Deprecated: wp_make_content_images_responsive ist seit Version 5.5.0 veraltet! Benutze stattdessen wp_filter_content_tags(). in /home/customer/www/winmagic.com/public_html/blog-de/wp-includes/functions.php on line 4778

Unternehmensverschlüsselung für Linux

Linux verfügt bereits seit mehreren Jahren über eine integrierte Verschlüsselung. Dennoch haben Unternehmen Probleme mit der Verschlüsselung auf Linux-Notebooks. Warum ist das so? Dazu werfen wir zunächst einen Blick auf die in Linux integrierten Verschlüsselungsfunktionen:

1) dm-crypt (https://de.wikipedia.org/wiki/Dm-crypt)

dm-crypt ist ein transparentes Laufwerksverschlüsselungs-Untersystem im Linux-Kernel. Die auf Blockgeräten basierende Abstraktion kann dann zusätzlich zu anderen Blockgeräten, z. B. Laufwerken, hinzugefügt werden. Daher eignet sich diese Technologie ideal für die Festplattenverschlüsselung. Die eigentliche Verschlüsselung ist nicht in dm-crypt integriert, sondern nutzt kryptografische Routinen (z. B. AES) aus der Crypto-API des Kernels.

2) LUKS (https://de.wikipedia.org/wiki/Dm-crypt#Erweiterung_mit_LUKS)

LUKS (Linux Unified Key Setup) ist eine Laufwerksverschlüsselungsspezifikation mit einem plattformunabhängigen Standard-On-Disk-Format zur Verwendung mit verschiedenen Tools (sprich einem Standard-Verschlüsselungs-Header), der die Grundlage zur Implementierung des Passwortmanagements bildet. LUKS läuft auf Linux und setzt auf einer erweiterten Version von Cryptsetup auf, die dm-crypt als Backend zur Festplattenverschlüsselung nutzt.

Im Verbund bilden dm-crypt und LUKS die Grundlage einer einfachen Standalone-Lösung für die Festplattenverschlüsselung mit Passwortauthentifikation. Diese Lösung ist jedoch nicht für Unternehmen geeignet. (Weitere Informationen über die Einsatzmöglichkeiten sowie die Vor- und Nachteile der nativen Festplattenverschlüsselung von Linux gibt es hier: https://wiki.archlinux.de/title/Systemverschl%C3%BCsselung_mit_dm-crypt).

Unsere Kunden haben folgende Wünsche für den Schutz gespeicherter Daten auf Linux-Systemen geäußert, die sich mit dm-crypt und LUKs nicht umsetzen lassen:

1) Zentrale Compliance-Ansicht verschlüsselter Geräte: So entsteht die Möglichkeit, über eine Konsole zu prüfen, ob ein Linux-Notebook im Unternehmen verschlüsselt ist und den Verschlüsselungsvorgaben entspricht. Das Notebook kommuniziert seinen Verschlüsselungsstatus (für alle Laufwerke) nach einem vorkonfigurierten Zeitintervall an die zentrale Konsole. Geht also ein Notebook verloren, könnte die IT-Abteilung den Auditoren gegenüber den Verschlüsselungsstatus nachweisen.

2) Zentrale Passwort- und Schlüsselverwaltung für verschlüsselte Systeme: Die Wiederherstellung von Passwörtern, der Betrieb und die Verwaltung verschlüsselter Linux-Geräte über eine zentrale Konsole ist sehr wichtig. Darüber hinaus sollte die Konsole in der Lage sein, ein zentrales Backup der Verschlüsselungs-Keys und Informationen zur Wiederherstellung zu erstellen.

3) Pre-Boot-Authentifizierung mit Active Directory-Zugangsdaten: So entsteht die Möglichkeit, einen AD-Benutzernamen und ein AD-Passwort für die Authentifizierung vor dem Systemstart zu erstellen. Ein AD-Server ist Teil der Pre-Boot-Authentifizierung durch eine Pre-Boot-Netzwerkanbindung. Das ist eine deutliche Verbesserung gegenüber der nativen Linux-Implementierung, bei der ein Pre-Boot-Passwort und gelegentlich unterschiedliche Passwörter für jedes Volume des Systems erforderlich ist. Außerdem wird AD nicht unterstützt.

4) Root-Volume-Verschlüsselung: Die Verschlüsselung von Root-Volumes, Daten-Volumes und Swap-Partitionen ist erforderlich, aber der Schutz des Root-Volumes mit der nativen Linux-Festplattenverschlüsselung ist im Allgemeinen recht kompliziert und erfordert ein verbessertes Verfahren.

5) Anfängliche Online-Verschlüsselung: Sie bietet die Möglichkeit, vorinstallierte Linux-Notebooks zu verschlüsseln, ohne Daten sichern zu müssen, die Festplatte zu löschen und Linux mit aktivierter Verschlüsselung neu zu installieren.

6) Löschen verschlüsselter Daten auf kompromittierten Geräten: Dies ist ein einfaches Verfahren zum kryptografischen Löschen aller Daten, wenn ein Gerät kompromittiert wurde oder wiederverwendet werden soll. Dieser Vorgang sollte auch aus Compliance-Gründen aufgezeichnet werden.

UND

Alle oben genannten Funktionen können auch für Windows und macOS über eine zentrale Konsole verwaltet werden, da die Bereitstellung einer anderen Verwaltungslösung für jedes Betriebssystem mühsam ist.

Hier kommt unsere neue Lösung SecureDoc for Linux für Arbeitsplatzrechner ins Spiel. Sie ähnelt SecureDoc CloudVM for Linux für virtualisierte Umgebungen. Das System setzt auf den verfügbaren Linux-Funktionen (wie dm-crypt) auf und ermöglicht die Verwaltung auf Unternehmensebene. Eingangs fragte ich, warum Unternehmen noch immer Probleme mit der Verschlüsselung auf Linux-Notebooks haben. Die Antwort ist recht einfach. Unternehmen fehlen Verwaltungs- und Compliance-Funktionen in ihren aktuellen Lösungen.

In Verbindung mit unserem zentralen SES-Server zur Verschlüsselungsverwaltung können wir schon heute alle oben genannten Wünsche erfüllen. Wenn Sie mehr wissen oder die Lösung selbst testen möchten, schreiben Sie uns an info@www.winmagic.com.

 

 

Comments

comments

Vorheriger Beitrag
Verschlüsselungsmanagement und Kontrolle stärken die IT-Forensik
Nächster Beitrag
Müssen physische Server wirklich verschlüsselt werden?

Related Posts

Es wurden keine Ergebnisse gefunden, die deinen Suchkriterien entsprechen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü