Шифрування даних при зберіганні
| 🌐 Цей документ доступний українською та англійською мовами. Використовуйте перемикач у правому верхньому куті, щоб змінити версію. |
1. Загальний опис
Шифрування даних при зберіганні (at-rest encryption) є методом захисту конфіденційності та цілісності даних під час їх зберігання на носіях, таких як диски, файлові системи або бази даних. Воно відрізняється від шифрування в транспорті, яке застосовується для захисту даних під час їх передачі мережею. Такий підхід забезпечує конфіденційність даних в разі фізичного доступу до носія, наприклад, в разі втрати, викрадення або несанкціонованого доступу до фізичного пристрою.
2. Застосування шифрування даних при зберіганні
Шифрування застосовується для двух ключових компонентів платформи. Шифрування дисків компонентів системи оркестрації контейнерів та відповідно системне сховище самої системи. Обидві операції виконуються інсталятором платформи реєстрів під час розгортання.
|
Детальніше можна ознайомитись у розділі Компонент керування станом ресурсів Платформи |
2.1. Шифрування накопичувачів
Усі дані які знаходять на блочному типу сховища шифруються при зберіганні. Відповідно усі резервні копії сховища даних автоматично будуть зашифровані і захищені від несанкціонованого доступу.
Накопичувачі шифруються за допомогою ключа даних, використовуючи галузевий стандарт шифрування даних AES-256-XTS який рекомендований стандартом NIST SP 800-38E.
2.2. Шифрування сховища системи оркестрації контейнерів
Сховище ключів та значень системи оркестрації контейнерів зберігає системні секрети та конфіденційну інформацію тому повинно бути зашифроване. Для оптимальної роботи системи шифруються тільки наступні ресурси: - Секрети - Конфігурація - Роути - Токени доступу механізма OAuth
Для виконання шифрування використовуєтсья алгоритм AES-CBC із заповненням PKCS#7 і 32-байтовим ключем.
3. Вплив на продуктивність та доступність
Шифрування має низький вплив на атрибути якості платформи. Операції читання та запису відбуваються майже з тією самою швидкістью що і без шифрування, з мінімальним впливом на затримку.
4. Керування та безпека ключів
Керування ключами є критичним аспектом при використанні шифрування даних при зберіганні. Ефективне керування ключами гарантує безпеку шифрованих даних та запобігає несанкціонованому доступу до них.
Для генерації ключів використовуються надійні алгоритми та методи. Ключі шифрування зберігаються в безпечному місці з обмеженим доступом.
Ключі шифрування мають визначений життєвий цикл, включаючи створення, використання, обслуговування та видалення.
Ротація ключів шифрування накопичувачів відбувається автоматично раз у рік, а ключів шифрування сховища системи оркестрації контейнерів - раз у тиждень.