GH GambleHub

At Rest დაშიფვრა

დაშიფვრა At Rest

1) რატომ გვჭირდება ეს და რას ვიცავთ

განმარტება. დაშიფვრა არის გადამზიდავზე ჩაწერილი მონაცემების დაცვა (დისკები, სლაიდები, ზურგჩანთები, ობიექტები, ლოგოები, მეხსიერების ნაგავი) ისე, რომ ფიზიკურ მედიაზე ან „ნედლეულზე“ უნებართვო წვდომა არ გაამჟღავნებს შენარჩუნებას.

რას ვფარავთ:
  • ბლოკი/ფაილური ტომი, ობიექტის საცავი, მონაცემთა ბაზები, რიგები/კაველი, ქეშები, ლოგები/ტრეისი, სარეზერვო ასლები, ექსპორტი/იმპორტი, BM/კონტეინერების სურათები, ბირთვის/პროცესების ნაგავსაყრელები, ტუმბო/swap.
  • მრავალსართულიანი სცენარები: იზოლაცია მომხმარებელთა/პროექტებს/გარემოს შორის.

რაც სრულად არ არის დაფარული: მეხსიერებაში სესიების ქურდობა, ცოცხალი პროცესის შეტევები, პროგრამის დაუცველობა, რწმუნებათა სიგელების კომპრომისი. ეს მოითხოვს „ფრენის დროს“ დაშიფვრას, მკაცრ ავთენტიფიკაციას/ავტორიზაციას, უფლებების შემცირებას და მონიტორინგს (იხ. დაკავშირებული სტატიები: „ავთენტიფიკაცია და ავტორიზაცია“, „მოთხოვნის ხელმოწერა და გადამოწმება“).

2) მუქარის მოდელი და კონტროლის მიზანი

ტიპიური რისკები:
  • გადამზიდავის დაკარგვა/ქურდობა (დისკი, ფირზე, USB, დეველოპერის მოწყობილობა).
  • უნებართვო წვდომა bacaps/snapshots/logs.
  • პრივილეგიების ბოროტად გამოყენება პლატფორმის/ჰიპერვიზორის/ვარსკვლავური ნომრის დონეზე.
  • მოიჯარეების გადაკვეთა კონფიგურაციის შეცდომებში.
  • დროებითი ფაილები და ნამსხვრევები, რომლებიც შედიან არტეფაქტებსა და სურათებში.
მიზნები:

1. მონაცემების კონფიდენციალურობა მედიაში.

2. მოიჯარეების/გარემოს კრიპტოგრაფიული იზოლაცია.

3. გასაღებების მართვა (შექმნა, შენახვა, როტაცია, გაყვანა).

4. აუდიტი (ვინ და როდის გამოიყენა გასაღები).

5. ოპერატიული რისკების შემცირება ინციდენტებში.

3) არქიტექტურის ძირითადი პრინციპები

ნაგულისხმევი დაშიფვრა. Opt-out აკრძალულია გამონაკლისის გარეშე რისკის დონეზე.
გასაღების იერარქია (envelope encryption). Root/KEK - DEK (მონაცემთა encryption keys) - ობიექტები/ფაილები/BD გვერდები.
KMS/HSM, როგორც ნდობის წყარო. KEK- ის წარმოება და შენახვა KMS/HSM- ში, კლავიშების გადაბრუნების/განლაგების ოპერაციები ხორციელდება იმავე ადგილას.
Per-tenant/per-dataset გასაღებები. შეზღუდვა იზოლაციისა და როტაციის მოთხოვნების შესაბამისად.
პასუხისმგებლობების გამიჯვნა. პლატფორმის ბრძანებები - მოიჯარეების გასაღებების მფლობელები; მინიმალური პრივილეგიები (PoLP).
Crypto-agility. ალგორითმების/კლავიშის სიგრძის უსაფრთხოდ მიგრირების შესაძლებლობა.
როტაცია, როგორც პროცესი და არა მოვლენა. გასაღებებმა და მონაცემებმა უნდა შეინარჩუნოს „მოცურების“ შემცვლელი.

4) ალგორითმები და დაშიფვრის რეჟიმები

ობიექტებისთვის/ფაილებისთვის/ჩანაწერებისთვის: AES-256-GCM ან AES-256-SIV (AEAD ავთენტიფიკაციით).
ბლოკის მოწყობილობებისთვის/ტომებისთვის: AES-XTS-256/512 (ბლოკის გადაკეთებისგან დაცვა; AEAD არ არის ფაილური ფორმატის თავზე გამოყენება MAC- ით, სადაც მთლიანობა მნიშვნელოვანია).

მონაცემთა ბაზისთვის:
  • TDE (Transparent Data Encryption) движка: Oracle TDE, SQL Server TDE, MySQL/InnoDB TDE и пр.
  • საველე/მცირე კრიპტოგრაფია (FPE/დეტერმინის დაშიფვრა) - დაშიფრული ველებზე ძებნის/ჯოინის შესაძლებლობებისთვის; სიფრთხილე გამოიჩინეთ.
  • გასაღებების გამომუშავება და შენახვა: KEK - KMS/HSM- ში; DEK - მოკლევადიანი პროგრამების მეხსიერებაში, შენახვის დროს - მხოლოდ დახრილი ფორმით.

5) გასაღების იერარქია და KMS/HSM

დონე:

1. Root key (წესდება, HSM/KMS- ში). არ ტოვებს HSM/KMS პერიმეტრს.

2. KEK (Key Encryption Key). პროექტისთვის/გარემო/მოიჯარე. მართავს DEK სასიცოცხლო ციკლს.

3. DEK (Data Encryption Key). ობიექტისთვის/ფაილი/ცხრილი/სეგმენტი. მოკლე, როტაცია შეჩერების გარეშე.

პრაქტიკა:
  • ყველა ჩამოსხმის/განლაგების ოპერაცია - KMS API- ის საშუალებით აუდიტით.
  • პოლიტიკოსები: ვისაც შეუძლია „გამოიყენოს“ გასაღები, რომელსაც შეუძლია „მართოს“ გასაღები.
  • გასაღებების განაწილება: pin-to-region + ორმაგი კონტროლი ინტერრეგიონისთვის.
  • შესაძლებელია მაღალი რისკის ოპერაციებისთვის „ორსაფეხურიანი“ მოდელი (ორი ოპერატორი).
  • ძლიერი დონის იზოლირებისთვის - მოიჯარეზე ინდივიდუალური სახეები.

6) როტაცია, მიმოხილვა და შესაბამისობა

DEK როტაცია: გამჭვირვალე და მუდმივად (rolling re-encryption ობიექტების/გვერდების დონეზე).
KEK როტაცია: პერიოდული (მაგალითად, 6-12 თვეში ერთხელ) + დაუყოვნებელი მიმოხილვა, როდესაც ეჭვმიტანილია კომპრომისზე.
წვდომის მიმოხილვა: KMS პოლიტიკის საშუალებით; unwrap ოპერაციების დაბლოკვა = მონაცემთა მყისიერი „კრიპტო განადგურება“.
აუდიტის ჟურნალები: ვინ, როდის, რა უფლებებით გამოიყენა გასაღებები; შეინახეთ ცალკე და ასევე დაშიფვრა.
სტანდარტები და სტანდარტები: ჩვენ ყურადღებას ვაქცევთ ინდუსტრიის მოთხოვნებს (მაგალითად, GDPR/PCI მიღებები/ადგილობრივი რეგულატორები), ვიყენებთ სერტიფიცირებულ კრიპტომოდულს (მაგალითად, სერტიფიკაციის დონის შესაბამისობას).

7) ნიმუშები შენახვის ტიპების მიხედვით

7. 1 ბლოკი/ფაილური ტომი და BM/კონტეინერები

სრული დისკის დაშიფვრა (XTS) + KMS- ის საშუალებით კლავიშების მართვა (ტომის ინიციალიზაცია მონტაჟის დროს).
დაიცავით swap, crash dumps, tmp დირექტორია, კონტეინერის overlay ფენები, სურათები/AMI.
სურათები/ჭურვები - ყოველთვის დაშიფრული ფორმით ინდივიდუალური DEK- ით.

7. 2 ობიექტის საცავი

Envelope encryption: უნიკალური DEK ობიექტისთვის; სათაურები/მეტამონაცემები - PII გაჟონვის გარეშე.
KMS- ზე წვდომის კონტროლი მოიჯარეებსა და გარემოზე.
დაშიფვრის სერვერის მხარე (SSE საკუთარი KMS) ან კლიენტის მხარე (CSE) - აირჩიოთ კონფიდენციალური მოდელის მიხედვით.

7. 3 მონაცემთა ბაზა

ჩართეთ TDE, სადაც ის ხელმისაწვდომია; BD გასაღებები დაუკავშირეთ KMS- ს მოდულის/ექსტენის საშუალებით.
განსაკუთრებით მგრძნობიარე ველებისთვის - გამოყენებითი დაშიფვრა (AEAD) BD- ში შესვლამდე.
ჟურნალები იშვიათი/გარიგების ლოგოები, საარქივო ლოგოები, ნაგავსაყრელები - ცალკე დაშიფვრა, გასაღებები - ცალკეული.

7. 4 ლოგიკა/ტრეისი/მეტრიკა

ლოგოების ფორმატი - მგრძნობიარე ნაგულისხმევი მონაცემების გარეშე (გააქტიურება).
ლოგების არქივები - ცალკეული გასაღებები და მოკლე TTL შენახვა.
ლოგოების კითხვაზე წვდომა - მარიონეტული სერვისით A & A- ით და აუდიტით.

7. 5 სარეზერვო ასლები და ოფლაინ მატარებლები

ყოველთვის დაშიფვრა კლიენტის მხარეს, სანამ ფირზე/ღრუბელზე ჩაწერს.
შეინახეთ გასაღებები ცალკე (out-of-band), escrow ცალკეული კონტროლით.
საგანგებო შემთხვევებისთვის - საიდუმლოების გამიჯვნა (მაგალითად, m-of-n) სამაგისტრო წვდომის აღდგენის მიზნით.

8) მრავალმხრივი (მრავალმხრივი)

მოიჯარე გასაღები: KEK-per-tenant + DEK-per-dataset.
პოლიტიკოსების იზოლაცია: KMS, IAM საზღვრების სახელების ადგილები, ინდივიდუალური IDP როლები.
მოცილება კლიენტის მოთხოვნით: „კრიპტო-წაშლა“ - მოიჯარე KEK- ის ამოღება და DEK- ის განადგურება.
ანგარიში კლიენტისთვის: შესაბამისობის არტეფაქტები, კლავიშებზე წვდომის ლოგოები, როტაციის დადასტურება.

9) პროდუქტიულობა და ექსპლუატაცია

აპარატურის აჩქარება (AES-NI/x86, ARMv8 Crypto Extensions).
ცხელი ბილიკების პროფილირება: დაშიფვრა I/O საზღვრებზე, თავიდან ავიცილოთ ორმაგი დაშიფვრა საჭიროების გარეშე.
KMS სესიების აუზები, გახვეული DEK- ის ქეშირება მეხსიერებაში (TTL- ით და დამტვრევებისგან დაცვა).
SLO/მეტრიკა: ლატენტობა unwrap, „დაშიფრული“ ობიექტების წილი, KMS შეცდომები, bacap დაშიფვრის სიჩქარე.

10) განხორციელების პროცესი

ნაბიჯი 0 - მონაცემთა ინვენტარიზაცია. ყველა საცავის და გაჟონვის მარშრუტის კატალოგის (tmp, dumps, ექსპორტი, ანალიზური სატანკოები).
ნაბიჯი 1 - საკვანძო იერარქიის დიზაინი. ჩვენ ვადგენთ KEK/DEK- ის დონეს, მარცვლეულობას, რეგიონებს, როლებს.
ნაბიჯი 2 - რეჟიმების/ბიბლიოთეკების არჩევანი. დამტკიცებული ალგორითმები, კრიპტობიოტეკები, ვერსიის პოლიტიკა.
ნაბიჯი 3 - ინტეგრაცია KMS/HSM- სთან. თაობა/შეფუთვა/აუდიტი, IAM პოლიტიკოსები, გეო-პინინგი.
ნაბიჯი 4 - ჩაწერის დაშიფვრა. ნაგულისხმევი მონაცემების ჩართვა, არსებული მონაცემების მიგრაცია ფონის რეენკრიპტის საშუალებით.
ნაბიჯი 5 - როტაცია და გადაუდებელი სცენარები. რეგულაციები, ტესტები „კეი კომპრომისი“, „KMS არ არის ხელმისაწვდომი“.
ნაბიჯი 6 - მონიტორინგი და აუდიტი. დაშბორდები, ალერტები, შესაბამისობის რეგულარული მოხსენებები.
ნაბიჯი 7 - ტრენინგი და „საიდუმლო კოდირება“. Gaydes ინჟინრებისთვის, აკრძალულია საიდუმლოებების logs/damps.

11) ტესტირება და გადამოწმება

კრიპტო-ერთეულის ტესტები: AEAD- ის სისწორე (ჭდეების შემოწმება), ბაიტის შეცვლის დროს უარის თქმის მიზანშეწონილობა.
Failure-tests: KMS გამორთვა, მოძველებული გასაღების ვერსიები, KEK- ის იძულებითი მიმოხილვა.
Red/Blue ტესტები: მცდელობები წაიკითხონ „ნედლეული“ დისკი/snapshot/bacap.
თავსებადობის შემოწმება: ალგორითმების/კლავიშის სიგრძის მიგრაცია (crypto-agility).
ბიბლიოთეკების სერთიფიკატი: გამოიყენეთ მხოლოდ დადასტურებული კრიპტომოდულები; ჩაწერეთ ვერსიები.

12) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

ორმაგი დაშიფვრა მნიშვნელობის გარეშე. ზედმეტი ლატენტობა და სირთულე. შეინარჩუნეთ ფენა, რომელიც იძლევა სასურველ მარცვლეულს და იზოლაციას.
კლავიშების შენახვა მონაცემების მახლობლად. გასაღებები ყოველთვის ცალკე, წვდომის სხვა მოდელის ქვეშ.
დავიწყებული ნივთები. დაშიფრული დროებითი ფაილები, CSV ექსპორტი, დამხმარე ნაგავსაყრელები. ჩართეთ კონტროლი CI/CD და Data Loss Prevention.
როტაციის ნაკლებობა. გახადეთ როტაცია მილის/cron- ის ნაწილად, და არა სახელმძღვანელო პროცედურა.
ლოგიკა მგრძნობიარე მონაცემებით. შემოიტანეთ ხელშეკრულება ლოგებისა და ავტომატური მედესანტეების ფორმატში.

13) მინი რეცეპტები (ფსევდო კოდი)

ობიექტის Envelope დაშიფვრა: 

1) Request unwrap DEK from KMS by tenant KEK id dek = kms. unwrap(kek_id, wrapped_dek)

2) Generate fresh nonce/iv, encrypt payload (AEAD)
ciphertext, tag = aead_encrypt(dek, iv=random(), aad=metadata, plaintext=data)

3) Delete DEK from memory (zeroize), save {ciphertext, iv, tag, wrapped_dek}
KEK როტაცია უსაქმურობის გარეშე: 

For each object:
new_wrapped_dek = kms. rewrap(old_wrapped_dek, old_kek_id -> new_kek_id)
store(new_wrapped_dek)
We do not touch the data: we turn over only DEK
მონაცემთა ნაკრების „კრიპტო მოცილება“: 

kms. disable_key (tenant_kek_id) # Deny unwrap kms. schedule_destroy (tenant_kek_id, hold_period_days=7) # Optional hold

14) ჩეკის ფურცლები

პროდუქტების დაწყებამდე:
  • ნაგულისხმევი დაშიფვრა ჩართულია ყველა ტიპის საცავზე.
  • გასაღების იერარქია აღწერილია და ხორციელდება; IAM პოლიტიკის როლები მორგებულია.
  • KMS/HSM ინტეგრირებულია, შედის საკვანძო ოპერაციების აუდიტი.
  • DEK/KEK როტაცია ავტომატიზირებულია; შემუშავებულია კომპრომისული სცენარები.
  • Bacaps, snapshots, logs და dumps - დაშიფრულია; გასაღებები ცალკე ინახება.
  • ალერტები შედგენილია KMS- ის შეცდომებზე, AEAD- ტეგების გადახრებზე, დაშიფრული არტეფაქტების წილზე.
  • ტესტები ჩატარდა KMS- ის მიუწვდომლობისა და გასაღებების მიმოხილვისთვის.
ოპერაცია:
  • ყოველთვიური ანგარიში კლავიშების გამოყენებისა და დაშვების მცდელობების შესახებ.
  • კრიპტო-აგილიტის გეგმა და ალგორითმების უმტკივნეულო მიგრაციის ფანჯარა.
  • პერიოდული Red-team მონაცემების მოპოვებისთვის „ნედლეული“ მატარებლებისგან.

15) კითხვები და პასუხები (FAQ)

გ: საკმარისია სრული დისკის დაშიფვრა?
ო: ფიზიკური რისკებისთვის - დიახ, მაგრამ მოიჯარეების იზოლირებისა და მოქნილი როტაციის მიზნით, უმჯობესია envelope ერთად DEK ობიექტი/ნაკრები.

გ: რა უნდა გავაკეთოთ KEK- ის კომპრომისზე?
O: დაუყოვნებლივ გაიხსენეთ KEK KMS- ში, ხელახლა გამოსცეს ახალი, შეასრულეთ ყველა DEK- ის ხელახალი გამოცემა, შეამოწმეთ ჟურნალები და ჩაატარეთ RCA.

გ: როგორ დავიცვათ ის სფეროები, რომლებზეც ვეძებთ?
O: გამოიყენეთ დეტერმინის სქემები ან FPE მხოლოდ რისკების მკაცრი შეფასებით (ნიმუშების ნიმუშები). უმჯობესია შეადგინოთ მოთხოვნები ისე, რომ მგრძნობიარე ველები არ საჭიროებს ინდექსირებულ ღია ტიპს.

გ: საჭიროა გასაღებების ცალკეული გუნდი?
O: რეკომენდებულია „Crypto/KMS ოპერატორი“, როგორც როლი ინდივიდუალური უფლებებითა და პროცედურებით.

დაკავშირებული მასალები განყოფილებაში „არქიტექტურა და ოქმები“:
  • „კლავიშების მართვა და როტაცია“
  • „S2S ავთენტიფიკაცია“
  • „მოთხოვნის ხელმოწერა და გადამოწმება“
  • OAuth2/OpenID Connect ბირთვში
  • „ვებ ჰუკების მიწოდების გარანტიები“
Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.