ディスクの暗号化について質問があります。
2 つのサーバーがあります。1 つは Web/フロントエンド用の Apache で、サーバー 2 と通信します。これは mysql です。これらはすべてイントラネット専用です。外部アクセスなし。ディスクを暗号化するために PGP または GnuPG を使用することを検討していました。ただし、これがどのように機能するかについては明確ではありません。
鍵はどこに保管されますか? クライアントで?アパッチで?Apache に mysql にアクセスするためのキーがある場合、ユーザーごとにキーが必要ですか? その場合、キー 1 を使用して一部のデータを変更すると、キー 2 を使用するユーザーはそのデータにアクセスできなくなりますか? そしてApacheキーは、ローカルキーを持つユーザーだけがアクセスできるでしょうか?
暗号化はオンザフライで行われますか? パフォーマンスが低下しますか?
これらのサーバー上のデータを暗号化し、ユーザーがアクセスできるようにするための最良のアプローチは何ですか?
ありがとう!
あなたが説明するセットアップでは、データを暗号化できる場所と方法がたくさんあります。サーバー間で転送されるすべてのデータを暗号化したい場合は、サーバー間に仮想プライベート ネットワーク (VPN) を設定するとうまくいきます。ディスク上の実際のデータを暗号化したい場合は、Linux の CFS のような暗号ファイルシステムを使用できます。もう少し偏執的である場合は、スワップ領域も暗号化することをお勧めします。
暗号化操作は CPU に非常に負担がかかる可能性があるため、すべてのデータを常に暗号化するのはおそらく効率的ではありません。すべてを暗号化する必要はなく、機密データの一部を暗号化したいだけだと思います。これを行う最も簡単な方法は、ユーザーのパスワードとランダムなソルト(ユーザーごとに 1 回生成される) をキーとして使用し、AES のような対称キー アルゴリズムを使用することだと思います。
Web アプリケーションは、データベース内のデータを暗号化された形式で保存および取得する必要があり、暗号化されていないデータを必要以上に長くメモリに保持しないように注意してください。その後、クライアントに送信するときに秘密のままにする(しようとする)には、TLSを使用する必要があります。