Server nicht trennen und physisch wegtransportieren würden, würden Sie nicht sagen, dass er gestohlen wurde.
@kasperd: "Berechtigung" hat einen bestimmten Kontext in der Computersicherheit. Wie im OP erwähnt, ist physischer Diebstahl das geringste Problem in einem Hochsicherheits-Rechenzentrum, in dem vollzeitbewaffnete Wachen, Kameras in allen Winkeln, physische Zugangsprotokolle, Stahltüren sowie Identitäts- und Hintergrundprüfungen und Frisks vorhanden sind, bevor Sie können sogar irgendwo in die Nähe der Maschinen. Einzelne Maschinen würden sich auch in einzelnen Stahlkäfigen befinden. Sie können einen Computer nicht einfach vom Computer trennen und von einem Hochsicherheits-Rechenzentrum weglaufen.
@LieRyan Sicher, dass die Berechtigung in diesem Zusammenhang eine bestimmte Bedeutung hat. Sobald der Server gestohlen wurde und sich an einem vom Gegner kontrollierten Ort befindet, befinden wir uns nicht mehr in diesem Kontext. Alle physischen Sicherheitsmaßnahmen können das Diebstahlrisiko verringern, beseitigen es jedoch nicht. Mit dem richtigen Social Engineering könnte eine Person hereinkommen, einen Server abholen und damit weggehen.
Guntram Blohm supports Monica
2015-05-23 02:38:57 UTC
view on stackexchange narkive permalink

Es gibt Angriffe auf die Firmware von Festplatten. Wenn Sie nach Festplatten-Firmware-Angriffen googeln, werden einige Ergebnisse darüber zurückgegeben, was die NSA tut oder kann, was für Sie wahrscheinlich nicht sehr relevant ist. Aber auch Hobbyisten können die Firmware von Laufwerken ändern. Dieser Typ hat sogar einen Linux-Kernel auf seiner Festplatte installiert - nein, es war nicht der PC, auf dem Linux lief, der Festplattencontroller selbst hat das getan.

Wenn jemand Zugriff erhält auf die Firmware Ihrer Festplatten (z. B. dass jemand einen Server für einen Monat von Ihrem Rechenzentrum mietet und ihn dann zurückgibt; die Rechenzentrumsfirma löscht die Laufwerke und weist Ihnen diesen Server dann zu), kann sie die Laufwerksfirmware ausführen lassen So etwas wie "Wenn ein Block, der auf die Festplatte geschrieben wird, für die nächsten 5 Minuten ein spezielles Muster enthält, ersetzen Sie in jedem Leseblock, der mit root: $ 1 $ beginnt, die ersten Bytes durch (einen Passwort-Hash). ", Sie haben einen Angriff, der fast nicht nachweisbar ist. Ihre / etc / shadow -Datei sieht für Sie normal aus, außer während des 5-minütigen Zeitfensters, nachdem Ihr Angreifer eine Datei mit einem Namen angefordert hat, der das Auslösemuster von Ihrem Webserver enthält, der sie in das Fehlerprotokoll geschrieben hat

Unwahrscheinlich? Sicher. Unmöglich? Definitiv nicht. Ist es paranoid anzunehmen, dass dies passieren könnte? Wahrscheinlich ja, je nachdem, wie interessant Ihre Daten sind. Das Verschlüsseln Ihrer Laufwerke schützt Sie jedoch vor solchen Angriffen und kostet Sie nur ein paar CPU-Zyklen. Und wenn es Gesetze oder Vorschriften gibt, die im Falle einer Sicherheitsverletzung zu befolgen sind, möchte ich sicherlich nicht in der Lage sein, zu erklären, warum ich dachte, dass es keine Rolle spielt.

David Lin
2015-05-24 10:42:51 UTC
view on stackexchange narkive permalink

Überlegen Sie, was Sie unter "sicherem" Rechenzentrum verstehen.

Im Allgemeinen halte ich nichts für sicher gegen einen entschlossenen und gut ausgestatteten Angreifer. Zwar bieten 18 Zoll Stahlbeton, doppelte Menschenfallen und bewaffnete Sicherheit ein angemessenes Maß an Schutz, aber es ist selten, dass dieser Schutz nur für Sie bestimmt ist. In den meisten Einrichtungen am selben Ort schützt Sie nur dies vor einem Eine Person mit 500 US-Dollar und genügend Wissen, um Rack-Platz in derselben Einrichtung wie Sie zu mieten, ist ein zweifelhaft sicherer Drahtkäfig mit einem dreipoligen Becher.

Gelegentlich überfluten Naturkatastrophen und von Menschen verursachte Katastrophen die Dinge, unterbrechen den Strom, vergiften Sie die Wasserversorgung und tun Sie alle möglichen ungewöhnlichen Dinge, die dazu führen, dass Sicherheitspersonal und Techniker nicht zur Arbeit erscheinen oder einfach zu ihren Familien nach Hause gehen. Ich sage, dass Rechenzentren nur ein Sicherheitsniveau bieten, das wahrscheinlich nicht so ist So wie viele ihrer Kunden denken.

Überdenken Sie Ihre Haltung zu dem geringen Risiko, dass Ihr Entsorgungsunternehmen Laufwerke verliert.

Eine Vernichtungsbescheinigung berechtigt Sie ebenfalls ..... die 20 Dollar zurück, die Sie ihnen gezahlt haben, um ein Laufwerk zu zerstören, das nicht wirklich zerstört wurde?

Haben Sie Ihre Anlagenentsorgungsanlage besucht? Überprüfen Sie ihre Einstellungsverfahren? Ihre Schutzmaßnahmen gesehen? Stellen Sie sicher, dass Sie diesbezüglich absolut sicher sind, da dies eine der offensichtlichsten Sicherheitslücken ist - eine Änderung des Sorgerechts.

Das haben Sie also überhaupt nicht gefragt, wie steht es mit der Insider-Bedrohung? Sie haben tatsächlich danach gefragt.

Ok, ein Insider hätte Zugriff über Ihre FDE und würde die Dateien unverschlüsselt sehen. In Ihrem FDE-Szenario wird der Insider nicht daran gehindert oder daran gehindert, auf die Daten zuzugreifen.

Dadurch wird Ihre Insider-Bedrohung durch Ihre FDE geleitet, sodass Sie sich protokollieren können , überwachen und identifizieren Sie einen Täter oder zumindest einen Verdächtigen. Die Identifizierung Ihres Angreifers ist eine Sicherheitsstufe.

Aber ich bin mir ziemlich sicher, dass Trichter nicht in erster Linie für FDE gedacht ist. Selbst wenn Sie über FDE verfügen, können Sie zusätzlich zu FDE eine andere Dateiebene oder eine andere Datenverschlüsselung implementieren. Sie können auch weiterhin die Zugriffskontrollen des Betriebssystems verwenden.

FDE schützt vor Insidern, die keinen Zugriff über die FDE haben. Es schützt vor Servertechnikern, die Laufwerke ersetzen, die eines nehmen und mit Daten abheben. Es schützt vor einem Mitarbeiter der Servereinrichtung, der einen aus einem Versandbehälter in Ihrer Einrichtung abholt und auf den Transport zu Ihrem Zerstörungsunternehmen wartet.

Mit FDE können Sie auf einer anderen Ebene auch Insider-Bedrohungen stoppen, wenn Sie dies tun Trennen Sie Ihre Farm oder verwenden Sie granularen Zugriff - sagen Sie, Ihre Insider haben nur Zugriff auf bestimmte Server usw. FDE würde sie daran hindern, Laufwerke einfach im Großhandel zu kopieren, für die sie keinen Zugriff über die FDE haben.

Einfach ausgedrückt FDE schützt die Daten auf dem Laufwerk vor physischem Zugriff auf das Laufwerk. Sie können versuchen, den physischen Zugriff so weit zu steuern, wie Sie möchten, aber die Laufwerke sind immer mit einer gewissen Sicherheitslücke behaftet (von Insidern gestohlen, von Insidern kopiert, Sorgerecht übertragen, wo Insider es berühren, aufgrund einer Katastrophe unbewacht usw. ). Wenn Leute das Laufwerk berühren, ist FDE eine Verteidigungsschicht dagegen.

David

peterh - Reinstate Monica
2015-05-23 03:56:15 UTC
view on stackexchange narkive permalink

Nicht sicher. Es kommt darauf an, gegen was Sie sich verteidigen wollen. Einige Beispiele:

  • Wenn Sie in einem Land leben, in dem die Regierung Ihren Server beschlagnahmen kann, um dessen Inhalt zu analysieren, und ihn dann gegen Sie oder Ihren Arbeitgeber verwenden kann.
  • Wenn Sie sind der Eigentümer des Servers, geben jedoch nicht die Möglichkeit, dass Ihre Mitarbeiter / Kollegen physischen Zugriff darauf haben, dass sie dessen Inhalt gestohlen / gespiegelt haben. Anschließend aktivieren Sie sie für den Service / Start, geben ihnen jedoch nicht die Verschlüsselungsschlüssel.
  • Dies kann als effizienter Schutz dienen, wenn Sie Ihrer Server-Hosting-Lösung nicht vertrauen können / wollen.

Das hängt von den Umständen ab. Diese Umstände, die ich als Beispiel gezeigt habe, sind in meiner Umgebung zumindest ungewöhnlich, aber sie könnten möglich sein.

Wenn Sie sich in einer normalen Geschäftsumgebung befinden, tun Sie dies nicht. Es hat viele Arbeitsstunden gekostet und die Servicezeit verlängert. Meiner Meinung nach ist es in den meisten Fällen seinen Preis nicht wert.

Corvus B
2015-05-25 07:13:12 UTC
view on stackexchange narkive permalink

Zitat: "... sie haben wenig bis gar nichts getan, um das mit unverschlüsselten Daten verbundene Risiko tatsächlich zu verringern ..."

Ok, ja, ich denke, Sie haben Recht. Die einfache Antwort lautet "es ist sinnlos", aber "es ist auch NICHT sinnlos". Aus diesem Grund, und verzeihen Sie mir, dass ich das sage, denke ich, dass Sie möglicherweise den falschen Baum bellen. Lassen Sie mich erklären. Die vollständige Festplattenverschlüsselung (FDE) erfüllt einen bestimmten Zweck - auch wenn sie nur für eine Teilmenge von Exploits mit geringer Wahrscheinlichkeit gilt. Es gibt eine Reihe möglicher Exploits - und die LOW-Wahrscheinlichkeit entspricht nicht der NO-Wahrscheinlichkeit.

Ist es also sinnlos? Nicht komplett. Aber warum argumentieren Sie dagegen? Möchten Sie der Sicherheit mehr Aufmerksamkeit schenken, wenn die Server ausgeführt werden und die Daten unverschlüsselt sind? Dies tritt in die Region ein, in der Fakten Ihnen möglicherweise weniger gut tun und ein Sinn für Politik Ihnen zugute kommen kann.

Es könnte sein, dass Ihr Ziel bei diesem Argument bei der Arbeit darin besteht, Ihr Fachwissen zu etablieren. Oder vielleicht gibt es etwas, von dem Sie denken, dass es getan werden muss, und niemand achtet darauf. Alle oben genannten Punkte sind gültig und angemessen und gehören zum alltäglichen Arbeitsumfeld. Ich könnte Ihre Frage falsch verstehen, aber es scheint mir, dass Sie ein besseres Ergebnis erzielen, wenn Sie für die Aktion argumentieren, die Ihrer Meinung nach durchgeführt werden muss, anstatt gegen eine Aktion, die gerade durchgeführt wird. Wähle deine Kämpfe aus.

Tim X
2015-05-29 01:43:19 UTC
view on stackexchange narkive permalink

Nach Ihrer Beschreibung vermute ich, dass Sie korrekt sind. Das heißt, die vollständige Festplattenverschlüsselung bietet keinen wirklichen Schutz für Ihre Daten auf einem laufenden Server, falls jemand diesen Server kompromittiert, um die Daten zu extrahieren. Dies ist nicht das Ziel der vollständigen Festplattenverschlüsselung. Dies bedeutet jedoch nicht, dass auf einem Server keine vollständige Festplattenverschlüsselung vorhanden ist. Wie bereits in anderen Beiträgen erwähnt, gibt es gute Gründe für eine vollständige Festplattenverschlüsselung auf einem Server, z. B. Schutz vor Diebstahl, wirksame Kontrolle der Festplattenentsorgung oder Rückgabe fehlerhafter Festplatten an den Hersteller usw. Wenn Sie jedoch die Daten schützen müssen Auf dem Server, während er ausgeführt wird, benötigen Sie normalerweise eine Datei-, Tabellen- usw. Verschlüsselung zusätzlich zur Festplattenverschlüsselung - dies ist nicht unbedingt eine Entweder-Oder-Situation.

Die andere zu berücksichtigende Sache ist, dass es bei der Sicherheit um Schutzschichten geht. Wenn Sie vorschlagen, dass Sie über gute Steuerelemente für die Entsorgung von Datenträgern verfügen und daher keine vollständige Festplattenverschlüsselung benötigen, wird davon ausgegangen, dass die beim Entsorgen von Datenträgern verwendeten Steuerelemente niemals fehlschlagen. Diese Arten von Steuerelementen haben jedoch normalerweise einen hohen prozeduralen und menschlichen Inhalt - sie hängen stark vom Administrator ab, der das Verfahren korrekt befolgt. Nach meiner Erfahrung sind dies die Arten von Steuerelementen, bei denen es wahrscheinlicher ist, dass sie fehlschlagen. Es könnte sein, dass ein neuer Mitarbeiter, der das Verfahren nur vergisst oder sich dessen nicht bewusst ist, ein erfahrener Systemadministrator ist, der sich mit einem Hochdruckfehler befasst, bei dem der Chef ihn unter Druck setzt, den Dienst so schnell wie möglich wieder in Betrieb zu nehmen einfach eine weitere Schutzkontrolle, die das Personal entlastet und die möglichen Auswirkungen eines einfachen menschlichen Fehlers verringert.

Wenn bei der vollständigen Festplattenverschlüsselung Probleme auftreten, wird davon ausgegangen, dass mehr Probleme gelöst werden als tatsächlich - dies scheint der Kern Ihrer Argumentation / Ihres Anliegens zu sein. Ich habe viele Anbieter und sogar Administratoren gesehen, die das Management davon überzeugt haben, dass die Daten sicher sind, nur weil sie die vollständige Festplattenverschlüsselung verwenden. Infolgedessen wird kaum eine echte Risikoanalyse hinsichtlich der Risiken durchgeführt, wenn der Server ausgeführt wird. Ich habe kürzlich ein großes Datenspeicherprojekt für einen Kunden durchgeführt, das potenziell sensible und / oder wertvolle Daten enthielt. Es war ziemlich überraschend, wie viele Anbieter die Verschlüsselungsfragen nicht richtig beantwortet haben. Ihre Standardantwort lautete: "Es ist in Ordnung, das System verwendet die vollständige Festplattenverschlüsselung." Nachdem ich einen Drilldown durchgeführt und Beispiele gegeben und gefragt hatte, wie die vollständige Festplattenverschlüsselung vor verschiedenen Szenarien für einen laufenden Server schützen würde, lautete die allgemeine Antwort "Oh, das ist ein Problem, das die Anwendung lösen muss".

Für mich ist das größte Problem, auf das ich sowohl bei der vollständigen Festplattenverschlüsselung als auch bei der Verschlüsselung auf Datei- / Tabellenebene gestoßen bin, das häufige Fehlen jeglicher wirklicher Überlegungen zur Schlüsselverwaltung. Für mich scheinen die meisten Lösungen eine schwache Unterstützung für ein konsistentes und zuverlässiges Schlüsselmanagement zu bieten. Es gab viele Male, in denen ich ein System gesehen habe, in dem mir von der wunderbaren Verwendung der Verschlüsselung zum Schutz der Daten berichtet wurde, nur um festzustellen, dass die verwendeten Schlüssel schlecht geschützt sind - fast ein nachträglicher Gedanke. Schlimmer noch, aufgrund des Fehlens eines guten oder verstandenen Ansatzes stoßen Sie auf Rechenzentren, in denen derselbe Schlüssel an mehreren Orten oder auf mehreren Ebenen verwendet wird, damit die Administratoren sie effektiv verwalten und bei Bedarf wiederherstellen können.

user4755220
2015-05-27 01:40:20 UTC
view on stackexchange narkive permalink

Vielen Dank an alle für das Feedback. Zusammenfassend ist die Titelfrage, ob FDE für einen Server in einem sicheren Rechenzentrum sinnlos ist. Die Antwort ist nicht unbedingt, da es Szenarien geben könnte, in denen der zusätzliche Schutz der physischen Geräte gewünscht wird. Zum Beispiel Schutz während der Zerstörung, Schutz vor dem Gastland oder Schutz bei Festplattenausfall unter anderen Situationen.

Im Text wurde die Frage etwas von der im Titel angegebenen geändert. Das Problem in der Hauptfrage war, dass die Daten nicht durch physischen Zugriff auf den Server, sondern durch logischen Zugriff auf die Daten kompromittiert wurden. Basierend auf den Antworten scheint es, dass FDE diesen Schutz nicht bietet. Die Lösung ist für den Benutzer transparent, bei dem die Daten beim Booten auf dem Server entschlüsselt werden. Zu diesem Zeitpunkt ist man auf andere Steuerelemente wie Firewalls, gute Zugriffsverwaltung, starke Authentifizierung und Patches angewiesen.

Ich bevorzuge, dass zusätzlich zu den Steuerelementen für die Verschlüsselung auf Datei- oder Feldebene der Zugriff auf die Verschlüsselungsschlüssel eingeschränkt wird, um eine zusätzliche Sicherheitsebene bereitzustellen.

Eine Sache, die ich nicht erwähnt habe, ist, dass ich gehört habe, dass FDE auch Schutz vor bestimmten Arten von Malware bieten kann, die die Informationen möglicherweise programmgesteuert kopieren. Ich konnte diese Aussage jedoch nicht durch Recherchen bestätigen.

Joachim Wagner
2015-07-27 18:16:10 UTC
view on stackexchange narkive permalink

Hier sind zwei weitere Vorteile (vorausgesetzt, Sie verwenden bei jeder Neuinstallation neue Verschlüsselungsschlüssel):

  • Wenn Sie Tools zur Dateiwiederherstellung ausführen, die das Vollblockgerät scannen, z. PhotoRec, Sie müssen nicht Tonnen alter Dateien überprüfen, die nicht mehr von Interesse sind.

  • Wenn Sie Dateisystemreparatur-Tools ausführen, die das Vollblockgerät scannen, werden Sie nicht ausgeführt das Risiko, Strukturen und Metadaten eines alten Dateisystems mit dem aktuellen zu verwechseln.

JJ



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...