Data encryption at rest - WTF?

[Dmitry67]

В чем смысл? Какой сценарий?

Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?

Или тайно вытаскивает один диск из Netapp, и пытается получить какую то информацию?

По моему старейшая в параноя

[alex_127]

В чем смысл? Какой сценарий?
Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?
Или тайно вытаскивает один диск из Netapp, и пытается получить какую то информацию?
По моему старейшая в параноя

Вы очень близки к истине. Забыли упомянуть враждебных пришельцев. А против них у нас других видов защиты нет...

Что нужно исправить: публиковать оценки кандидата в депутаты от начальной школы до диплома (или дурдома).

[mskmel]

Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?

"A further method of preventing unwanted access to data at rest is the use of data federation[9] especially when data is distributed globally (e.g. in off-shore archives). An example of this would be a European organisation which stores its archived data off-site in the USA. Under the terms of the USA PATRIOT Act[10] the American authorities can demand access to all data physically stored within its boundaries, even if it includes personal information on European citizens with no connections to the USA. Data encryption alone cannot be used to prevent this as the authorities have the right to demand decrypted information. A data federation policy which retained personal citizen information with no foreign connections within its country of origin (separate from information which is either not personal or is relevant to off-shore authorities) is one option to address this concern"

[Flash-04]

Ну или как дополнительная мера защиты при hard drive disposal.

[Searcher]

Welcome to financial industry information security requirements!

Data encryption at rest далеко не самое затратное из этих требований. И при этом на текущем этапе развития достаточно легко реализуемое.

На самом деле при правильной реализации не дает доступ к данным даже системным администраторам (need to know) потому как за ключи отвественны другие люди (separation of duties).

А вообще, многие требования прописаны законодательно или идут от регулятора. Удивляться не надо, надо просто смириться с правилами игры финансового сектора. Кстати, еще интереснее будет когда ваше европейское General Data Protection Regulation (GDPR) в полную силу вступит, с 25 мая 2018.

[StrangerR]

В чем смысл? Какой сценарий?

Броневик пробивает бетонные надолбы перед входом в datacenter, расстреливает охрану из автоматов, и прорывается внутрь и вытаскивает storage?

Или тайно вытаскивает один диск из Netapp, и пытается получить какую то информацию?

По моему старейшая в параноя

Да нет конечно.

Куда проще. Диск слегка хандрит, НетАпп его отбраковывает. Мужик _умные руки_ диск вытаскивает и кидает в мусор. Вражеский шпиен вытаскивает его из мусора и расшифровывает содержимое.

Других сценариев я лично не имею. Ну кроме ноутбуков, там понятно - пока по отпечатку пальца ключ не соберется, данные не расшифруются и ОС не вызовется. Там это имеет смысл. А на дисках базы... все одно сама база имеет данные в расшифрованном виде, а память самой базы вполне достпна любому админу.

На самом деле при правильной реализации не дает доступ к данным даже системным администраторам (need to know) потому как за ключи отвественны другие люди (separation of duties).

Ну вот зачем мне это если я администратор? Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Я предлалаю нашим архитекторам сделать так, чтобы данные были шифрованы вплоть до клиента. И только в бразере клиента и только по нужде расшифровывались. Это еще имеет смысл. А шифрация на дисках... да фу ты, _через неделю Индеец Джо заметил что у сарая нет одной стены_ то есть тьфу, _администраторы имеют прямой доступ к памяти и буферам сервера базы данных... в которых все уже расшифрованно..._. Админ он всегда данные утащит, если захочет, _против лома нет приема_.

[Searcher]

Ну вот зачем мне это если я администратор? Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Я имел ввиду просто системных администраторов. А на DBA есть Guardium.

[StrangerR]

Ну вот зачем мне это если я администратор? Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Я имел ввиду просто системных администраторов. А на DBA есть Guardium.

А что, _простой системный администратор_ не имеет доступа к админ режиму в котором память любого процесса читается любой сносной командой? Реально на то он и администратор что всегда может вытащить что угодно, если его хоть какой процесс к себе утащил. Против лома _нет приема_. А _другой лом_ - сделать так чтобы в базе данных тоже не было в чистом виде. И ключи были лишь у клиента. Доступа к клиенту админу базы нет. Там правда свои грабли (как например репорты делать или инвойсы посылать) но эти грабли все таки можно обойти вынеся эти функции на особо защищенного _псевдо клиента_.

А так все напоминает анекдот про Индейца Джо.

PS. Замечу что мне даже не надо быть админом на сервере базы данных. Я зайду через VMware и вытащу память этого сервера. На нем и не узнают, что его утащили. Со всеми потрохами.

[StrangerR]

И как он (аудитор) узнает, что некто слил память виртуалки, и не заходя на сервер базы данных? А физические серверы сегодня уходят со сцены быстрее, чем вымирали динозавры...

[StrangerR]

И как он (аудитор) узнает, что некто слил память виртуалки, и не заходя на сервер базы данных? А физические серверы сегодня уходят со сцены быстрее, чем вымирали динозавры...

На сисадмина есть есть тоже сисадмин аудитор. Думаю что он разберется. А если сольет память виртуалки/БД на диск, то удачи ему разобраться что там к чему и как. И кста в памяти обычно не самая большая часть БД.

Вполне достаточная часть, между прочим. Я к тому, что все эти шифрации дисков - от случайных утечек методом _маленький мальчик диск в поле нашел..._ а не от хакеров или внутренних утечек.

[Searcher]

Итог дискуссии. Данная мера неэффективна сама по себе и ее можно обойти - согласен.

Посмотрим немного по-другому. Вопрос изначально поставлен в контексте "изолированного коня в вакууме". При таком рассмотрении эта мера действительно может выглядеть глупо. Однако никто не ограничивается data encryption at rest. Это один из controls в control environment организации.

Когда нанимают, делают background check. После этого дают подписать NDA, terms of use, и заставляют пройти infosec training, который надо проходить ежегодно (с электронной подписью в конце). Доступа в системы из которых можно получить доступ к данным дается только на основании need to know. Девелопер к production system не подпускается на пушечный выстрел. Административный пароль можно получить только по запросу, после management approval, и только с привязкой к change management ticket. То что там делается под администратором пишется в лог (в совершенно другое, недоступное место) и отслеживается посредством того же Splunk. Если Splunk триггер срабатывает, то подключается человек. Попытки отправить информацию за пределы корпоративной сети отслеживаются системой DLP. Возможность копирования на внешний носитель - отключена или приводит к звонку из infosec с вопросом "а что это вы там в USB порт воткнули?"
И так далее. Там еще много чего делается. NIST SP800-53.

Если организация хочет оказывать услуги в financial industry и этого нет, то выбор: или создавайте или не получите контракт.

[Dmitry67]

Теперь как это выглядит в реальности. В VDI коробочки выключается профиль USB mass storage. Но можно воткнуть USB hub, в который уже можно воткнуть флешку.

И так везде.

[Searcher]

Теперь как это выглядит в реальности. В VDI коробочки выключается профиль USB mass storage. Но можно воткнуть USB hub, в который уже можно воткнуть флешку.

И так везде.

Где пока не прижали.

Потом приходят грамотные ИТ аудиторы и лафа заканчивается. А они придут поскольку одим из требований является independent third party audit (SOC 2 Type 2). Внутренние аудиторы конечно могут нарыть больше, но не везде есть и не везде грамотные.

Но это также может быть сделано и официально, если доказана необходимость. Тогда существуют compensating controls - monitoring, например.

Процесс конечно же итерационный и пробелы находятся всегда. Но общая тенденция - "к закручиванию гаек".

[Dmitry67]

У нас девы могут зайти на продакшн. По тикету, на лимитированное время, с логом операций, но могут

Все таки хоть фирма большая но до Северной Кореи мы еще не докатились.

ПС.
Я кстати начал с бюрократией развлекаться, и теперь спокойно туннелирую на N+2 +3 уровня от себя, довожу до их внимания проблемы взаимодействия отделов, они даже скедюлят митинги и к моему удивлению стали подвижки к лучшему, возможно благодаря моей активности

[Searcher]

У нас девы могут зайти на продакшн. По тикету, на лимитированное время, с логом операций, но могут

И аудиторы на это посмотрят нормально поскольку процесс судя по всему прописан и контролируем. Это скорее всего будет рассмотрено как exception process. Но обязательно проверят задокументирован ли и выполняется ли согласно документов, нет ли исключений.

Control environment создается на основании risk assessment и должен быть economically feasible. Все таки получение прибыли никто не отменял.

[Dmitry67]

У нас девы могут зайти на продакшн. По тикету, на лимитированное время, с логом операций, но могут

И аудиторы на это посмотрят нормально поскольку процесс судя по всему прописан и контролируем. Это скорее всего будет рассмотрено как exception process. Но обязательно проверят задокументирован ли и выполняется ли согласно документов, нет ли исключений.

Control environment создается на основании risk assessment и должен быть economically feasible. Все таки получение прибыли никто не отменял.

О да. Аудиторы очень придирчиво эти отчеты смотрели и делали выборочные проверки. Мне пришлось участвовать в процессе удовлетворения аудиторов)

[alex_127]

У нас девы могут зайти на продакшн. По тикету, на лимитированное время, с логом операций, но могут

И аудиторы на это посмотрят нормально поскольку процесс судя по всему прописан и контролируем. Это скорее всего будет рассмотрено как exception process. Но обязательно проверят задокументирован ли и выполняется ли согласно документов, нет ли исключений.

Control environment создается на основании risk assessment и должен быть economically feasible. Все таки получение прибыли никто не отменял.

О да. Аудиторы очень придирчиво эти отчеты смотрели и делали выборочные проверки. Мне пришлось участвовать в процессе удовлетворения аудиторов)

главное это тщательно отделять тех коgo аудиторам показывать можно от тех кто на самом деле может устроить проблему интернетного масштаба...

[Searcher]

главное это тщательно отделять тех коgo аудиторам показывать можно от тех кто на самом деле может устроить проблему интернетного масштаба...

Не принципиально. Слова не являются определяющими.

При хорошо поставленном внутреннем аудите подсказывать не особо надо, они и сами знают где и как смотреть. И доверять будут в первую очередь фактам полученным из записей в системах.

[StrangerR]

Итог дискуссии. Данная мера неэффективна сама по себе и ее можно обойти - согласен.

Посмотрим немного по-другому. Вопрос изначально поставлен в контексте "изолированного коня в вакууме". При таком рассмотрении эта мера действительно может выглядеть глупо. Однако никто не ограничивается data encryption at rest. Это один из controls в control environment организации.

Когда нанимают, делают background check. После этого дают подписать NDA, terms of use, и заставляют пройти infosec training, который надо проходить ежегодно (с электронной подписью в конце). Доступа в системы из которых можно получить доступ к данным дается только на основании need to know. Девелопер к production system не подпускается на пушечный выстрел. Административный пароль можно получить только по запросу, после management approval, и только с привязкой к change management ticket. То что там делается под администратором пишется в лог (в совершенно другое, недоступное место) и отслеживается посредством того же Splunk. Если Splunk триггер срабатывает, то подключается человек. Попытки отправить информацию за пределы корпоративной сети отслеживаются системой DLP. Возможность копирования на внешний носитель - отключена или приводит к звонку из infosec с вопросом "а что это вы там в USB порт воткнули?"
И так далее. Там еще много чего делается. NIST SP800-53.

Если организация хочет оказывать услуги в financial industry и этого нет, то выбор: или создавайте или не получите контракт.

На практике все это обходится очень быстро. Кроме разделения продакшена и всего остального, и то если все грамотно сделано (что редкость). ТО есть бумаг то пишется много, но насчет Сплунк триггера - обычно там идет тысяча в день и никто туда не смотрит уже лет 5, это то что мне попадалось... Ну а про USB вообще насмешили, уж передать то файл всегда можно, никакой DLP тут не поможет.

Аудиторы это конечно хорошо. Иногда, раз в сто лет, от них даже польза есть. Хотя после года работы польза резко упала а вот вред в виде _отвлечения от реальных дел_ начал расти. И я знаю кучу мест которые аудитор вообще не видит и не увидит и которые серьезнее того, куда он копает. К сожалению, аудитор он не бог и на деле на него надеяться лучше не стоит...

[mskmel]

Я данные просто из памяти базы данных считаю. Через dd /dev/mem my-file. Делов то. зачем мне эти ключи, они все одно уже введены и уже активированы.

Не всё так просто. Данные в БД хранятся шифрованные, не все но те что попадают под compliance. Вот https://www.voltage.com/products/data-s ... nterprise/ или еще https://www.ibm.com/security/data-security/guardium ну и еще один https://www.thalesesecurity.com/product ... encryption
Вы из памяти считаете... кусок зашифрованных данных. Админ приложений, считает тоже самое.
Любой запрос на дешифрацию логгируется, кто, откуда, когда и т.п.

[StrangerR]

ну так select * from table эти данные прекрасно расшифровывает. И они прекрасно сидят в памяти. Это если просто таблички шифровать.

ВОт вариант, когда данные расшифровываются уже на клиенте, уже интереснее. Но если клиент это какой нибудь там веб сервер, то все одно у него в памяти они есть в чистом виде. Вот если клиент это бразер, то тогда ой, тогда данные с сервера уже не утащить. Но тут вылезает необходимость печатать инвойсы, делать репорты и прочее, и для них все равно делается массовая расшифровка данных (в умной системе критические данные в эти репорты или принты не попадут, но как часто бывают умные архитекторы?)

Мне интересен вариант когда данные шифруются еще в клиенте или около него (что вполне себе реално) и сидят в шифрованном виде и по такому же виду, если что, идет поиск (оно конечно частично ослабляет шифрацию так как поисками можно по статистике кое что накопать но все таки это слезы). И в идеале чтобы данные без расшифровки прямо годились как обфускейтед данные. Но пока это обеспечить практически никто не может.

[Flash-04]

Когда нанимают, делают background check. После этого дают подписать NDA, terms of use, и заставляют пройти infosec training, который надо проходить ежегодно (с электронной подписью в конце). Доступа в системы из которых можно получить доступ к данным дается только на основании need to know. Девелопер к production system не подпускается на пушечный выстрел. Административный пароль можно получить только по запросу, после management approval, и только с привязкой к change management ticket. То что там делается под администратором пишется в лог (в совершенно другое, недоступное место) и отслеживается посредством того же Splunk. Если Splunk триггер срабатывает, то подключается человек. Попытки отправить информацию за пределы корпоративной сети отслеживаются системой DLP. Возможность копирования на внешний носитель - отключена или приводит к звонку из infosec с вопросом "а что это вы там в USB порт воткнули?"
И так далее. Там еще много чего делается. NIST SP800-53.

наш человек

[StrangerR]

Когда нанимают, делают background check. После этого дают подписать NDA, terms of use, и заставляют пройти infosec training, который надо проходить ежегодно (с электронной подписью в конце). Доступа в системы из которых можно получить доступ к данным дается только на основании need to know. Девелопер к production system не подпускается на пушечный выстрел. Административный пароль можно получить только по запросу, после management approval, и только с привязкой к change management ticket. То что там делается под администратором пишется в лог (в совершенно другое, недоступное место) и отслеживается посредством того же Splunk. Если Splunk триггер срабатывает, то подключается человек. Попытки отправить информацию за пределы корпоративной сети отслеживаются системой DLP. Возможность копирования на внешний носитель - отключена или приводит к звонку из infosec с вопросом "а что это вы там в USB порт воткнули?"
И так далее. Там еще много чего делается. NIST SP800-53.

наш человек

Ага, я с этими аудиторами уже месяца 4 как время трачу. Даже я бы сказал второй год. Проблема - если вначала это все приносило кучу улучшений, то в последнее время они исчерпали фантазии и привязываются к столбам при том что рядом известные мне калитки еще живут (ну не калитки но то что давно пора менять нафиг).

тут надо понимать что все это _опытки отправить информацию за пределы корпоративной сети отслеживаются системой DLP_ защищает только от случайной утечки. Если кто то захочет информацию отправить, то прекрасно отправит, отключай там запись на USB не отключай...

Да, а на фига девелоперам доступ к продакшен системе _по тикету_? Их туда вообще пускать нельзя. На чтение еще туда сюда да и то лучше на копию пустить. А так - изменение это скрипт (с номером тикета) которые опсы прогонят на копии а потом в заданное время в продакшене. А иначе.. что там кто понаделает, никакими аудитами не разберешься...

[Flash-04]

StrangerR, я надеюсь не надо обьяснять что в нашей профессии нет "серебрянной пули"? вместо этого учат ставить стройные ряды спотыкачей, на одном из которых злоумышленник таки сделает неверный ход.

[Flash-04]

Да, а на фига девелоперам доступ к продакшен системе _по тикету_? Их туда вообще пускать нельзя. На чтение еще туда сюда да и то лучше на копию пустить. А так - изменение это скрипт (с номером тикета) которые опсы прогонят на копии а потом в заданное время в продакшене. А иначе.. что там кто понаделает, никакими аудитами не разберешься...

в теории так и есть. на практике же нередко админ открывал консоль и давал мне remote control чтобы я уже всё делал. но это конечно скорее из-за лени.
Опять же в реальности бывает так что DEV & PROD таки не равны друг другу, и то что сработало на DEV не идёт 1-в-1 на PROD. тогда админ теряется, и тогда либо приходится говорить "а попробуй так", "а посмотри в другом фолдере", в общем моя практика траблшутинга довольно богата, и в ней были случаи когда в итоге консоль приходилось передавать в руки поддержки вендора, чтобы разобраться какого фига приложение на PROD выкаблучивается. Ну или можно стать в позу и жить дальше с "упавшей" системой.
Опять же из практики у меня был случай когда через несколько дней после апгрейда приложение "упало" в усмерть и поддержка вендора несколько дней ничего мне не отвечала (я так понял они сами не знали что сделать). В итоге практически по наитию я сам её поднял. Особая пикантность заключалась в том, что как-то подрались разные апдейты Oracle, и мне с помощью какой-то матери удалось этот конфликт разрешить (я не Oracle DBA ни разу). Как легко догадаться, никакого документа который я мог бы дать админу на исполнение, просто не было в природе. Но да, это было ещё время когда у меня был root на сервере. Сейчас бы такой фокус не удался бы. Думаю пришлось бы вызывать на сайт человека от вендора, сажать его вместе с алмином, и заняло это бы времени больше и стоило бы $$$$.