GH GambleHub

في الراحة التشفير

في الراحة التشفير

1) لماذا هي مطلوبة وما الذي نحميه بالضبط

التعريف. التشفير في الراحة هو حماية البيانات المكتوبة إلى الوسائط (الأقراص، اللقطات، النسخ الاحتياطية، الأشياء، السجلات، مقالب الذاكرة) بحيث لا يكشف الوصول غير المصرح به إلى الوسائط المادية أو التخزين «الخام» عن المحتوى.

ما نغطيه:
  • أحجام الكتلة/الملفات، مخزونات الكائنات، قواعد البيانات، قوائم الانتظار/الكهوف، مقالب المخابئ، السجلات/المسارات، النسخ الاحتياطية، التصدير/الاستيراد، لقطات VM/الحاويات، مقالب النواة/العمليات، مبادلة/مبادلة.
  • سيناريوهات الإيجارات المتعددة: العزلة بين العملاء/المشاريع/البيئات.

ما لا نغطيه بالكامل: سرقة الجلسات في الذاكرة، والهجمات على العملية الحية، ونقاط ضعف التطبيق، وتسوية أوراق الاعتماد. ويتطلب ذلك التشفير على متن الطائرة، والتوثيق/الإذن القوي، وتقليل الحقوق إلى أدنى حد ورصدها (انظر المواد ذات الصلة: «التوثيق والإذن»، و «التوقيع والتحقق من الطلبات»).

2) نموذج التهديد وأهداف السيطرة

المخاطر النموذجية:
  • فقدان/سرقة الوسائط (قرص، شريط، جهاز USB، جهاز مطور).
  • الوصول غير المصرح به إلى النسخ الاحتياطية/اللقطات/السجلات.
  • إساءة استخدام الامتيازات على مستوى المنصة/hypervisor/عقدة التخزين.
  • عبور المستأجرين لأخطاء التكوين.
  • ملفات ومقالب مؤقتة «متناثرة» تقع في القطع الأثرية والصور.
الأهداف:

1. سرية البيانات على الوسيلة.

2. العزلة التشفيرية للمستأجرين/البيئات.

3. قابلية الإدارة الرئيسية (الإنشاء والتخزين والتناوب والإلغاء).

4. قابلية المراجعة (من استخدم المفتاح ومتى).

5. التقليل إلى أدنى حد من المخاطر التشغيلية في حالة وقوع حوادث.

3) أساسيات الهندسة المعمارية

نحن نشفر كل شيء افتراضيًا. لا يُسمح بإلغاء الاشتراك بدون استثناءات على مستوى المخاطر.
التسلسل الهرمي الرئيسي (تشفير المغلف). Root/KEK → DEK (مفاتيح تشفير البيانات) → كائنات/ملفات/صفحات قاعدة البيانات.
KMS/HSM كمصدر للثقة. توليد وتخزين KEK في KMS/HSM، يتم تنفيذ عمليات التغليف/النشر الرئيسية هناك.
مفاتيح لكل مستأجر/لكل مجموعة بيانات. دقة متطلبات العزل والتناوب.
الفصل بين الواجبات. أوامر المنصة ≠ أصحاب المفاتيح المستأجرة ؛ الحد الأدنى من الامتيازات.
خفة الحركة المشفرة. القدرة على ترحيل الخوارزميات/أطوال المفاتيح بأمان.
التناوب كعملية وليس حدثًا. يجب أن تدعم المفاتيح والبيانات استبدال «الدوران».

4) خوارزميات وأوضاع التشفير

بالنسبة للأشياء/الملفات/السجلات: AES-256-GCM أو AES-256-SIV (AEAD مع التوثيق).
لأجهزة/أحجام الكتلة: AES-XTS-256/512 (الحماية من تبديل الكتلة ؛ ليس AEAD - استخدم تنسيقات الملفات مع MAC حيث تكون النزاهة مهمة).

لقواعد البيانات:
  • TDE (تشفير شفاف للبيانات) движка: Oracle TDE, SQL Server TDE, MySQL/InnoDB TDE и пр.
  • تشفير الحقل/الخط (FPE/التشفير الحتمي) - لقدرات البحث/جوينز على الحقول المشفرة ؛ تنطبق بحكمة.
  • توليد وتخزين المفاتيح: KEK - في KMS/HSM ؛ DEK - في ذاكرة التطبيقات قصيرة العمر وأثناء التخزين - ملفوفة فقط.

5) التسلسل الهرمي الرئيسي و KMS/HSM

المستويات:

1. مفتاح الجذر (قانوني، في HSM/KMS). لا يترك محيط HSM/KMS.

2. KEK (مفتاح التشفير الرئيسي). للمشروع/البيئة/المستأجر. يدير دورة حياة DEK.

3. DEK (مفتاح تشفير البيانات). لكل كائن/ملف/جدول/جزء. قصيرة العمر، تدور دون توقف.

الممارسات:
  • جميع عمليات التغليف/النشر يتم عن طريق KMS API مع مراجعة الحسابات.
  • السياسيون: من يمكنه «استخدام» ≠ المفتاح الذي يمكنه «التحكم» في المفتاح.
  • التوزيع الجغرافي الرئيسي: التحكم المزدوج بين الأقاليم.
  • يمكن استخدام نموذج «التحقق مرتين» (مشغلان) للعمليات عالية الخطورة.
  • لعزل مستوى قوي - حلقات مفاتيح منفصلة لكل مستأجر.

6) التناوب والاستدعاء والامتثال

دوران DEK: شفاف وثابت (إعادة التشفير المتداول على مستوى الكائن/الصفحة).
تناوب KEK: دوري (على سبيل المثال، كل 6-12 شهرًا) + استدعاء فوري إذا اشتبه في تعرضه للخطر.
إلغاء إمكانية الوصول: من خلال سياسات نظام إدارة كوسوفو ؛ منع عمليات فك الغلاف = «إمكانية تدمير التشفير» الفورية للبيانات.
سجلات مراجعة الحسابات: من، متى، مع الحقوق التي استخدمت المفاتيح ؛ تخزين منفصل وأيضا التشفير.
اللوائح والمعايير: نركز على متطلبات الصناعة (على سبيل المثال، تصاريح GDPR/PCI/المنظمين المحليين)، نستخدم وحدات تشفير معتمدة (على سبيل المثال، الامتثال لمستويات التصديق).

7) الأنماط حسب نوع التخزين

7. 1 مجلدات الكتلة/الملف و VM/الحاويات

التشفير الكامل للقرص (XTS) + إدارة المفاتيح عبر KMS (بدء الحجم أثناء التركيب).
حماية المقايضة، مقالب التصادم، أدلة tmp، طبقات تراكب الحاويات ،/صور AMI.
لقطات/لقطات - مشفرة دائمًا باستخدام DEKs منفصلة.

7. 2 تخزين الكائنات

تشفير المغلف: DEK فريد لكل جسم ؛ الرؤوس/البيانات الوصفية - لا تسرب PII.
التحكم في الوصول إلى مفتاح KMS من قبل المستأجرين والبيئات.
تشفير جانب الخادم (SSE مع KMS الخاص به) أو جانب العميل (CSE) - اختر وفقًا لنموذج الثقة.

7. 3 قواعد بيانات

تمكين TDE حيثما كان ذلك متاحًا ؛ ربط مفاتيح قاعدة البيانات إلى KMS عبر الملحق/التمديد.
للحقول الحساسة بشكل خاص - تشفير التطبيقات (AEAD) قبل الدخول إلى قاعدة البيانات.
إعادة تشغيل السجلات/سجلات المعاملات، سجلات الأرشيف، المقالب - تشفير منفصل، مفاتيح - منفصل.

7. 4 سجلات/مسارات/مقاييس

شكل سجل - بدون بيانات حساسة افتراضيًا (الصرف الصحي).
سجل الأرشيف - مفاتيح منفصلة وتخزين TTL قصير.
الوصول إلى سجلات القراءة - من خلال خدمة بالوكالة مع A&A والتدقيق.

7. 5 نسخ احتياطية ووسائط غير متصلة بالإنترنت

قم بتشفير العميل دائمًا قبل الكتابة على شريط/سحابة.
تخزين المفاتيح بشكل منفصل (خارج النطاق)، ضمان مع مراقبة منفصلة.
بالنسبة لحالات الطوارئ، تقسيم السر (على سبيل المثال، m-of-n) لاستعادة الوصول الرئيسي.

8) متعدد المستأجرين

مفتاح المستأجر: KEK-per-tenant + DEK-per-datast.
عزل السياسة: مساحات أسماء KMS، حدود IAM، أدوار المشردين داخليًا الفردية.
الإزالة بناءً على طلب العميل: «محو التشفير» - سحب KEK للمستأجر وتدمير DEK.
الإبلاغ عن العملاء: القطع الأثرية للامتثال، سجلات الوصول الرئيسية، تأكيد التناوب.

9) الأداء والتشغيل

تسارع الأجهزة (AES-NI/x86، ARMv8 ملحقات التشفير).
تحديد سمات المسار الساخن: قم بتشفير حدود I/O، وتجنب التشفير المزدوج دون داع.
برك جلسات KMS، وخزانات DEK ملفوفة في الذاكرة (مع TTL وحماية التفريغ).
SLO/metrics: كمون الغلاف، نسبة الأجسام «المعاد تشفيرها»، أخطاء KMS، سرعة التشفير الاحتياطية.

10) دليل المرجع

الخطوة 0 - جرد البيانات. فهرسة جميع المستودعات ومسارات التسرب (tmp, dumps, export, analytics bulets).
الخطوة 1 - تصميم التسلسل الهرمي الرئيسي. نحدد مستويات KEK/DEK، والدقة، والمناطق، والأدوار.
الخطوة 2 - تحديد الأوضاع/المكتبات. الخوارزميات المعتمدة، مكتبات التشفير، سياسات الإصدار.
الخطوة 3 - التكامل مع KMS/HSM. التوليد/التغليف/التدقيق، سياسات الإدارة المتكاملة للمعلومات، التثبيت الجغرافي.
الخطوة 4 - التشفير لكل كتابة. تمكين افتراضيًا، نقل البيانات الموجودة من خلال إعادة تشفير الخلفية.
الخطوة 5 - سيناريوهات التناوب والطوارئ. اللوائح، اختبار «حل وسط رئيسي»، «KMS غير متوفر».
الخطوة 6 - الرصد ومراجعة الحسابات. لوحات القيادة، التنبيهات، تقارير الامتثال المنتظمة.
الخطوة 7 - التدريب و "الترميز الآمن. "أدلة للمهندسين، حظر عرض الأسرار في جذوع الأشجار/المقالب.

11) الاختبار والتحقق

اختبارات وحدة التشفير: صحة AEAD (فحص العلامة)، التحقق من صحة الفشل عند تغيير البايت.
اختبارات الفشل: تعطيل KMS، الإصدارات الرئيسية القديمة، الإلغاء القسري لشركة KEK.
الاختبارات الحمراء/الزرقاء: محاولات لقراءة القرص «الخام »/لقطة/احتياطية.
التحقق من التوافق: ترحيل الخوارزميات/أطوال المفتاح (خفة الحركة المشفرة).
شهادة المكتبة: استخدام وحدات التشفير التي تم التحقق منها فقط ؛ تلتزم الإصدارات.

12) الأخطاء المتكررة وكيفية تجنبها

تشفير مزدوج بدون معنى الوقت الزائد والتعقيد. امسك طبقة تعطي الدقة والعزلة المرغوبة.
تخزين المفاتيح بجانب البيانات. المفاتيح دائمًا منفصلة، تحت نموذج وصول مختلف.
القطع الأثرية المنسية. ملفات مؤقتة غير مشفرة، تصدير CSV، مقالب دعم. تمكين الرصد في CI/CD ومنع فقدان البيانات.
عدم التناوب. اجعل الدوران جزءًا من خط الأنابيب/كرون، وليس إجراءً يدويًا.
سجلات مع بيانات حساسة. ابرم عقدًا لتنسيق السجل والمعقمات التلقائية.

13) وصفات صغيرة (كاذب)

تشفير جسم المغلف: 

1) Request unwrap DEK from KMS by tenant KEK id dek = kms. unwrap(kek_id, wrapped_dek)

2) Generate fresh nonce/iv, encrypt payload (AEAD)
ciphertext, tag = aead_encrypt(dek, iv=random(), aad=metadata, plaintext=data)

3) Delete DEK from memory (zeroize), save {ciphertext, iv, tag, wrapped_dek}
دوران KEK دون توقف: 

For each object:
new_wrapped_dek = kms. rewrap(old_wrapped_dek, old_kek_id -> new_kek_id)
store(new_wrapped_dek)
We do not touch the data: we turn over only DEK
«التشفير حذف» مجموعة البيانات: 

kms. disable_key (tenant_kek_id) # Deny unwrap kms. schedule_destroy (tenant_kek_id, hold_period_days=7) # Optional hold

14) القوائم المرجعية

قبل الانطلاق في الإنتاج:
  • يتم تمكين التشفير الافتراضي على جميع أنواع التخزين.
  • وصف وتنفيذ التسلسل الهرمي الرئيسي ؛ وتشكيل سياسات الإدارة المتكاملة المتكاملة.
  • KMS/HSM متكامل، تم تمكين مراجعة العمليات الرئيسية.
  • تدوير شركة KEK/KEK آليًا ؛ سيناريوهات التسوية.
  • النسخ الاحتياطية واللقطات والسجلات والمكبات - مشفرة ؛ يتم تخزين المفاتيح بشكل منفصل.
  • تنبيهات معدة لأخطاء KMS، انحرافات علامة AEAD، نسبة القطع الأثرية غير المشفرة.
  • عدم توفر KMS واجتياز اختبارات الإلغاء الرئيسية.
العملية:
  • تقرير شهري عن محاولات الاستخدام الرئيسية والوصول.
  • خطة رشاقة التشفير ونافذة لترحيل الخوارزمية غير المؤلمة.
  • فريق أحمر دوري لاستخراج البيانات من الوسائط الخام.

15) سؤال وجواب (الأسئلة الشائعة)

س: هل تشفير القرص الكامل كافٍ ؟

ج: بالنسبة للمخاطر المادية - نعم، ولكن لعزل المستأجرين والتناوب المرن مظروف أفضل مع DEK-on-object/set.

س: ماذا تفعل عندما يتم اختراق KEK ؟

ج: استدعي KEK على الفور إلى KMS، وأعد إصدار جديد، وأعد غلاف جميع DEKs، وفحص السجلات وتشغيل RCA.

س: كيف نشفر الحقول التي نبحث عنها ؟

ألف- استخدام مخططات حتمية أو معدات لتقييم المخاطر فقط في تقييم دقيق للمخاطر (نمط ليكس). من الأفضل تصميم الاستفسارات حتى لا تتطلب الحقول الحساسة رؤية مفتوحة مفهرسة.

س: هل أحتاج إلى أمر منفصل للمفاتيح ؟

ج: يوصى بمشغل Crypto/KMS كدور له حقوق وإجراءات منفصلة.

المواد ذات الصلة في قسم الهندسة المعمارية والبروتوكولات:
  • «الإدارة والتناوب الرئيسيان»
  • «التوثيق S2S»
  • «توقيع الطلبات والتحقق منها»
  • "توصيل OAuth2/OpenID في Kernel'
  • «ضمانات تسليم الويب»
Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.