Ат Rest шифрлөө

At Rest шифрлөө

1) Эмне үчүн керек жана биз так эмне коргоп

Аныктамасы. Atrest шифрлөө - бул физикалык ташуучуга же "чийки" сактагычка уруксатсыз кирүү мазмунду ачыкка чыгарбоо үчүн ташуучуга (дисктер, снапшоттор, бекаптар, объектилер, логилер, эс тутум дампалары) жазылган маалыматтарды коргоо.

• Block/File томдору, объект сактагычтар, маалымат базалары, кезек/кейвел, кэш-дампалар, логи/трейдер, резервдик көчүрмөлөр, экспорт/импорт, ВМ/контейнерлердин сүрөттөрү, ядро/процесстер дампалары, насостук/swap.
• Көп ижара жагдайлар: кардарлар/долбоорлор/айлана-чөйрө ортосунда обочолонуу.

Биз толугу менен камтыбаган нерсе: эс сеанстарды уурдоо, тирүү процесске кол салуу, колдонмонун алсыздыгы, эсеп маалыматтарын компромисске келтирүү. Бул үчүн "учууда" шифрлөө, катуу аутентификация/авторизация, укуктарды минималдаштыруу жана мониторинг талап кылынат (караңыз: "Аутентификация жана авторизация", "Кол коюу жана суроо-талаптарды текшерүү").

2) коркунуч модели жана контролдоо максаттары

• Жоготуу/уурдоо медиа (диск, лента, USB, түзмөк иштеп).
• Backup/snapshot/логдорго уруксатсыз кирүү.
• Платформа/гипервизор/storaj-nod деңгээлинде артыкчылыктарды кыянаттык менен пайдалануу.
• Конфигурациянын каталары болгон учурда ижарачылардын кесилиши.
• Артефакттарга жана образдарга кирген убактылуу файлдар жана дампалар.

1. Маалымат каражатындагы маалыматтардын купуялуулугу.

2. Ижарачылардын/чөйрөнүн крипто изоляциясы.

3. Ачкычтарды башкаруу (түзүү, сактоо, ротациялоо, чакыртып алуу).

4. Текшерүү жөндөмдүүлүгү (ачкычты ким жана качан колдонгон).

5. Инциденттерде эксплуатациялык тобокелдиктерди минималдаштыруу.

3) Архитектуранын негизги принциптери

Баарын демейки менен шифрлейбиз. Opt-out тобокелдиктин деңгээлинде өзгөчөлүктөрсүз тыюу салынат.
Ачкычтар иерархиясы (envelope encryption). Root/KEK → DEK (data encryption keys) → объектилер/файлдар/беттер DD.
KMS/HSM ишеним булагы катары. KEKди KMS/HSMде түзүү жана сактоо, ачкычтарды ороо/жайгаштыруу операциялары ошол эле жерде аткарылат.
Per-tenant/per-dataset ачкычтары. Обочолонуу жана айлануу талаптары боюнча гранулярдык.
Милдеттерди бөлүштүрүү. Платформанын командалары ≠ ижарачынын ачкычтарынын ээлери; минималдуу артыкчылыктар (PoLP).
Crypto-agility. коопсуз көчүп алгоритмдер/ачкычтарынын узундугу мүмкүнчүлүгү.
Ротация - бул окуя эмес, процесс. Ачкычтар жана маалыматтар "жылма" алмаштырууну колдошу керек.

4) Алгоритмдер жана шифрлөө режимдери

Объекттер/файлдар/жазуулар үчүн: AES-256-GCM же AES-256-SIV (аутентификация менен AEAD).
Блок түзмөктөр/томдор үчүн: AES-XTS-256/512 (блокторду алмаштыруудан коргоо; AEAD эмес - бүтүндүгү маанилүү болгон жерде MAC менен файл форматтарынын үстүнөн колдонуу).

• TDE (Transparent Data Encryption) движка: Oracle TDE, SQL Server TDE, MySQL/InnoDB TDE и пр.
• Талаа/кичине криптография (FPE/детерминирленген шифрлөө) - шифрленген талааларда издөө/джойндор үчүн; кылдаттык менен колдонуу.
• KEK - KMS/HSM; DEK - колдонмолордун эс кыска, сактоо - гана оролгон түрүндө.

5) Ачкычтар жана KMS/HSM иерархиясы

1. Root key (статут, HSM/KMS). HSM/KMS периметрин калтырбайт.

2. KEK (Key Encryption Key). Долбоорго/айлана-чөйрөгө/ижарачыга. DEK жашоо циклин башкарат.

3. DEK (Data Encryption Key). Объект/файл/таблица/сегмент. Кыска жашоо, токтоосуз айлануу.

• Бардык ороо/жайгаштыруу иштери - аудит менен KMS API аркылуу.
• Саясатчылар: ким ачкычты "колдоно алат" ≠ ким ачкычты "башкара алат".
• Геораспределение ключей: pin-to-region + dual-control for interregion.
• Жогорку тобокелдик операциялары үчүн "эки чекиттүү" модель (эки оператор) болушу мүмкүн.
• Күчтүү денгээлде обочолонуу үчүн - ижарачыга өзүнчө негизги рингдер.

6) Ротация, кайра чакыртып алуу жана комплаенс

DEK айлануу: ачык-айкын жана туруктуу (объект/барактардын деъгээлинде rolling re-encryption).
KEK ротациясы: мезгил-мезгили менен (мисалы, 6-12 айда бир жолу) + компромисске шектенгенде дароо кайра чакыртып алуу.
Кирүү чакыртып алуу: KMS саясаты аркылуу; unwrap бүтүмдөр = заматта "крипто-жок" маалыматтарды бөгөттөө.
Аудит журналдары: ким, качан, кандай укуктар менен ачкычтарды колдонгон; өзүнчө сактоо жана ошондой эле шифрлөө.
Стандарттар жана стандарттар: тармактык талаптарга басым жасайбыз (мисалы, GDPR/PCI-уруксаттар/жергиликтүү жөнгө салуучулар), сертификацияланган крипто модулдарын колдонобуз (мисалы, сертификация деңгээлине шайкештик).

7) Сактоо түрлөрү боюнча үлгүлөр

7. 1 Block/File томдору жана VM/контейнерлер

Толук дискке шифрлөө (XTS) + KMS аркылуу ачкычтарды башкаруу (монтаждоодо томду инициалдаштыруу).
Коргоо swap, crash-дампалар, tmp-директориялар, контейнер overlay катмарлары, сүрөттөр/AMI.
Сүрөттөр/снапшоттор - ар дайым өзүнчө DEK менен шифрленген түрүндө.

7. 2 Объект сактоо

Envelope encryption: объект боюнча уникалдуу DEK; аталыштар/метадеректер - PII агып жок.
Ижарачылар жана айлана-чөйрө боюнча KMS ачкычка жетүүнү көзөмөлдөө.
Сервер-сайд шифрлөө (өз KMS менен SSE) же кардар-сайд (CSE) - ишенимдүү модель боюнча тандоо.

7. 3 Маалымат базалары

бар жерде TDE киргизүү; DD ачкычтары плагин/экстеншн аркылуу KMS байлап.
Өзгөчө сезимтал талаалар үчүн - БДга киргенге чейин колдонмо шифрлөө (AEAD).
Редо/транзакция журналдары, архивдик журналдар, дампалар - өзүнчө шифрлөө, ачкычтар - өзүнчө.

7. 4 Логи/соода/метрика

Логдордун форматы - сезгич маалыматсыз (санитайзинг).
Логдордун архивдери - жеке ачкычтар жана кыска TTL сактоо.
Логларды окуу мүмкүнчүлүгү - A&A жана аудит менен прокси кызматы аркылуу.

7. 5 Камдык жана оффлайн медиа

Лента/булут жазганга чейин кардар тарабында дайыма шифрлөө.
ачкычтарды өзүнчө сактоо (out-of-band), өзүнчө контролдоо менен escrow.
Өзгөчө кырдаалдар үчүн - мастер-жеткиликтүүлүктү калыбына келтирүү үчүн жашыруун бөлүү (мисалы, m-of-n).

8) Көп ижара (multi-tenant)

ижарачы ачкычы: KEK-per-tenant + DEK-per-dataset.
Саясат менен изоляциялоо: KMS, IAM чектери, өзүнчө IDP ролдору.
Кардардын талабы боюнча алып салуу: "крипто-өчүрүү" - КЕК ижарачысын чакыртып алуу жана DEK жок кылуу.
Кардар үчүн отчеттуулук: шайкештик артефакттары, ачкычка кирүү логдору, ротацияны ырастоо.

9) Аткаруу жана иштетүү

Аппараттык тездетүү (AES-NI/x86, ARMv8 Crypto Extensions).
Кызуу жолдорду профилдөө: I/O чектеринде шифрлөө, кереги жок кош шифрлөөдөн качуу.
KMS сессияларынын пулдары, эс тутумда оролгон DEK кэштери (TTL жана дампалардан коргоо менен).
SLO/метрика: жашыруун unwrap, "кайра" объектилердин үлүшү, KMS каталар, арткы шифрлөө ылдамдыгы.

10) киргизүү жараяны (reference runbook)

0-кадам - маалыматтарды инвентаризациялоо. Бардык сактоо жана агып жолдорун каталогдоштуруу (tmp, дампалар, экспорт, analytics-бакет).
1-кадам - негизги иерархиянын дизайны. Биз KEK/DEK деңгээлдерин, гранулярдуулугун, аймактарын, ролдорун аныктайбыз.
2-кадам - режимдерди/китепканаларды тандоо. Бекитилген алгоритмдер, крипто-библиотекалар, версиялар саясаты.
3-кадам - KMS/HSM менен бириктирүү. Генерация/упаковка/аудит, IAM саясаты, гео-пиннинг.
4-кадам - жазуу үчүн коддоо. демейки киргизүү, бар маалыматтарды бэкграунд-reencript аркылуу көчүрүү.
5-кадам - айлануу жана өзгөчө жагдайлар. Регламенттер, тесттер "key compromise", "KMS жеткиликтүү эмес".
6-кадам - мониторинг жана аудит. Dashbord, Алерт, үзгүлтүксүз шайкештик отчеттор.
7-кадам - окутуу жана "secure coding". инженерлер үчүн Гайды, Логи/Дампа сырларды алып тыюу салуу.

11) Тестирлөө жана текшерүү

Крипто-бирдик тесттер: AEAD тууралыгы (тегтерди текшерүү), байт өзгөргөндө баш тартуу валидациясы.
Failure-tests: KMS өчүрүү, эскирген ачкычтар, мажбурлап кайра чакыртып алуу.
Red/Blue-тесттер: "чийки" диск/snapshot/backup окуп аракет.
Шайкештикти текшерүү: алгоритмдерди/ачкычтардын узундугун көчүрүү (crypto-agility).
Китепканаларды аттестациялоо: далилденген крипто модулдарды гана колдонуу; версияларын бекитүү.

12) Көп каталар жана аларды алдын алуу үчүн кантип

Мааниси жок кош шифрлөө. Ашыкча жашыруун жана татаалдыгы. Керектүү гранулярдуулукту жана изоляцияны берген катмарды кармаңыз.
Маалыматтардын жанында ачкычтарды сактоо. Ачкычтар - ар дайым өзүнчө, башка жетүү модели астында.
Унутулган экспонаттар. Шифрленбеген убактылуу файлдар, CSV экспорту, колдоо дампалары. Контролду CI/CD жана Data Loss Prevention.
Ротациянын жоктугу. Айланууну кол менен эмес, pipeline/cron бөлүгү кылыңыз.
сезимтал маалыматтар менен Логи. Логдордун жана автоматтык санитайзерлердин форматына келишим киргизиңиз.

13) Mini Recipes (psevdocode)

1) Request unwrap DEK from KMS by tenant KEK id dek = kms. unwrap(kek_id, wrapped_dek)

2) Generate fresh nonce/iv, encrypt payload (AEAD)
ciphertext, tag = aead_encrypt(dek, iv=random(), aad=metadata, plaintext=data)

3) Delete DEK from memory (zeroize), save {ciphertext, iv, tag, wrapped_dek}

For each object:
new_wrapped_dek = kms. rewrap(old_wrapped_dek, old_kek_id -> new_kek_id)
store(new_wrapped_dek)
We do not touch the data: we turn over only DEK

kms. disable_key (tenant_kek_id) # Deny unwrap kms. schedule_destroy (tenant_kek_id, hold_period_days=7) # Optional hold

14) Чек-баракчалар

• Бардык түрдөгү сактагычтарда демейки шифрлөө киргизилген.
• Ачкычтардын иерархиясы сүрөттөлгөн жана ишке ашырылган; ролдору жана IAM-саясатчылар орнотулган.
• KMS/HSM бириктирилген, негизги иш аудит камтылган.
• DEK/KEK айлануу автоматташтырылган; компромисстик сценарийлер иштелип чыккан.
• Backup, Snapshot, Логи жана Дамп - шифрленген; ачкычтар өзүнчө сакталат.
• KMS каталары, AEAD тегинин четтөөлөрү, шифрленбеген артефакттардын үлүшү боюнча алерттерди орнотуу.
• KMS жеткиликсиздиги жана ачкычтарды чакыртып алуу тесттерин өттү.

• Ай сайын ачкычтарды колдонуу жана кирүү аракеттери жөнүндө отчет.
• Crypto-agility планы жана кыйналбаган көчүрүү алгоритмдер үчүн терезе.
• Мезгил-мезгили менен Red-команда "чийки" алып жүрүүчүлөрдөн маалыматтарды алуу.

15) Суроолор жана жооптор (FAQ)

С: Толук дискке шифрлөө жетиштүүбү?
О: физикалык тобокелдиктер үчүн - ооба, бирок ижарачыларды изоляциялоо жана ийкемдүү айлануу үчүн DEK-объект/комплект менен envelope жакшы.

S: KEK компромат эмне кылуу керек?
A: Дароо KMS KEK чакыртып алуу, жаңысын кайра чыгаруу, бардык DEK rewrap аткаруу, журналдарды текшерүү жана RCA өткөрүү.

S: Биз издеп жаткан талааларды кантип шифрлөө керек?
О: Тобокелдиктерди катуу баалоодо гана детерминирленген схемаларды же FPEди колдонуу (үлгүлөрдүн леки). Ал сезгич талаалар индекстелген ачык көрүнүшүн талап кылбайт, ошондуктан жакшы суроо-долбоорлоо.

С: Ачкычтар үчүн өзүнчө команда керекпи?
A: сунуш "крипто/KMS-оператор" жеке укуктар жана жол-жоболор менен ролу катары.

• "Ачкычтарды башкаруу жана ротация"
• "S2S-аутентификация"
• "Кол коюу жана суроо-талаптарды текшерүү"
• "OAuth2/OpenID Connect"
• "Webhook жеткирүү кепилдиктери"