Ҳангоми рамзгузорӣ

Ҳангоми рамзгузорӣ

1) Чаро он лозим аст ва он чизе ки мо маҳз муҳофизат мекунем

Таъриф. Рамзгузорӣ ҳангоми истироҳат ҳифзи маълумоте мебошад, ки ба ВАО навишта шудааст (дискҳо, лаҳзаҳо, нусхабардорӣ, ашё, гузоришҳо, партовҳои хотира), то дастрасии беиҷозат ба васоити ахбори ҷисмонӣ ё нигоҳдории "хом" мундариҷаро ошкор накунад.

• Ҳаҷми блок/файл, анборҳои объект, пойгоҳи додаҳо, навбатҳо/ғорҳо, партовҳои кэш, гузоришҳо/роҳҳо, нусхабардорӣ, содирот/воридот, лаҳзаҳои VM/контейнерҳо, партовҳои ядро ​ ​/раванд, своп/своп.
• Сенарияҳои бисёрсоҳавӣ: ҷудоӣ байни мизоҷон/лоиҳаҳо/муҳитҳо.

Он чизе ки мо пурра фаро намегирем: дуздии ҷаласаҳо дар хотира, ҳамла ба раванди зинда, осебпазирии барномаҳо, вайрон кардани эътимоднома. Ин рамзгузории парвоз, аутентификатсия/иҷозатдиҳии қавӣ, кам кардани ҳуқуқҳо ва мониторингро талаб мекунад (нигаред ба мақолаҳои марбут: "Аутентификатсия ва иҷозат", "Имзо ва тасдиқи дархостҳо").

2) Ҳадафҳои модели таҳдид ва назорат

• Талафот/дуздии медиа (диск, лента, USB, дастгоҳи таҳиякунанда).
• Дастрасии беиҷозат ба нусхаҳои эҳтиётӣ/суратҳо/гузоришҳо.
• Сӯиистифода аз имтиёзҳо дар сатҳи платформа/гипервисор/гиреҳи нигаҳдорӣ.
• Гузаронидани иҷорагирон барои хатогиҳои конфигуратсия.
• Файлҳо ва партовҳои муваққатии "партофташуда", ки ба артефактҳо ва тасвирҳо меафтанд.

1. Махфияти маълумот дар бораи миёна.

2. Ҷудокунии криптографии иҷорагирон/муҳитҳо.

3. Идоракунии калидӣ (эҷод, нигоҳдорӣ, гардиш, бекоркунӣ).

4. Аудитория (кӣ калидро истифода кард ва кай).

5. Кам кардани хатарҳои амалиётӣ дар ҳолати рух додани ҳодисаҳо.

3) Асосҳои меъморӣ

Мо ҳама чизро бо нобаёнӣ рамзгузорӣ мекунем. Дасткашӣ бидуни истисно дар сатҳи хатар иҷозат дода намешавад.
Иерархияи калидӣ (рамзгузории лифофа). Root/KEK → DEK (калидҳои рамзгузории маълумот) → объектҳои пойгоҳи додаҳо/файлҳо/саҳифаҳо.
KMS/HSM ҳамчун манбаи эътимод. Тавлид ва нигоҳдории KEK дар KMS/HSM, амалиётҳои калидӣ/густариш дар он ҷо анҷом дода мешаванд.
Калидҳои ҳар як иҷорагир/барои ҳар як маҷмӯа. Грануляризатсия барои талаботҳои ҷудокунӣ ва гардиш.
Тақсимоти вазифаҳо. Фармонҳои платформа ≠ соҳибони калидии иҷорагир; имтиёзҳои ҳадди ақал (POLP).
Крипто-қобилият. Қобилияти ба таври бехатар интиқол додани алгоритмҳо/дарозии калидҳо.
Гардиш ҳамчун раванд, на ҳодиса. Калидҳо ва додаҳо бояд ивазкунии "ғелонда" -ро дастгирӣ кунанд.

4) Алгоритмҳо ва усулҳои рамзгузорӣ

Барои объектҳо/файлҳо/сабтҳо: AES-256-GCM ё AES-256-SIV (AEAD бо аутентификатсия).
Барои дастгоҳҳо/ҳаҷмҳо: AES-XTS-256/512 (муҳофизат аз таҳрири блок; на AEAD - истифодаи форматҳои файлӣ бо MAC, ки тамомият муҳим аст).

• TDE (Рамзгузории шаффофи маълумот) dvijka: Oracle TDE, SQL Server TDE, My
• Криптографияи саҳроӣ/хаттӣ (рамзгузории FPE/детерминистӣ) - барои қобилияти ҷустуҷӯ/joynes дар майдонҳои рамзшуда; оқилона татбиқ карда шавад.
• Тавлид ва нигоҳдории калидҳо: KEK - дар KMS/HSM; DEK - дар хотираи барномаҳо кӯтоҳмуддат, ҳангоми нигоҳдорӣ - танҳо печонида шудааст.

5) Зинанизоми калидӣ ва KMS/HSM

1. Калиди решавӣ (оинномавӣ, дар HSM/KMS). Периметри HSM/KMS-ро тарк намекунад.

2. KEK (Калиди рамзгузории калидҳо). Барои лоиҳа/муҳити зист/иҷорагир. Давраи DEK-ро идора мекунад.

3. DEK (Калиди рамзгузории маълумот). Ҳар як объект/файл/ҷадвал/сегмент. Кӯтоҳмуддат, даврашакл.

• Ҳама амалиётҳои печондан/густариш тавассути KMS API бо аудит гузаронида мешаванд.
• Сиёсатмадорон: кӣ метавонад калиди калидро истифода барад, ки калидро "назорат кунад".
• Тақсимоти асосии гео: пин-ба-минтақа + назорати дугона барои минтақа.
• Барои амалиёти дорои хавфи баланд модели "ду-чек" (ду оператор) имконпазир аст.
• Барои ҷудо кардани сатҳи қавӣ - ҳалқаҳои калидӣ барои як иҷорагир.

6) Гардиш, ёдоварӣ ва мувофиқат

Гардиши DEK: шаффоф ва доимӣ (рамзгузории дубора дар сатҳи объект/саҳифа).
Гардиши KEK: даврӣ (масалан, ҳар 6-12 моҳ) + фавран ба хотир оред, агар гумон карда шавад, ки осеб дидааст.
Бекор кардани дастрасӣ: тавассути сиёсати KMS; бастани амалиётҳои пӯшида = фаврии "крипто-нобудсозӣ" -и маълумот.
Гузоришҳои аудит: кӣ, кай, бо кадом ҳуқуқҳо калидҳоро истифода кардааст; алоҳида нигоҳ доред ва инчунин рамзгузорӣ кунед.
Низомнома ва стандартҳо: мо ба талаботи соҳа тамаркуз мекунем (масалан, иҷозатномаҳои GDPR/PCI/танзимгарони маҳаллӣ), мо модулҳои сертификатсияшудаи криптографиро истифода мебарем (масалан, мутобиқат бо сатҳи сертификатсия).

7) Намунаҳо аз рӯи намуди нигаҳдорӣ

7. 1 Ҳаҷми блок/файл ва VM/контейнерҳо

Рамзгузории пурраи диск (XTS) + идоракунии калидҳо тавассути KMS (оғози ҳаҷм ҳангоми насб).
Муҳофизат кардани своп, партовгоҳҳо, феҳристҳои tmp, қабатҳои қабати контейнер ,/тасвирҳои AMI.
Суратҳо/лаҳзаҳо - ҳамеша бо DEK-ҳои алоҳида рамзгузорӣ карда мешаванд.

7. 2 Захираи объект

Рамзгузории лифофа: DEK беназир барои як объект; сарлавҳаҳо/метамаълумот - ҳеҷ гуна ихроҷи PII нест.
Назорати дастрасӣ ба калиди KMS аз ҷониби иҷорагирон ва муҳитҳо.
Рамзгузории паҳлӯии сервер (SSE бо KMS-и худ) ё тарафи муштарӣ (CSE) - мувофиқи модели эътимод интихоб кунед.

7. 3 Пойгоҳи додаҳо

Даргиронидани TDE дар ҷойҳои дастрас; калидҳои пойгоҳи додаҳоро ба KMS тавассути плагин/васеъкунӣ пайваст кунед.
Барои соҳаҳои махсусан ҳассос - рамзгузории барнома (AEAD) пеш аз ворид шудан ба пойгоҳи додаҳо.
Гузоришҳои Redo/гузоришҳои транзаксия, гузоришҳои бойгонӣ, партовҳо - алоҳида рамзгузорӣ кунед, калидҳо - алоҳида.

7. 4 Гузоришҳо/Роҳҳо/Ченакҳо

Формати журнал - бе маълумоти ҳассос бо нобаёнӣ (санитария).
Бойгонии журнал - калидҳои алоҳида ва нигаҳдории кӯтоҳи TTL.
Дастрасӣ ба сабтҳои хониш - тавассути хидмати прокси бо A&A ва аудит.

7. 5 Нусхабардорӣ ва расонаҳои офлайнӣ

Пеш аз навиштан ба лента/абр ҳамеша дар муштарӣ рамзгузорӣ кунед.
Нигоҳ доштани калидҳо дар алоҳидагӣ (берун аз банд), escrow бо назорати алоҳида.
Дар ҳолатҳои фавқулодда, тақсим кардани сирри (масалан, m-of-n) барои барқарор кардани дастрасии усто.

8) Бисёр иҷорагир

Калиди иҷорагир: KEK-ҳар як иҷорагир + DEK-барои ҳар як маҷмӯа.
Ҷудокунии сиёсат: номҳои KMS, ҳудуди IAM, нақшҳои инфиродии IDP.
Хориҷ кардан бо дархости муштарӣ: "крипто-тоза кардан" - KEK-и иҷорагирро бозпас гиред ва DEK-ро нест кунед.
Ҳисоботи муштарӣ: артефактҳои мутобиқат, гузоришҳои дастрасии калидӣ, тасдиқи гардиш.

9) Иҷро ва амалиёт

Суръатбахшии сахтафзор (AES-NI/x86, ARMv8 васеъкунии крипто).
Профили роҳи гарм: рамзгузорӣ дар ҳудуди I/O, ҳатман рамзгузории дукарата пешгирӣ кунед.
Ҳавзҳои ҷаласаи KMS, кэши печонидашудаи DEK дар хотира (бо муҳофизати TTL ва партовҳо).
SLO/ченакҳо: таъхири пӯшида, таносуби объектҳои "дубора рамзшуда", хатогиҳои KMS, суръати рамзгузории эҳтиётӣ.

10) Дафтарчаи истинод

Қадами 0 - Инвентаризатсияи маълумот. Феҳристи ҳамаи анборҳо ва роҳҳои ихроҷ (tmp, партовҳо, содирот, сатилҳои таҳлилӣ).
Қадами 1 - тарҳи асосии иерархия. Мо сатҳи KEK/DEK, дараҷабандӣ, минтақаҳо, нақшҳоро муайян мекунем.
Қадами 2 - шеваҳо/китобхонаҳоро интихоб кунед. Алгоритмҳои тасдиқшуда, китобхонаҳои крипто, сиёсати версия.
Қадами 3 - ҳамгироӣ бо KMS/HSM. Насл/печондан/аудит, сиёсати IAM, гео-пининг.
Қадами 4 - рамзгузорӣ барои як навиштан. Бо нобаёнӣ, интиқоли маълумоти мавҷуда тавассути рамзгузории пасзамина фаъол созед.
Қадами 5 - сенарияҳои гардиш ва ҳолати фавқулодда. Низомнома, санҷишҳо "созишномаи калидӣ", "KMS дастрас нестанд".
Қадами 6 - мониторинг ва аудит. Панели панелҳо, огоҳиҳо, ҳисоботи мунтазам оид ба мувофиқат.
Қадами 7 - омӯзиш ва "рамзгузории бехатар. "Роҳнамо барои муҳандисон, манъ кардани нишон додани асрори журналҳо/партовҳо.

11) Санҷиш ва санҷиш

Санҷишҳои воҳиди крипто: дурустии AEAD (санҷиши теги), тасдиқи нокомӣ ҳангоми иваз кардани байт.
Санҷишҳои нокомӣ: хомӯш кардани KMS, версияҳои калидии кӯҳна, бекоркунии маҷбурии KEK.
Санҷишҳои сурх/кабуд: кӯшиши хондани диски "хом "/сурат/нусхабардорӣ.
Тафтиши мутобиқат: муҳоҷирати алгоритмҳо/дарозии калидҳо (крипто-қобилият).
Аттестатсияи китобхона: танҳо модулҳои тасдиқшудаи крипторо истифода баред; версияҳоро иҷро кунед.

12) Хатогиҳои зуд-зуд ва чӣ гуна аз онҳо канорагирӣ кардан

Рамзгузории дукарата бе маъно. Таъхир ва мураккабии иловагӣ. Қабатеро нигоҳ доред, ки дараҷаи дилхоҳ ва ҷудокуниро медиҳад.
Нигоҳ доштани калидҳо дар назди маълумот. Калидҳо ҳамеша дар зери модели дастрасии гуногун ҷудо мебошанд.
Артефактҳои фаромӯшшуда. Файлҳои муваққатии рамзгузошташуда, содироти CSV, партовҳои дастгирӣ. Мониторингро дар CI/CD ва пешгирии талафоти маълумот фаъол созед.
Набудани гардиш. Қисми гардиши қубур/кронро созед, на тартиби дастӣ.
Сабтҳо бо маълумоти ҳассос. Шартнома барои формати сабти ном ва санитаризаторҳои автоматӣ ворид кунед.

13) Дорухатҳои мини (псевдокод)

1) Request unwrap DEK from KMS by tenant KEK id dek = kms. unwrap(kek_id, wrapped_dek)

2) Generate fresh nonce/iv, encrypt payload (AEAD)
ciphertext, tag = aead_encrypt(dek, iv=random(), aad=metadata, plaintext=data)

3) Delete DEK from memory (zeroize), save {ciphertext, iv, tag, wrapped_dek}

For each object:
new_wrapped_dek = kms. rewrap(old_wrapped_dek, old_kek_id -> new_kek_id)
store(new_wrapped_dek)
We do not touch the data: we turn over only DEK

kms. disable_key (tenant_kek_id) # Deny unwrap kms. schedule_destroy (tenant_kek_id, hold_period_days=7) # Optional hold

14) Рӯйхати санҷишҳо

• Рамзгузории пешфарз дар ҳамаи намудҳои нигоҳдорӣ фаъол аст.
• Зинанизоми калидӣ тавсиф ва татбиқ карда мешавад; нақшҳо ва сиёсати IAM танзим карда мешаванд.
• KMS/HSM интегралӣ, аудити амалиётҳои асосӣ фаъол аст.
• Гардиши DEK/KEK автоматӣ аст; сенарияҳои созиш.
• Нусхабардорӣ, лаҳзаҳо, гузоришҳо ва партовҳо - рамзгузорӣ; калидҳо алоҳида нигоҳ дошта мешаванд.
• Огоҳиҳои танзимшуда барои хатогиҳои KMS, инҳирофи теги AEAD, таносуби артефактҳои рамзнашуда.
• Набудани KMS ва санҷишҳои калидии бекоркунӣ гузаштанд.

• Ҳисоботи ҳармоҳа дар бораи истифодаи калидӣ ва дастрасӣ.
• Нақшаи қобилияти крипто ва равзана барои муҳоҷирати алгоритми дарднок.
• Гурӯҳи даврии сурх барои гирифтани маълумот аз расонаҳои хом.

15) САВОЛУ ҶАВОБ (FAQ)

Савол: Оё рамзгузории пурраи диск кифоя аст?
Ҷ: Барои хатарҳои ҷисмонӣ - бале, аммо барои ҷудо кардани иҷорагирон ва гардиши тағйирпазир лифофаи беҳтар бо DEK-on-object/set.

Савол: Ҳангоми осеб дидани KEK чӣ бояд кард?
Ҷ: KEK-ро фавран ба KMS даъват кунед, нав бароред, ҳама DEK-ро аз нав сабт кунед, гузоришҳоро тафтиш кунед ва RCA-ро идора кунед.

Савол: Чӣ гуна мо майдонҳоеро, ки меҷӯем, рамзгузорӣ мекунем?
Ҷ: Схемаҳои детерминистӣ ё FPE-ро танҳо дар баҳодиҳии дақиқи хатар истифода баред (лексияҳои намунавӣ). Беҳтар аст, ки дархостҳоро тарҳрезӣ кунед, то майдонҳои ҳассос намуди кушодаи индексатсияшударо талаб накунанд.

Савол: Оё ба ман фармони алоҳида барои калидҳо лозим аст?
Ҷ: Оператори Crypto/KMS ҳамчун нақш бо ҳуқуқҳо ва расмиёти алоҳида тавсия дода мешавад.

• "Идоракунии калидӣ ва гардиш"
• "S2S аутентификатсия"
• "Дархостҳоро имзо кунед ва тафтиш кунед"
• "Пайвастшавӣ OAuth2/OpenID дар Kernel"
• "Кафолатҳои таҳвили Webhook"