Linux-Server und Verschlüsselung – Anforderung und Lösung

Ich habe in der Vergangenheit bereits versucht zu verdeutlichen, wie wichtig die Verschlüsselung physischer Server vor Ort ist. Gegen die Verschlüsselung spricht die Tatsache, dass diese Server normalerweise mehrere Wochen, Monate oder gar Jahre im Dauerbetrieb laufen und sie physisch in einem geschützten Rechenzentrum untergebracht sind. Der Schutz einer Festplattenverschlüsselung betrifft tatsächlich nur gespeicherte Daten, und diese befinden sich nur selten dauerhaft auf diesen Servern.

Die Anforderung:

Allerdings verlassen alle Laufwerke irgendwann das Rechenzentrum, um repariert oder entsorgt zu werden. Durch eine Verschlüsselung wird verhindert, dass Ihre alten Laufwerke bei eBay zum Kauf angeboten werden – mit den darauf befindlichen Kundendaten. Durch eine Verschlüsselung dieser Laufwerke lassen sie sich schnell und einfach löschen, wenn sie noch in Betrieb sind. Selbst dann, wenn das Löschen ausbleibt, sind die darauf gespeicherten Daten nur mit dem passenden Verschlüsselungs-Key zugänglich.

Das war einmal. Angesichts der enormen Anzahl von Datensicherheitsverletzungen in den Medien und globalen De-facto-Standards wie der EU-DSGVO und dem kalifornischen Consumer Privacy Act ist es ratsam, alle Daten überall und jederzeit zu verschlüsseln.

In Bezug auf Linux-Server verfügt Linux bereits seit mehreren Jahren über eine integrierte Verschlüsselung. Dennoch haben Unternehmen Probleme mit der Verschlüsselung auf Linux-Servern. Warum ist das so? Dazu werfen wir zunächst einen Blick auf die in Linux integrierten Verschlüsselungsfunktionen:

  1. dm-crypt (https://de.wikipedia.org/wiki/Dm-crypt) dm-crypt ist ein transparentes Laufwerksverschlüsselungs-Untersystem im Linux-Kernel. Die auf Blockgeräten basierende Abstraktion kann dann zusätzlich zu anderen Blockgeräten, z. B. Laufwerken, hinzugefügt werden. Daher eignet sich diese Technologie ideal für die Festplattenverschlüsselung. Die eigentliche Verschlüsselung ist nicht in dm-crypt integriert, sondern nutzt kryptografische Routinen (z. B. AES) aus der Crypto-API des Kernels.
  2. LUKS (https://de.wikipedia.org/wiki/Dm-crypt#Erweiterung_mit_LUKS)
    LUKS (Linux Unified Key Setup) ist eine Laufwerksverschlüsselungsspezifikation mit einem plattformunabhängigen Standard-On-Disk-Format zur Verwendung mit verschiedenen Tools (sprich einem Standard-Verschlüsselungs-Header), der die Grundlage zur Implementierung des Passwortmanagements bildet. LUKS läuft auf Linux und setzt auf einer erweiterten Version von Cryptsetup auf, die dm-crypt als Backend zur Festplattenverschlüsselung nutzt. Im Verbund bilden dm-crypt und LUKS die Grundlage einer einfachen Standalone-Lösung für die Festplattenverschlüsselung mit Passwortauthentifizierung. Diese Lösung ist jedoch nicht für Unternehmen geeignet, insbesondere nicht für Server, bei denen es sehr umständlich ist, wenn ein Administrator beim Booten anwesend sein und eine Passphrase eingeben muss. (Weitere Informationen über die Einsatzmöglichkeiten sowie die Vor- und Nachteile der nativen Festplattenverschlüsselung von Linux gibt es hier: https://wiki.archlinux.de/title/Systemverschl%C3%BCsselung_mit_dm-crypt).

Unsere Kunden haben folgende Wünsche für den Schutz gespeicherter Daten auf Linux-Systemen geäußert, die sich mit dm-crypt und LUKS alleine nicht umsetzen lassen:

  1. Zentrale Compliance-Ansicht verschlüsselter Geräte: So entsteht die Möglichkeit, über eine Konsole zu prüfen, ob ein Linux-Server im Unternehmen verschlüsselt ist und den Verschlüsselungsvorgaben entspricht. Der Server kommuniziert seinen Verschlüsselungsstatus (für alle Laufwerke) nach einem vorkonfigurierten Zeitintervall an die zentrale Konsole. Geht also ein Server verloren, kann die IT-Abteilung den Auditoren gegenüber den Verschlüsselungsstatus nachweisen.
  2. Zentrale Passwort- und Schlüsselverwaltung für verschlüsselte Server: Die Wiederherstellung von Passwörtern, der Betrieb und die Verwaltung verschlüsselter Linux-Server über eine zentrale Konsole sind sehr wichtig. Darüber hinaus sollte die Konsole in der Lage sein, ein zentrales Backup der Verschlüsselungs-Keys und Informationen zur Wiederherstellung zu erstellen.
  3. Sichere Netzwerkentsperrung (automatischer Start): Die Möglichkeit, ohne Anwesenheit eines Administrators zu booten. Nutzen Sie die Pre-Boot-Netzwerkanbindung, um sich mit einem Richtlinienserver zu verbinden und Schlüssel für die Nutzung zu erhalten, ohne die Sicherheit von Verschlüsselungs-Keys und Daten zu beeinträchtigen.
  4. Anfängliche Online-Verschlüsselung: Sie bietet die Möglichkeit, vorinstallierte Linux-Server zu verschlüsseln, ohne Daten sichern zu müssen, die Festplatte zu löschen und Linux mit aktivierter Verschlüsselung neu zu installieren. Es ist nicht erforderlich, bestehende Server offline zu nehmen, um sie zu verschlüsseln.
  5. Root-Volume-Verschlüsselung: Die Verschlüsselung von Root-Volumes, Daten-Volumes und Swap-Partitionen ist erforderlich, aber der Schutz des Root-Volumes mit der nativen Linux-Festplattenverschlüsselung ist im Allgemeinen recht kompliziert und erfordert ein verbessertes Verfahren.
  6. Löschen verschlüsselter Daten auf kompromittierten Laufwerken: Dies ist ein einfaches Verfahren zum kryptografischen Löschen aller Daten, wenn ein Laufwerk kompromittiert wurde oder wiederverwendet werden soll. Dieser Vorgang sollte auch aus Compliance-Gründen aufgezeichnet werden.
  7. Alle oben genannten Funktionen können für jedes Gerät unabhängig vom Betriebssystem (Linux-Server, Linux-Desktops oder -Notebooks, Windows-Server, Desktop-PCs und Notebooks sowie macOS-Notebooks) über eine zentrale Konsole verwaltet werden. So muss nicht für jeden Betriebssystemtyp eine separate Managementlösung bereitgestellt werden.

Die Lösung:

Hier kommt unsere neue Lösung SecureDoc for Linux für Server ins Spiel. Sie ähnelt SecureDoc CloudVM für Linux für virtualisierte Umgebungen. Das System setzt auf den verfügbaren Linux-Funktionen (wie dm-crypt) auf und ermöglicht die Verwaltung auf Unternehmensebene. Eingangs fragte ich, warum Unternehmen noch immer Probleme mit der Verschlüsselung auf Linux-Servern haben. Die Antwort ist recht einfach. Unternehmen fehlen Verwaltungs- und Compliance-Funktionen in ihren aktuellen Lösungen.

Es folgt eine Vergleichstabelle der Leistungsmerkmale der LUKS-Festplattenverschlüsselung und SecureDoc für Linux:

 

Linux-Server-Verschlüsselung: Native LUKS-Festplattenverschlüsselung vs. SecureDoc für Linux-Server
Funktion Festplattenverschlüsselung mit LUKS SecureDoc für Linux-Server
Zentrale Compliance-Ansicht und Berichterstellung für verschlüsselte Geräte Nein Ja
Zentrale Passwort- und Schlüsselverwaltung für verschlüsselte Systeme Nein Ja
Manuelle Passphrasen-Authentifizierung Ja Ja
Sichere Netzwerkentsperrung (automatischer Start) Nein
(primitive Unterstützung von RHEL mit TANG-Server)
Ja – mit PBConnex-Autoboot
Unternehmensrichtlinienbasiertes Schlüsselmanagement Nein (erfolgt durch den Nutzer) Ja – Anwendung von Unternehmensrichtlinien für die Anforderung zum Entsperren eines sicheren Netzwerks Bsp.: Netzwerkeinstellungen, Datum/Uhrzeit im Kalender usw.
Sichere Authentifizierung von Active Directory Nein Ja – über PBConnex zum AD-Server zur Authentifizierung (ermöglicht es dem Administrator, AD-Kontozugangsdaten zu verwenden, um Server freizuschalten)
Offline-Konvertierung (Verschlüsselung eines vorhandenen Laufwerks) Nein Ja
Online-Konvertierung (Verschlüsselung eines vorhandenen Laufwerks) Nein Ja
Schnelle Konvertierung (Verschlüsselung nur von verwendetem Festplattenspeicher) Nein Ja
Verschlüsselung mehrerer Laufwerke Ja – mit einzigartigem DEK Ja – mit einzigartigem DEK
Unterstützung für das Entsperren mehrerer Laufwerke Ja – aber manuelle Passphrase für jedes Laufwerk erforderlich Ja – automatisierte Freischaltung aller Laufwerke
Root-Volume-Schutz Ja – aber kompliziert Ja – unkompliziert
Datenrettung aus beschädigtem LUKS-Header Nein (alle Daten gehen verloren, wenn der LUKS-Header beschädigt ist) Ja – wiederherstellbar aus SES unter Verwendung von Wiederherstellungsdaten
Begrenzte Benutzeranzahl 8 (mit Luksmeta) Standard – 40 Benutzer
Löschen verschlüsselter Daten auf kompromittierten Geräten Nein Ja

 

In Verbindung mit unserem zentralen SES-Server zur Verschlüsselungsverwaltung können wir schon heute alle oben genannten Wünsche erfüllen. Wenn Sie mehr wissen oder die Lösung selbst testen möchten, schreiben Sie uns an info@www.winmagic.com.

 

 

Comments

comments

Vorheriger Beitrag
Festplattenverschlüsselung, Schlüsselverwaltung und MBAM
Nächster Beitrag
Zusammenarbeit mit Microsoft gibt Kunden Vertrauen in Kompatibilität von SecureDoc mit Windows 10

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü