728 x 90

Ochrona danych o krytycznym stopniu poufności

Ochrona danych o krytycznym stopniu poufności

Są tacy klienci, dla których optymalizacja wydajnościowa jest drugorzędna, natomiast aspektem absolutnie krytycznym i priorytetowym jest poufność danych. Poufność idąca o wiele dalej, niż są w stanie zapewnić standardy takie jak choćby PCI DSS stosowany przez instytucje finansowe. Poufność, której naruszenie może się zakończyć zapłatą potężnych kar finansowych, pobytem w więzieniu, a nawet kalectwem lub śmiercią.

Dla takich klientów przygotowaliśmy specjalną ofertę budowy chmur prywatnych o podwyższonej poufności działania, z pełną izolacją sieciową i opcjonalnie routingiem TOR, wyposażonych w killswitche i inne mechanizmy zabezpieczające przed przejęciem danych przez wrogie służby. Szczegóły cenowe możesz znaleźć w naszym cenniku usług.

Poniżej zaś znajdziesz nasze wewnętrzne wytyczne w zakresie obsługi szyfrowanych dysków twardych w systemach Linux, oraz innych aspektów zapewniania klientom poufności. Są to wytyczne podstawowe, natomiast z każdym klientem ustalamy wytyczne szczegółowe, głównie w zakresie konkretnych procedur obsługi kluczy szyfrujących.

Komunikacja z klientem

W Polsce każda osoba może być wezwana do złożenia zeznań w roli świadka (również w drodze tzw. pomocy prawnej dla służb innego kraju). Świadek w myśl polskiego prawa nie może odmówić zeznań, nawet gdyby miały obciążyć jego klienta, dlatego też współpracując z klientami stosujemy zasadę „nie pytaj, nie mów”, w myśl której klient nie powinien przekazywać nam żadnych informacji odnośnie charakteru poufnych danych (my zajmujemy się wyłącznie obsługą infrastruktury IT i wiedza nt. charakteru danych oraz usług w warstwie aplikacyjnej nie jest nam potrzebna).

Procedury techniczne

Rozważasz konkurencyjne oferty? Zapytaj wszystkich potencjalnych dostawców o standardy postępowania z poufnymi danymi, a będziesz miał jasność, komu najbezpieczniej zaufać.

Szyfrowanie i obsługa zaszyfrowanych dysków twardych

1. Szyfrowanie dysku rozruchowego:
  • szyfrowanie powinno być realizowane za pomocą technologii LUKS i narzędzi zawartych w systemie operacyjnym, nie wolno używać niestandardowego oprogramowania (jest to dopuszczalne tylko dla Windows)
  • szyfrowanie powinno być skonfigurowane na etapie instalacji systemu operacyjnego
  • hasło do odszyfrowania dysku powinno mieć przynajmniej 250 bitów entropii (małe i duże litery, cyfry, 60 znaków lub więcej) i nie powinno być nigdzie zapisywane w formie jawnej – tylko i wyłącznie w programie do zarządzania hasłami, np. KeePass
2. Uruchamianie systemów z zaszyfrowanym dyskiem rozruchowym:
  • w miarę możliwości dysk powinien być odszyfrowywany ręcznie za pomocą fizycznego monitora i klawiatury lub konsoli KVM (dla serwerów fizycznych), bądź konsoli hiperwizora (dla serwerów wirtualnych)
  • w pozostałych przypadkach system operacyjny powinien mieć zainstalowany serwer Dropbear pozwalający na zdalne odszyfrowanie dysku i start systemu; Dropbear powinien mieć inny klucz ssh hosta od docelowego systemu
3. Szyfrowanie dysków z danymi:
  • szyfrowanie powinno być realizowane za pomocą technologii LUKS bądź loop-aes i narzędzi zawartych w systemie operacyjnym, nie wolno używać niestandardowego oprogramowania (spoza repozytoriów dla danej dystrybucji)
  • sposób generowania kluczy i haseł określa odrębna procedura, ustalana osobno dla każdego klienta
  • klucze i hasła powinny być przechowywane tylko i wyłącznie na maszynach, które mają mieć dostęp do konkretnych dysków, oraz w kontenerze KeePass
4. Dostęp do odszyfrowanych dysków z danymi:
  • należy unikać podłączania i odszyfrowywania dysków z danymi na maszynach będących hostami OpenVZ (z wyjątkiem dysków zawierających kontenery OpenVZ przeznaczone do uruchamiania na danej maszynie)
  • nie wolno podłączać i odszyfrowywać dysków z danymi na maszynach będących hostami LXC (z wyjątkiem dysków zawierających kontenery LXC przeznaczone do uruchamiania na danej maszynie)
  • nie wolno podłączać i odszyfrowywać dysków z danymi na maszynach bez szyfrowania dysku rozruchowego
  • nie wolno eksportować zawartości odszyfrowanych dysków z danymi przez NFS

Zasilanie serwerów z szyfrowanymi dyskami twardymi

1. Wymagania dla maszyn z zaszyfrowanym dyskiem rozruchowym, lub ze stałym dostępem do zaszyfrowanych dysków z danymi:
  • zasilanie takich maszyn musi być rozłączalne za pomocą pojedynczego wyłącznika sprzętowego („killswitcha”), również w przypadku maszyn z redundantnymi zasilaczami
  • forma i lokalizacja wyłącznika powinna być tak dobrana, aby umożliwić dyskretne (kilkoma prostymi ruchami ciała, bez zachowań mogących budzić podejrzenia) rozłączenie zasilania i wyłączenie wszystkich maszyn w strefie zagrożenia w przypadkach określonych odrębną procedurą

Zaufanie do serwerów poza fizyczną kontrolą klienta

1. Wymagania dla maszyn z zaszyfrowanym dyskiem rozruchowym, lub ze stałym dostępem do zaszyfrowanych dysków z danymi:
  • każdy taki serwer powinien pełnić (na własne potrzeby) role MTA i centralnego sysloga, jak również być samowystarczalny pod każdym innym względem
  • na serwerze powinny być monitorowane wszystkie zdarzenia fizyczne, których monitoring jest wykonalny w danej wersji systemu operacyjnego (za pomocą demonów udevd, acpid i innych)
  • nieuzgodnione z obsługą Data Center wyłączenie lub reset serwera, w szczególności poprzedzone występowaniem innych zdarzeń (np. wpięciem urządzenia do portu USB), należy traktować jako kompromitację serwera
  • architektura świadczonych usług i backupu danych na takich serwerach powinna być przygotowana na możliwość kompromitacji serwera (a nawet wszystkich serwerów w danej lokalizacji) w dowolnym momencie (mechanizm tzw. failover)
2. Obsługa skompromitowanych maszyn:
  • kompromitacja serwera najczęściej jest równoznaczna z przejęciem lub próbą przejęcia serwera przez służby prawne, krajowe lub zagraniczne (np. Policja, FBI)
  • nie wolno zdalnie odszyfrowywać dysku rozruchowego ani dysków z danymi na skompromitowanej maszynie
  • dopuszczalne jest jedynie pozyskanie (w dowolny sposób) kopii dysków twardych ze skompromitowanej maszyny i uruchomienie takiej maszyny lokalnie, w środowisku całkowicie odseparowanym od sieci, celem odzyskania danych; uruchomiona w ten sposób maszyna nie powinna być już nigdy podłączana do sieci

Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.