【.comQuickTranslation】人们常常认为,由于服务器被锁定在数据中心,并且由于数据在不断使用,因此没有必要对服务器驱动器进行加密,因为数据永远不会处于静止状态。在考虑IT安全性时,可以忽略的一个方面是企业服务器的物理安全性。人们通常认为,由于服务器被锁定在数据中心并且数据一直在使用,因此没有必要加密服务器驱动器,因为数据永远不会处于静止状态。然而,这个想法带来了一个主要的潜在问题。最终,所有驱动器都需要维修或处置,并且必须离开数据中心。对它们进行加密是保护其数据免遭无意或有意泄露的唯一方法。除此之外,考虑到媒体似乎无休止的泄密事件,以及遵守GDPR、HIPAA和所有50项州法规的需要,明智的做法是随时随地加密所有内容。如果你有一台Linux服务器,你可能认为你受到了保护,因为Linux已经内置了多年的加密技术。但事实可能并非如此。为什么?以下是Linux内置的磁盘加密功能:dm-cryptdm-crypt是Linux内核中的透明磁盘加密子系统。它是一种基于块设备的抽象机制,可以嵌入到磁盘等其他块设备上。因此,它是全盘加密(FDE)的理想技术。实际的加密并没有内置到dm-crypt中,而是利用内核的CryptoAPI中的加密例程(例如AES)。LUKSLUKS(LinuxUnifiedKeyScheme)是一种磁盘加密规范,为各种工具(如标准加密头)指定了一种平台无关的标准磁盘格式,并为实现密码管理机制提供了基础。LUKS在Linux上运行,基于增强版的cryptsetup,它使用dm-crypt作为磁盘加密后端。dm-crypt和LUKS共同构成了一个简单的“独立”密码验证FDE应用程序的基础。但是,这不是企业级解决方案。问题是,Linux原生的FDE在数据保护方面留下了漏洞,包括:没有集中的密码、密钥管理和加密服务器的备份。困难的根卷加密为错误留下了空间。没有简单的方法来加密擦除被黑的驱动器。缺乏加密设备的统一合规性视图来证明所有服务器的加密状态。Linux服务器内置的管理和合规性特性的缺乏,使得企业很难做好加密和数据保护。那么,使用Linux服务器的企业如何才能最好的解决这个问题呢?他们应该寻找包括以下功能特性的解决方案:加密和密钥管理是分开的为了获得最佳结果,加密产品应该分为两个部分:加密和密钥管理,因为提供这两个部分的专业知识非常不同。为了获得额外的保护,请考虑一个基于dm-crypt而不是替换dm-crypt的解决方案,以实现更好的加密管理。强大的身份验证随着当今对身份和访问控制的关注,拥有一个加密解决方案来提供更强大的服务器身份验证机制以确保数据不被泄露是很重要的。基于网络的预启动身份验证可以提供此功能,从而在操作系统启动之前增强安全性。确保根卷和数据卷加密以及加密擦除受损驱动器的简单方法根卷加密、数据卷加密和加密交换分区都是安全性和合规性所必需的。寻找一种解决方案,以一种简单的方式做到这一点。此外,该解决方案应该有一个简单的机制,用于在驱动器被黑客攻击或以其他方式使用时以加密方式擦除所有数据。出于合规原因,还必须记录此操作。加密设备、密钥和恢复信息的集中合规性视图和管理通过这种类型的可见性,您可以查看企业中的Linux服务器是否已加密并符合加密策略。服务器将其加密状态(针对所有磁盘)传达给中央控制台。因此,如果服务器丢失,IT将向审计员提供其加密状态的证明。此外,从中央控制台对加密的Linux服务器执行整体密码恢复、操作和管理也很重要。控制台还应该提供集中备份加密密钥和恢复信息的能力。为服务器(包括Linux服务器)提供无缝集成的加密解决方案至关重要。借助上面列出的几类功能,在发生数据泄露时,企业可以完全做好准备来保护他们拥有的机密信息并满足越来越多的合规性法规的要求。原标题:你的Linux服务器真的受到保护了吗?,作者:GarryMcCracken
