用LUKS为云盘敏感数据上锁

2023-10-29 00:40

本文主要是介绍用LUKS为云盘敏感数据上锁,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

背景

通过之前的教程,我们了解如何在Linux和Windows云服务器下挂载和扩容云硬盘,解决了业务存储的性能扩展问题。那么,如何妥善地解决块存储的安全问题呢?这篇我们将一起探索在腾讯云上,为云硬盘做基于dm-crypto/LUKS的块设备加密的方法实践。

静止数据(data-at-rest)加密分层

静止数据安全 VS. 在途数据安全

静止数据(data-at-rest)加密确保文件始终以加密形式存储在磁盘上。只有在系统运行和受信任的用户解锁时,文件才会以可读的形式对操作系统和应用程序开放,此时转变为在途数据(data-in-use或data-in-transit)。而未经授权直接查看磁盘内容,只能得到无意义的随机数据,而不是实际的文件。

静止数据加密可以在以下场景保护数据不泄露:如非受信任的人可能进入机房、硬盘丢失或被盗,如笔记本电脑、上网本或外部存储设备、在修理厂修理、以及硬盘弃用后。简单点,硬盘丢了也不担心泄密。

当然,静止数据加密也不是万能的,它无法在以下场景下保证数据安全:运行时网络侵入,攻击者可以通过互联网在系统运行时并已经解锁了磁盘的加密部分后侵入系统;运行时物理侵入,在机器开机时,对机器进行获得物理访问权;被胁迫交出密码等。所以,完整的数据安全策略应该包括静止和在途的数据的加密。而对于途数据的安全就讨论更多了,很多网络安全相关协议,如最典型的TLS等等。

静止数据加密的分层模型及场景对比

正如大家熟知的网络协议的TCP/IP四层模型,各层有不同的安全方案,如传输层有TLS,网络层有IPSec等。数据存储的也在各个层面上有各自的安全加密实现,操作系统的存储栈如下图:
在这里插入图片描述
最上层的应用层通常可以由具体软件商自己定制的库实现,一般来说,越上层开发越灵活,但是应用层的加密对开发者其实非常不友好:第一是因为特定加密算法的细节(密钥、摘要生成等)毕竟距离业务太远,第二是应用级别的加密无法利用系统级别的缓存,如页缓存等,想获得理想性能的实现难度非常大。所以更适合更底层的抽象,如用户态加密库OpenSSL、PGP等。最底层的硬件层加密是指基于硬件实现的全盘加密(Hardware-based FDE, Full Disk Encryption),如SED(Self-encrypting Drives)或Opal兼容设备等。本节不对其做重点分析,而主要分析中间两类OS层的数据加密实现:栈式文件系统加密(stacked filesystem encryption)和块设备加密(block device encryption)。

文件系统级加密使得数据加密对应用程序是透明的,因为文件系统本身就会对数据进行加/解密,然后再将数据传递给块子系统,所以无论应用程序是否有加密支持,文件都会被加密。其灵活性还体现在,可以配置成只对某一特定目录进行加密,或者对不同的文件有不同的密钥。然而,这种灵活性是以更复杂的配置为代价的。文件系统加密通常不如块设备加密安全,因为大部分的栈式文件系统只能加密文件的内容,还做不到加密相关的元数据,如文件大小、文件数量、目录树布局等,这些对潜在的攻击者来说仍是可见的。而栈式(stacked)是指这类加密工作是在已存在的文件系统(如Ext4/Btrfs)上再加一层,在已有文件系统的基础之上再进行其中数据的加密,如相对传统(有些缺陷的)的eCryptfs、EncFS和新近的gocryptfs及CryFS等,而且其中大部分是通过FUSE技术实现。 栈式加密文件系统是目前文件系统级加密的主流实现方法。

而相对更下层的块设备加密(也称磁盘卷加密或全盘加密)也使得数据加密对应用程序甚至整个文件系统都是透明的。与文件系统层加密不同的是,它对块设备上的所有数据进行加密,包括文件元数据、可用空间、硬盘分区表信息甚至作为loop device的文件都可以。块设备加密性能通常非常高,也更安全。不过,它的灵活性较前者受限,通常是对整个块设备进行加密,所以没有按目录、按文件或按用户的配置。

选择哪一层加密取决于实际情况,应用程序和文件系统级别的加密通常是客户端系统的首选,因为它具有灵活性。家用的多用户桌面上的每个用户可能希望用自己的密钥加密他们的主目录,而不对一些共享目录进行加密。相反,在服务器系统上,尤其是云服务场景下,则推荐用启用块设备加密。毕竟,我们所有的数据都必须得到保护,因为没有例外或覆盖,不太需要上层提供的选择性灵活性。

块设备加密原理:dm-crypt/LUKS

dm-crypt

这篇关于用LUKS为云盘敏感数据上锁的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/297063

相关文章

Windows系统使用小皮面板搭建Kodcloud结合内网穿透体验私有云盘

文章目录 1.前言2. Kodcloud网站搭建2.1. Kodcloud下载和安装2.2 Kodcloud网页测试 3. cpolar内网穿透的安装和注册4. 本地网页发布4.1 Cpolar云端设置4.2 Cpolar本地设置 5. 公网访问测试6.结语 1.前言 本文主要为大家介绍一款国人自研的在线Web文件管理器可道云,能够支持在线管理图片、播放音乐视频、编辑和查看文件

【网络安全】调试模式获取敏感数据

未经许可,不得转载。 文章目录 漏洞原因步骤PHPPythonASPNode.js 漏洞原因 当开发者忘记在生产环境中禁用调试模式,应用在发生错误时,可能会输出详细的错误信息。这些错误信息(比如“error title”或堆栈跟踪)通常包含了应用程序的内部结构、配置甚至数据库连接信息等敏感数据。 步骤 某些常见的错误或堆栈跟踪信息可以通过 Google Dorkin

如何在本地服务器部署SeaFile自托管文件共享服务结合内网穿透打造私有云盘?

文章目录 1. 前言2. SeaFile云盘设置2.1 Owncould的安装环境设置2.2 SeaFile下载安装2.3 SeaFile的配置 3. cpolar内网穿透3.1 下载安装3.2 Cpolar注册3.3 Cpolar云端设置3.4 Cpolar本地设置 4.公网访问测试5.结语 1. 前言 本文主要为大家介绍,如何使用两个简单软件,SeaFile云存储平台和cpo

阿里云云盘手动扩展方法

在Linux操作系统内扩容分区和文件系统_云服务器 ECS(ECS)-阿里云帮助中心 扩容示例 本节以MBR分区、GPT分区、裸数据盘为例展示扩容分区和文件系统的操作命令,供您参考。在实际扩容过程中,请您以实际环境为准。 示例1:扩容MBR分区和ext4文件系统 示例2:扩容GPT分区和xfs文件系统 示例3:扩容裸数据盘 设备名:/dev/vda(系统盘) 1个分区:/dev/v

解锁.NET安全奥秘:敏感数据加密与哈希的深度揭秘

在 .NET 应用中保护敏感数据:加密与哈希的深入探讨 随着数字化时代的不断发展,数据安全已经成为企业和开发者面临的首要挑战之一。在 .NET 应用程序中,保护敏感数据不被未授权访问、篡改或泄露至关重要。为此,加密与哈希技术被广泛应用,以确保数据的机密性、完整性和安全性。本文将详细探讨如何在 .NET 应用中使用加密与哈希技术保护敏感数据,从基础概念到实际操作,让读者能够深入理解并应用这些技术。

遇到并发,上锁是个好习惯

“锁”在我们日常的生活工作中经常会用到,比如离开寝室会锁房门,不用手机会将屏幕锁定,这充分保证了个人财产安全和隐私安全。同样,在程序的世界里,也有一把锁,保证程序不会崩溃,保证我们手机钱包里的钱不会无缘无故变多变少。 锁(lock)作为用于保护临界区(critical section)的一种机制,被广泛应用在多线程程序中。比如 Java 应用程序出现的 synchronized 关键字,就是锁实

【百度云盘】24年08月升级后窗口无法缩放问题解决

24年08月百度云盘电脑版客户端升级后,窗口无法自由缩放。 原因分析:新版软件分辨率未调试好,与win11电脑不能良性兼容 无效解决方式:重装软件后重新打开同样会出现上述不良 解决方法:右键点击百度云盘运行程序,调整兼容性设置(以win8兼容模式运行这个程序)

再也不怕内存不够,可道云teamOS,搭建属于你的私有云盘

你是否曾遇到过这样的情况:一次意外的手机故障,导致家庭照片、视频和文件全部丢失,那些珍贵的回忆瞬间化为乌有;或者家庭成员之间频繁地通过微信、邮箱传来传去文件,既麻烦又容易混乱。 直到有一天,我意识到需要搭建一个家庭共享备份中心来彻底解决这些问题。 这样家里的每一张照片、每一段视频、每一份文件都能安全地存储在一个地方,我和家人可以随时随地访问和分享。更重要的是,即便遇到意外情况,也能轻松恢复

暗网惊现我国某企业内部敏感数据

近日,国家安全机关工作发现,在某境外论坛上出现我国某企业的内部数据,数据内容包含该企业多个合作客户姓名、身份证号、家庭住址以及手机号码等个人隐私信息。 “弱口令”导致客户数据泄露。 经核查,该数据之所以被窃取,是因为企业网络管理员在开展运维测试后,未及时删除测试账号,而该账号恰好具备管理员权限且口令简单极易猜解导致,一些客户的数据由此造成大量泄露。 邮箱数据被盗,密码竟然为单位公开的“电话号

如何对文件、文档设置自动加解密?为文档上锁很简单,全都告诉你!

为文件、文档设置自动加解密是保护企业核心机密的重要手段! 想象一下,只需简单几步设置,就能让您的文档在创建、存储、传输过程中自动穿上“防弹衣”,这无疑为企业的信息安全筑起了一道坚实的防线。接下来,我将详细介绍如何为文档设置自动加解密,并特别借助安企神软件的功能策略。 1. 上传下载加解密 这款软件内置了智能的文件传输监控模块,当员工尝试通过共享文件夹、云盘等方式上传文件时,软件会自动识别