رمزگذاری با سرورهای شبکه
رمزگذاری داده های ذخیره شده در سرور فایل شبکه امکان پذیر است. با این حال، این بر پایگاه کاربر و انواع محیطهای میزبان تأثیر میگذارد، بنابراین مطمئن شوید که قبل از استقرار در live server ، فرآیند را کاملاً درک کردهاید.
استفاده از رمزگذاری با یک سرور هیچ گزارش حسابرسی دسترسی (audit report of access) به غیر از مواردی که قبلاً توسط سیستم عامل میزبان ارائه شده است، ارائه نمی دهد.
دو روش رمزگذاری (encryption) وجود دارد که ممکن است امنیت مورد نیاز را فراهم کند:
Granular Encryption
میتوانید ESET Endpoint Encryption (EEE) را روی client machines متصل اجرا کنید و از نرمافزار برای ایجاد encrypted containers برای ذخیره دادههای حساس در سرور استفاده کنید. این روش همچنین می تواند با سرورهای فایل غیر ویندوز و دستگاه های ذخیره سازی متصل به شبکه استفاده شود.
برای این منظور می توان از انواع container زیر استفاده کرد:
- Encrypted Archives
- Individually Encrypted Files
- Encrypted Virtual Disks
- Text encryption
استفاده از رمزگذاری پوشه (folder encryption) از طریق شبکه امکان پذیر نیست.
Full Disk Encryption
ابتدا باید بدانید که Full Disk Encryption (FDE) چگونه عمل می کند و چگونه بردار حمله (attack vector) در برابر آن دفاع می شود قبل از اینکه آن را به عنوان راه حلی برای ایمن سازی سرور شبکه در نظر بگیرید.
برای سهولت نگهداری، FDE فقط باید در محیط سرور در مواردی که کاملاً ضروری است استفاده شود. استفاده از FDE از دسترسی یا کپی کردن فایل ها از دستگاه فقط پس از خاموش یا راه اندازی مجدد جلوگیری می کند.
هنگامی که خود را با استفاده از اعتبارنامه خود از طریق بوت لودر EEE احراز هویت کردید، یک سیستم FDE مانند قبل از رمزگذاری، فایل ها را ارائه می دهد و داده ها را به اشتراک می گذارد.
FDE هیچ سطحی از کنترل دسترسی بیشتر از آنچه توسط خود سیستم عامل ارائه شده است، ارائه نمی کند. از بازیابی اطلاعات از سرور در سراسر شبکه توسط مهاجمی که از خود سیستم عامل سوء استفاده می کند جلوگیری نمی کند.
اگر بردار حمله (attack vector) در برابر آن دفاع می شود، استفاده از یک encrypted container ذخیره شده در سرور، مانند یک دیسک مجازی که توسط مشتریان با استفاده از EEE قابل دسترسی است، راه حل مناسب تری خواهد بود. مزیت این سناریو این است که فقط داده های ضروری و حساس رمزگذاری می شوند. با این حال، به خاطر داشته باشید که تنها اولین شخصی که دیسک مجازی را از شبکه نصب میکند، دسترسی خواندن/نوشتن دارد، در حالی که کاربران بعدی تا زمانی که درایو توسط همه کاربران خارج نشود، دسترسی read-only access دارند.
اگر FDE مورد نیاز است، هنگام اجرای رمزگذاری باید نکات زیر را در نظر داشت:
- اطمینان حاصل کنید که قبل از deploying در یک live server، فرآیند رمزگذاری و روشهای بازیابی پشتیبان/فاجعه را روی یک راهاندازی سرور یکسان (هم سختافزار و هم نرمافزار) به طور کامل آزمایش کردهاید.
- بررسی کنید که راه حل با همان کنترل کننده ها و درایوهای دیسکی که برای ذخیره سازی در یک سرور آزمایشی استفاده می شوند به درستی کار می کند. این امر به ویژه در صورتی مهم است که دستگاه از حافظه RAID استفاده کند.
- اگر درخواست زیادی روی سرور باشد ، به دلیل رمزگزاری ، فشار مضاعفی به سرور اعمال خواهد شد.
- اگر ادمین ها از اتصال دسکتاپ از راه دور یا نرم افزار اتصال از راه دور مشابه استفاده می کنند، راه اندازی مجدد سیستم به شخصی نیاز دارد که بطور فیزیکی در دستگاه سرور حضور داشته باشد تا از طریق بوت لودر EEE وارد سیستم شود. با نصب DESlock+ v4.8.17 / EEE v5.0 در workstation با Trusted Platform Module (TPM) فعال است، میتوانید حالت «بدون احراز هویت اضافی» را پیکربندی کنید. این حالت نیازی به احراز هویت در بوت لودر EEE ندارد، بنابراین کاربر مستقیماً در لاگین ویندوز بوت می شود. لازم به ذکر است که این تغییر خواهد کرد.
امنیت برای ورود به ویندوز برای اطلاعات بیشتر به مقالات زیر مراجعه کنید:
Trusted Platform Module (TPM) Support
Trusted Platform Module (TPM) FAQ
یک ویژگی اضافی که می توان از آن استفاده کرد “Maintenance Mode” است
Full Disk Encryption Maintenance Mode
توجه: برخی از دستگاههای صفحهکلید سختافزاری راه دور(remote hardware keyboard devices) وجود دارند که باید اجازه ورود از طریق بوت لودر را به هنگام بارگیری با بایوس دستگاه بدهند.
- اگر قرار است ماشین رمزگذاری شده(encrypted machine) توسط یک سرور رمزگذاری نقطه پایانی ESET (EEE) مدیریت شود، مهم است که سرور EEE روی همان دستگاه میزبانی نشود.این به این دلیل است که دسترسی به سرور EEE برای بازیابی لاگین های FDE در صورت فراموشی آنها مورد نیاز است.
- فقط برای (Windows machines) ماشین های ویندوز FDE امکان پذیر است. امکان استفاده از دستگاه های FDE NAS یا سرورهای مبتنی بر لینوکس وجود ندارد.
رمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکهرمزگذاری با سرورهای شبکه