GH GambleHub

At Rest şifrlemek

At Rest şifrlemek

1) Näme üçin zerur we nämäni goraýarys?

Kesgitleme. At rest şifrlemek, fiziki göterijä ýa-da "çig" ammara rugsatsyz girmek mazmuny aýan etmezligi üçin, göterijä (disklere, snapshotlara, bekaplara, obýektlere, loglara, ýat dampalaryna) ýazylan maglumatlaryň goralmagydyr.

Nämäni ýapýarys:
  • Blok-/faýl jildleri, obýekt ammarlary, maglumat bazalary, nobatlar/keýwel, nagt dampalar, loglar/treýsler, ätiýaçlyk nusgalary, eksport/import, WM/konteýner suratlary, ýadro/proses dampalary, nasos/swap.
  • Köp kärende ssenarileri: müşderileriň/taslamalaryň/gurşawyň arasynda izolýasiýa.

Doly ýapmaýarys: ýatda sessiýalary ogurlamak, janly prosese hüjüm etmek, programmanyň gowşaklygy, hasap maglumatlaryny bozmak. Munuň üçin "uçuşda" şifrlemek, berk tassyklamak/ygtyýarlandyrmak, hukuklary minimallaşdyrmak we gözegçilik etmek talap edilýär ("Tassyklamak we ygtyýarlandyrmak", "Gol we haýyşlary barlamak").

2) Howplaryň nusgasy we gözegçiligiň maksatlary

Adaty töwekgelçilikler:
  • Göterijini ýitirmek/ogurlamak (disk, lenta, USB, işläp düzüjiniň enjamy).
  • Bekap/snapshot/loglara rugsatsyz girmek.
  • Platforma/giperwizor/storaj-nod derejesinde artykmaçlyklardan hyýanatçylykly peýdalanmak.
  • Konfigurasiýa ýalňyşlyklarynda kärendeçileriň kesişmegi.
  • Artefaktlara we şekillere düşýän "hapalanan" wagtlaýyn faýllar we dampalar.
Maksatlar:

1. Daşaýjydaky maglumatlaryň gizlinligi.

2. Kärendeçileriň/gurşawyň kriptografik izolýasiýasy.

3. Açarlary dolandyrmak (döretmek, saklamak, aýlanmak, yzyna almak).

4. Barlagy geçirmek (açary kim we haçan ulandy).

5. Hadysalarda ekspluatasiýa töwekgelçiligini azaltmak.

3) Arhitekturanyň esasy ýörelgeleri

Hemme zady öňküsi ýaly şifrlemek. Opt-out töwekgelçilik derejesinde kadadan çykmalar bolmazdan gadagan edilýär.
Açarlar iýerarhiýasy (envelope encryption). Root/KEK → DEK (data encryption keys) → DB obýektleri/faýllary/sahypalary.
KMS/HSM ynam çeşmesi hökmünde. KMS/HSM-de KEK döretmek we saklamak, açarlary gaplamak/ýerleşdirmek amallary şol ýerde ýerine ýetirilýär.
Per-tenant/per-dataset açarlary. Izolýasiýa we aýlanyş talaplaryna laýyklykda granulýasiýa.
Borçlaryň bölünmegi. Platforma toparlary ≠ kärendeçiniň açarlarynyň eýeleri; iň az artykmaçlyk (PoLP).
Crypto-agility. Algoritmleri/açar uzynlyklaryny howpsuz göçürmek ukyby.
Aýlanyş waka däl-de, proses hökmünde. Açarlar we maglumatlar "süýşýän" çalyşmagy goldamaly.

4) Algoritmler we şifrlemek usullary

Obýektler/faýllar/ýazgylar üçin: AES-256-GCM ýa-da AES-256-SIV (AEAD).
Blokly enjamlar/jiltler üçin: AES-XTS-256/512 (bloklaryň üýtgemeginden goramak; AEAD däl - bitewilik möhüm bolan ýerlerde MAC bilen faýl formatlarynyň üstünde ulanmak).

Maglumat bazalary üçin:
  • TDE (Transparent Data Encryption) движка: Oracle TDE, SQL Server TDE, MySQL/InnoDB TDE и пр.
  • Meýdan/kiçi kriptografiýasy (FPE/determinirlenen şifrlemek) - şifrlenen meýdançalarda gözleg/joýn mümkinçilikleri üçin; seresaplylyk bilen ulanmak.
  • Açarlary döretmek we saklamak: KEK - KMS/HSM-de; DEK - programmalaryň ýadynda gysga ömürli, saklananda - diňe örtülen görnüşde.

5) Açar iýerarhiýasy we KMS/HSM

Derejeler:

1. Root key (statut, HSM/KMS). HSM/KMS perimetri gitmeýär.

2. KEK (Key Encryption Key). Taslama/gurşaw/kärendeçi üçin. DEK durmuş siklini dolandyrýar.

3. DEK (Data Encryption Key). Obýekt/faýl/tablisa/segment. Gysga ömürli, durmazdan aýlanmak.

Amallar:
  • Ähli gaplamak/ýerleşdirmek amallary - barlag bilen KMS API arkaly.
  • Syýasatçylar: kimler açary "ulanyp" biler ≠ kimler açary "dolandyryp" biler.
  • Açarlaryň ýerleşişi: sebitara üçin pin-to-region + dual-control.
  • Ýokary töwekgelçilikli amallar üçin "iki sahypaly" model (iki operator) bolup biler.
  • Güýçli derejäni izolýasiýa etmek üçin - kärendeçi üçin aýratyn key-rings.

6) Aýlaw, yzyna çagyryş we komplayens

DEK aýlawy: aç-açan we yzygiderli (obýekt/sahypa derejesinde rolling re-encryption).
KEK-iň aýlanyşygy: wagtal-wagtal (mysal üçin, her 6-12 aýda bir gezek) + eglişige şübhelenilen halatynda derrew yzyna çagyryş.
Girişi yzyna almak: KMS-syýasatlar arkaly; unwrap amallarynyň petiklenmegi = maglumatlaryň derrew "kripto-ýok edilmegi".
Audit žurnallary: kimler, haçan, haýsy hukuklar bilen açarlary ulandylar; aýratyn saklamak we hem şifrlemek.
Standartlar we standartlar: pudagyň talaplaryna esaslanýarys (mysal üçin, GDPR/PCI-rugsatlar/ýerli düzgünleşdirijiler), kepillendirilen kripto modullaryny ulanýarys (mysal üçin, sertifikatlaşdyryş derejelerine laýyklyk).

7) Ammarlaryň görnüşleri boýunça patternler

7. 1 Blok/faýl jildleri we VM/konteýnerler

Doly diskli şifrlemek (XTS) + KMS arkaly açarlary dolandyrmak (redaktirlenende jildiň başlanmagy).
Swap, crash-damp, tmp-direktoriýalary, konteýner overlay gatlaklaryny, şekilleri/AMI goraň.
Suratlar/snapshotlar - elmydama aýratyn DEK bilen şifrlenen görnüşde.

7. 2 Obýekt ammary

Envelope encryption: obýekt üçin özboluşly DEK; başlyklar/meta-maglumatlar - PII syzmazdan.
Kärendeçiler we daşky gurşaw boýunça KMS açaryna girmäge gözegçilik etmek.
Serwer-saýd şifrlemek (öz KMS bilen SSE) ýa-da müşderi-saýd (CSE) - ygtybarly model boýunça saýlamak.

7. 3 Maglumat bazalary

Bar ýerinde TDE-ni açyň; DB açarlaryny plugin/ekstrenşn arkaly KMS-e baglamak.
Aýratyn duýgur ýerler üçin - DB-e girmezden ozal amaly şifrlemek (AEAD).
Redo/geleşik ýazgylary, arhiw ýazgylary, dampalar - aýratyn şifrlemek, açarlar - aýratyn.

7. 4 Tölegler/söwdalar/metrikler

Log formaty - kesgitlenen maglumatsyz (dezinfeksiýa).
Log arhiwleri - aýratyn açarlar we gysga saklamak TTL.
Loglary okamak - A&A we audit bilen proksi hyzmaty arkaly.

7. 5 Ätiýaçlyk nusgalary we oflayn göterijiler

Lenta/bulut ýazylýança hemişe müşderiniň tarapynda şifrlemek.
Açarlary aýratyn saklamak (out-of-band), escrow.
Adatdan daşary ýagdaýlar üçin - master-elýeterliligi dikeltmek üçin syry bölmek (mysal üçin, m-of-n).

8) Köp kärende (multi-tenant)

Kärendeçi üçin açar: KEK-per-tenant + DEK-per-dataset.
Syýasatlar bilen izolýasiýa: KMS, IAM çäkleri, aýry-aýry IDP rollary.
Müşderiniň haýyşy boýunça aýyrmak: "kripto-silmek" - kärendeçiniň KEK-sini yzyna almak we DEK-i ýok etmek.
Müşderi üçin hasabat: laýyklyk artefaktlary, açarlara elýeterlilik ýazgylary, aýlawy tassyklamak.

9) Öndürijilik we peýdalanmak

Enjam tizlemeleri (AES-NI/x86, ARMv8 Crypto Extensions).
Gyzgyn ýollary profillemek: I/O çäklerinde şifrlemek, zerurlyk bolmazdan goşa şifrlemekden gaça durmak.
KMS sessiýalarynyň howuzlary, ýatda örtülen DEK-leri kesmek (TTL we damplerden goramak bilen).
SLO/metrikler: gizlinlik unwrap, "gaýtadan kodlanan" obýektleriň paýy, KMS ýalňyşlyklary, yzky şifrlemegiň tizligi.

10) Giriş prosesi (reference runbook)

0 ädim - maglumatlary sanamak. Ähli ammarlary we syzdyryş ýollaryny kataloglamak (tmp, dampalar, eksport, analytics-baketler).
1-nji ädim - esasy iýerarhiýanyň dizaýny. KEK/DEK derejelerini, granulýasiýasyny, sebitlerini, rollaryny kesgitleýäris.
2-nji ädim - usullary/kitaphanalary saýlamak. Tassyklanan algoritmler, kriptobliotekler, wersiýa syýasatlary.
3-nji ädim - KMS/HSM bilen integrasiýa. Nesil/örtük/audit, IAM syýasaty, geo-pinning.
4-nji ädim - ýazmak üçin şifrlemek. Bar bolan maglumatlaryň arka tarapy-reenkript arkaly göçmegini kap.
5-nji ädim - aýlanyş we gyssagly ssenariýalar. Düzgünler, "key compromise", "KMS elýeterli däl" synaglary.
6-njy ädim - gözegçilik we audit. Daşbordlar, alertler, yzygiderli laýyklyk hasabatlary.
7-nji ädim - okuw we "secure coding". Inersenerler üçin gaýdlar, gizlinlikleri girelgelere/dampalara çykarmagy gadagan etmek.

11) Synag we barlamak

Kripto-unit synaglary: AEAD-iň dogrulygy (bellikleri barlamak), baýt üýtgedilende ret edilişiň tassyklanmagy.
Failure-tests: KMS-i öçürmek, açarlaryň köne wersiýalary, KEK-i mejbury yzyna almak.
Red/Blue synaglary: "çig" diski/snapshot/backup okamak synanyşygy.
Gabat gelýändigini barlamak: algoritmleriň/açar uzynlygynyň göçmegi (crypto-agility).
Kitaphanalary sertifikatlaşdyrmak: diňe barlanan kripto modullaryny ulanmak; wersiýalary düzmek.

12) Ýygy-ýygydan ýalňyşlyklar we olardan nädip gaça durmaly

Manysyz goşa şifrlemek. Artykmaç gizlinlik we çylşyrymlylyk. Zerur granulýasiýa we izolýasiýa berýän gatlagy saklaň.
Açarlary maglumatlaryň gapdalynda saklamak. Açarlar - elmydama başga bir giriş modeliniň aşagynda.
Unudylan artefaktlar. Şifrlenmedik wagtlaýyn faýllar, CSV eksport, goldaw dampalary. CI/CD we Data Loss Prevention-a gözegçilik ediň.
Aýlanmagyň ýoklugy. Aýlanmagy el bilen däl-de, pipeline/cron bölegi ediň.
Duýgur maglumatlary bolan loglar. Log formaty we awtomatiki sanitizatorlar üçin şertnama giriziň.

13) Kiçi reseptler (psevdokod)

Obýekti şifrlemek: 

1) Request unwrap DEK from KMS by tenant KEK id dek = kms. unwrap(kek_id, wrapped_dek)

2) Generate fresh nonce/iv, encrypt payload (AEAD)
ciphertext, tag = aead_encrypt(dek, iv=random(), aad=metadata, plaintext=data)

3) Delete DEK from memory (zeroize), save {ciphertext, iv, tag, wrapped_dek}
KEK-iň iş wagty bolmazdan aýlanmagy: 

For each object:
new_wrapped_dek = kms. rewrap(old_wrapped_dek, old_kek_id -> new_kek_id)
store(new_wrapped_dek)
We do not touch the data: we turn over only DEK
Maglumat toplumyny "Kripto aýyrmak": 

kms. disable_key (tenant_kek_id) # Deny unwrap kms. schedule_destroy (tenant_kek_id, hold_period_days=7) # Optional hold

14) Çek-listler

Prod başlamazdan ozal:
  • Ammarlaryň ähli görnüşlerinde standart şifrlemegi açýar.
  • Açarlaryň iýerarhiýasy beýan edilýär we ýerine ýetirilýär; rollary we IAM syýasatçylary.
  • KMS/HSM birleşdirildi, esasy amallaryň barlagy girizildi.
  • DEK/KEK rotasiýasy awtomatlaşdyryldy; eglişik ssenarileri işlenip düzüldi.
  • Bekaplar, snapshotlar, loglar we damplar - şifrlenen; açarlar aýratyn saklanylýar.
  • KMS ýalňyşlyklary, AEAD bellikleriniň gyşarmagy, şifrlenmedik artefaktlaryň paýy üçin alertler düzüldi.
  • KMS elýeterliligi we açarlary yzyna almak üçin synaglar geçirildi.
Ulanyş:
  • Açarlary ulanmak we girmek synanyşyklary barada aýlyk hasabat.
  • Crypto-agility meýilnamasy we algoritmleriň agyrysyz göçmegi üçin penjire.
  • "Çig" göterijilerden maglumatlary almak üçin wagtal-wagtal Red-team.

15) Soraglar we jogaplar (SSS)

C: Doly diskli şifrlemek ýeterlikmi?
O: Fiziki töwekgelçilikler üçin - hawa, ýöne kärendeçileri izolýasiýa etmek we çeýe aýlanmak üçin DEK-obýekt/toplum bilen envelope etmek has gowudyr.

S: KEK eglişik edilende näme etmeli?
A: KEK-i KMS-e derrew yzyna çagyryň, täzesini gaýtadan çykaryň, ähli DEK-leri rewrap ediň, magazinesurnallary barlaň we RCA geçiriň.

S: Gözleýän ýerleriňizi nädip şifrlemeli?
O: Determinirlenen shemalary ýa-da FPE-leri diňe töwekgelçiliklere berk baha berlende ulanmak (patternleriň lekleri). Duýgur meýdanlar indekslenýän açyk görnüşi talap etmeýän ýaly haýyşlary dizaýn etmek has gowudyr.

S: Açarlar üçin aýratyn buýruk gerekmi?
A: Aýratyn hukuklar we proseduralar bilen rol hökmünde "Crypto/KMS-operator" maslahat berilýär.

"Binagärlik we teswirnamalar" bölüminde baglanyşykly materiallar:
  • "Açarlary dolandyrmak we rotasiýa"
  • "S2S-tassyklama"
  • "Haýyşlara gol çekmek we barlamak"
  • "OAuth2/OpenID Connect"
  • "Webhuklary eltmegiň kepillikleri"
Contact

Biziň bilen habarlaşyň

Islendik sorag ýa-da goldaw boýunça bize ýazyp bilersiňiz.Biz hemişe kömek etmäge taýýar.

Integrasiýany başlamak

Email — hökmany. Telegram ýa-da WhatsApp — islege görä.

Adyňyz obýýektiw däl / islege görä
Email obýýektiw däl / islege görä
Tema obýýektiw däl / islege görä
Habar obýýektiw däl / islege görä
Telegram obýýektiw däl / islege görä
@
Eger Telegram görkezen bolsaňyz — Email-den daşary şol ýerden hem jogap bereris.
WhatsApp obýýektiw däl / islege görä
Format: ýurduň kody we belgi (meselem, +993XXXXXXXX).

Düwmäni basmak bilen siz maglumatlaryňyzyň işlenmegine razylyk berýärsiňiz.