GDPR - sifrovani disku na serveru

Ahoj,

neresil nekdo kvuli GDPR sifrovani disku s HW raidem na serverech? Mame dost HP G7 s P410 radicem, nedohledal jsem zatim zadne info. Akorat, ze je od G8 moznost mit HP Secure Encryption. Jak realne je nasazeni pripadne SW sifrovani dm-crypt/LUKS (ci jine) na Debian7, slouzici jako hypervizory (predpokladam, ze to ani nelze zasifrovat za behu)?

Diky.

Odpovědi

Jak realne je nasazeni pripadne SW sifrovani dm-crypt/LUKS

Velmi reálné.

predpokladam, ze to ani nelze zasifrovat za behu

Teoreticky by to šlo, bohužel to ale nikdo neimplementoval, nicméně lze to zašifrovat inplace (bez kopírování dat tam a zpátky) pomocí cryptsetup-reencrypt. Ale VM je nutno po dobu šifrování vypnout. Menší opruz (pokud máš místo) ale bude zašifrovat to na nové LV a to staré pak (bezpečně) smazat. A pokud jsou VM velké a chceš minimalizovat downtime, tak to zašifruj ze snapshotu a pak VM vypni a rsyncem zkopíruj jenom změněné soubory.

8.3.2018 10:49 MP
Rozbalit Rozbalit vše Re: GDPR - sifrovani disku na serveru

Snapshoty jsou totalne mimo hru.

Na tech hypervizorech je to takto:

hw raid-> vg -> lv -> drbd -> VM

Cili teoreticky muzu odstrelit cely hypervizor pro zasifrovani vg a pak udelat novy sync pres drbd obrazy. Pokud bude pozadavek na zasifrovani o hypervizoru, tak je to cely na reinstall (oser). Jenze nektere masiny jsou jen standalone (napr. backup)...

8.3.2018 11:43 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: GDPR - sifrovani disku na serveru

Jen nechápu jak šifrování souvisí s GDPR.

ach to gdpr... mělo by se to přejmenovat na ddpr (di do prdele). Na slovensku GDPR mají rok a stačilo tam podespat jednu A4 a jede se dál. Samozřejmě, pokud jste eshop, nebo tak něco, tak je to horší. V GDPR není nic psáno o nutnosti šifrovat, tam jde hlavně o zamezení přístupu lidem, kteří tam nemají mít přístup. Jednodušše řečeno - pokud jste firma s 5 lidmi, tak se udělá agenda, kde musí mít všichni přístup a jede se dál při starém. A pokud živnostník - tak buď šifruju a nebo si koupím fyzický trezor a tím tam zamezím přístupu. Ale na to opravdu raděj nějakýho konzultanta a ještě ideálněké tým - ajťák + právník, jako třeba http://www.gdpr-pardubice.cz/

Jak už napsali ostatní, GDPR neříká o šifrování vůbec nic.

Pokud přecejen chceš servery sifrovat, tak dm-crypt/LUKS samozřejmě bude fungovat dobře. Otázkou však je, kdo ten server po bootu odemkne, kdo zadá heslo k disku, nebo kde ten klíč bude uložen. To je velmi obtížně řešitelný problém. Pokud klíč bude uložen v serveru, tak šifrování nemá smysl. Pokud nebude, tak server sám nenabootuje nebo nespustí své služby. Pokud to chceš odemykat po SSH, tak zas potřebuješ mít jistotu, že server je stále ten samý server a bez modifikací, tedy že nikdo neupravil šifrovací nástroj, aby si uložil heslo/klíč.

Já už dlouho přemýšlím na tím, jak zašifrovat fyzický server tak, aby přežil výpadek proudu nebo reboot, ale přitom byl chráněn proti fyzickému útoku.

Hello world ! Segmentation fault (core dumped)

Dotaz: GDPR - sifrovani disku na serveru

Odpovědi