【51CTO.com快譯】人們常認為，由于服務器在數據中心鎖起來，又由于數據在持續使用，因此不需要加密服務器驅動器，因為數據永遠不處于靜止狀態。

[[268378]]

考慮IT安全時，可能會疏忽的一個方面是企業服務器的物理安全。人們常認為，由于服務器在數據中心鎖起來，又由于數據在持續使用，因此不需要加密服務器驅動器，因為數據永遠不處于靜止狀態。

不過，這種想法帶來了一大潛在問題。最終，所有驅動器都需要維修或處置，勢必離開數據中心。對它們進行加密是保護其數據免受無意或有意泄露的***方法。除此之外，鑒于似乎沒完沒了的泄密事件見諸報章，加上需要遵守GDPR、HIPAA和所有50個州的法規，明智的建議是隨時隨地加密所有內容。

如果你有Linux服務器，可能以為自己受到了保護，因為Linux內置加密技術已有數年。但事實上可能并非如此。原因何在?

以下是Linux內置的磁盤加密功能：

dm-crypt

dm-crypt是Linux內核中一種透明的磁盤加密子系統。它是一種基于塊設備的抽象機制，可以嵌入到其他塊設備(如磁盤)上。因此，它是用于全盤加密(FDE)的理想技術。實際的加密技術并不內置于dm-crypt中，而是它充分利用來自內核的Crypto API的加密例程(比如AES)。

LUKS

LUKS(Linux統一密鑰方案)是一種磁盤加密規范，詳細表明了用于各種工具(比如標準加密頭)的與平臺無關的標準磁盤格式，為實施密碼管理機制提供了基礎。LUKS在Linux上運行，是基于cryptsetup的增強版，它使用dm-crypt作為磁盤加密后端。

dm-crypt和LUKS共同為一款簡單的“獨立”密碼驗證FDE應用軟件構筑了基礎。然而這不是企業級解決方案。

問題是，Linux原生FDE在數據保護方面留下了空隙，包括：

• 沒有集中式密碼、密鑰管理和加密服務器的備份。
• 困難的根卷加密為錯誤留有余地。
• 沒有簡單的方法來加密擦除中招的驅動器。
• 對加密設備缺乏統一的合規視圖，以證明所有服務器的加密狀態。

缺少Linux服務器內置的管理和合規功能，導致企業難以做好加密和數據保護工作。

那么，使用Linux服務器的企業如何才能***地解決這個問題?它們應該尋求含有以下功能特性的解決方案：

加密與密鑰管理相分離

想獲得***效果，加密產品應分為兩個組件：加密和密鑰管理，因為提供這兩個組件的專長大不一樣。為了獲得額外的保護，請考慮建立在dm-crypt上的解決方案而不是更換dm-crypt，以便更好地管理加密。

強大的驗證

由于如今身份和訪問控制備受關注，擁有一種可以提供更強大的服務器驗證機制，確保數據免受危害的加密解決方案，這很重要。基于網絡的預啟動驗證可以提供此功能，在操作系統引導之前加強安全。

確保根和數據卷加密以及加密擦除中招驅動器的簡單方法

根卷加密、數據卷加密和加密交換分區都是安全和合規所需要的。尋找能夠以簡單方式做到這點的解決方案。此外，解決方案應該有一種簡單的機制，可在驅動器中招或另作他用時加密擦除所有數據。出于合規原因，還必須記錄此操作。

加密設備、密鑰以及恢復信息的集中式合規視圖和管理

有了這種類型的可見性，你可以查看貴企業中的Linux服務器是否已加密、并符合加密政策。服務器會將其加密狀態(針對所有磁盤)傳達給中央控制臺。因此，如果某臺服務器丟失，IT部門將為審計員提供其加密狀態的證明。此外，從中央控制臺對加密的Linux服務器執行總體的密碼恢復、操作和管理至關重要。控制臺還應該能提供集中備份加密密鑰和恢復信息的功能。

為服務器(包括Linux服務器)提供無縫集成的加密解決方案至關重要。有了上面列出的幾類功能，萬一發生數據泄露，企業完全有能力保護擁有的機密信息，并滿足越來越多的合規法規的要求。

原文標題：Are Your Linux Servers Really Protected?，作者：Garry McCracken

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】