Data encryption at rest - WTF?

[Dmitry67]

В чем смысл? Какой сценарий?

Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?

Или тайно вытаскивает один диск из Netapp, и пытается получить какую то информацию?

По моему старейшая в параноя

[alex_127]

В чем смысл? Какой сценарий?
Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?
Или тайно вытаскивает один диск из Netapp, и пытается получить какую то информацию?
По моему старейшая в параноя

Вы очень близки к истине. Забыли упомянуть враждебных пришельцев. А против них у нас других видов защиты нет...

Что нужно исправить: публиковать оценки кандидата в депутаты от начальной школы до диплома (или дурдома).

[mskmel]

Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?

"A further method of preventing unwanted access to data at rest is the use of data federation[9] especially when data is distributed globally (e.g. in off-shore archives). An example of this would be a European organisation which stores its archived data off-site in the USA. Under the terms of the USA PATRIOT Act[10] the American authorities can demand access to all data physically stored within its boundaries, even if it includes personal information on European citizens with no connections to the USA. Data encryption alone cannot be used to prevent this as the authorities have the right to demand decrypted information. A data federation policy which retained personal citizen information with no foreign connections within its country of origin (separate from information which is either not personal or is relevant to off-shore authorities) is one option to address this concern"

[Flash-04]

Ну или как дополнительная мера защиты при hard drive disposal.

[Searcher]

Welcome to financial industry information security requirements!

Data encryption at rest далеко не самое затратное из этих требований. И при этом на текущем этапе развития достаточно легко реализуемое.

На самом деле при правильной реализации не дает доступ к данным даже системным администраторам (need to know) потому как за ключи отвественны другие люди (separation of duties).

А вообще, многие требования прописаны законодательно или идут от регулятора. Удивляться не надо, надо просто смириться с правилами игры финансового сектора. Кстати, еще интереснее будет когда ваше европейское General Data Protection Regulation (GDPR) в полную силу вступит, с 25 мая 2018.

[StrangerR]

В чем смысл? Какой сценарий?

Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?

Или тайно вытаскивает один диск из Netapp, и пытается получить какую то информацию?

По моему старейшая в параноя

Да нет конечно.

Куда проще. Диск слегка хандрит, НетАпп его отбраковывает. Мужик _умные руки_ диск вытаскивает и кидает в мусор. Вражеский шпиен вытаскивает его из мусора и расшифровывает содержимое.

Других сценариев я лично не имею. Ну кроме ноутбуков, там понятно - пока по отпечатку пальца ключ не соберется, данные не расшифруются и ОС не вызовется. Там это имеет смысл. А на дисках базы... все одно сама база имеет данные в расшифрованном виде, а память самой базы вполне достпна любому админу.

На самом деле при правильной реализации не дает доступ к данным даже системным администраторам (need to know) потому как за ключи отвественны другие люди (separation of duties).

Ну вот зачем мне это если я администратор? Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Я предлалаю нашим архитекторам сделать так, чтобы данные были шифрованы вплоть до клиента. И только в бразере клиента и только по нужде расшифровывались. Это еще имеет смысл. А шифрация на дисках... да фу ты, _через неделю Индеец Джо заметил что у сарая нет одной стены_ то есть тьфу, _администраторы имеют прямой доступ к памяти и буферам сервера базы данных... в которых все уже расшифрованно..._. Админ он всегда данные утащит, если захочет, _против лома нет приема_.

[Searcher]

Ну вот зачем мне это если я администратор? Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Я имел ввиду просто системных администраторов. А на DBA есть Guardium.

[StrangerR]

Ну вот зачем мне это если я администратор? Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Я имел ввиду просто системных администраторов. А на DBA есть Guardium.

А что, _простой системный администратор_ не имеет доступа к админ режиму в котором память любого процесса читается любой сносной командой? Реально на то он и администратор что всегда может вытащить что угодно, если его хоть какой процесс к себе утащил. Против лома _нет приема_. А _другой лом_ - сделать так чтобы в базе данных тоже не было в чистом виде. И ключи были лишь у клиента. Доступа к клиенту админу базы нет. Там правда свои грабли (как например репорты делать или инвойсы посылать) но эти грабли все таки можно обойти вынеся эти функции на особо защищенного _псевдо клиента_.

А так все напоминает анекдот про Индейца Джо.

PS. Замечу что мне даже не надо быть админом на сервере базы данных. Я зайду через VMware и вытащу память этого сервера. На нем и не узнают, что его утащили. Со всеми потрохами.

[StrangerR]

И как он (аудитор) узнает, что некто слил память виртуалки, и не заходя на сервер базы данных? А физические серверы сегодня уходят со сцены быстрее, чем вымирали динозавры...

[StrangerR]

И как он (аудитор) узнает, что некто слил память виртуалки, и не заходя на сервер базы данных? А физические серверы сегодня уходят со сцены быстрее, чем вымирали динозавры...

На сисадмина есть есть тоже сисадмин аудитор. Думаю что он разберется. А если сольет память виртуалки/БД на диск, то удачи ему разобраться что там к чему и как. И кста в памяти обычно не самая большая часть БД.

Вполне достаточная часть, между прочим. Я к тому, что все эти шифрации дисков - от случайных утечек методом _маленький мальчик диск в поле нашел..._ а не от хакеров или внутренних утечек.

[Searcher]

Итог дискуссии. Данная мера неэффективна сама по себе и ее можно обойти - согласен.

Посмотрим немного по-другому. Вопрос изначально поставлен в контексте "изолированного коня в вакууме". При таком рассмотрении эта мера действительно может выглядеть глупо. Однако никто не ограничивается data encryption at rest. Это один из controls в control environment организации.

Когда нанимают, делают background check. После этого дают подписать NDA, terms of use, и заставляют пройти infosec training, который надо проходить ежегодно (с электронной подписью в конце). Доступа в системы из которых можно получить доступ к данным дается только на основании need to know. Девелопер к production system не подпускается на пушечный выстрел. Административный пароль можно получить только по запросу, после management approval, и только с привязкой к change management ticket. То что там делается под администратором пишется в лог (в совершенно другое, недоступное место) и отслеживается посредством того же Splunk. Если Splunk триггер срабатывает, то подключается человек. Попытки отправить информацию за пределы корпоративной сети отслеживаются системой DLP. Возможность копирования на внешний носитель - отключена или приводит к звонку из infosec с вопросом "а что это вы там в USB порт воткнули?"
И так далее. Там еще много чего делается. NIST SP800-53.

Если организация хочет оказывать услуги в financial industry и этого нет, то выбор: или создавайте или не получите контракт.

[Dmitry67]

Теперь как это выглядит в реальности. В VDI коробочки выключается профиль USB mass storage. Но можно воткнуть USB hub, в который уже можно воткнуть флешку.

И так везде.

[Searcher]

Теперь как это выглядит в реальности. В VDI коробочки выключается профиль USB mass storage. Но можно воткнуть USB hub, в который уже можно воткнуть флешку.

И так везде.

Где пока не прижали.

Потом приходят грамотные ИТ аудиторы и лафа заканчивается. А они придут поскольку одим из требований является independent third party audit (SOC 2 Type 2). Внутренние аудиторы конечно могут нарыть больше, но не везде есть и не везде грамотные.

Но это также может быть сделано и официально, если доказана необходимость. Тогда существуют compensating controls - monitoring, например.

Процесс конечно же итерационный и пробелы находятся всегда. Но общая тенденция - "к закручиванию гаек".

[Dmitry67]

У нас девы могут зайти на продакшн. По тикету, на лимитированное время, с логом операций, но могут

Все таки хоть фирма большая но до Северной Кореи мы еще не докатились.

ПС.
Я кстати начал с бюрократией развлекаться, и теперь спокойно туннелирую на N+2 +3 уровня от себя, довожу до их внимания проблемы взаимодействия отделов, они даже скедюлят митинги и к моему удивлению стали подвижки к лучшему, возможно благодаря моей активности

[Searcher]

У нас девы могут зайти на продакшн. По тикету, на лимитированное время, с логом операций, но могут

И аудиторы на это посмотрят нормально поскольку процесс судя по всему прописан и контролируем. Это скорее всего будет рассмотрено как exception process. Но обязательно проверят задокументирован ли и выполняется ли согласно документов, нет ли исключений.

Control environment создается на основании risk assessment и должен быть economically feasible. Все таки получение прибыли никто не отменял.