EIVUS

Cifrado en reposo para datos del servidor

Cifre discos y volúmenes; gestión de claves y opciones del proveedor.

Volver al blog

El cifrado en reposo protege datos si se pierde o roba el medio. Use LUKS en Linux o cifrado gestionado por el proveedor. Gestione claves de forma segura; algunos proveedores guardan claves, otros permiten traer la suya (BYOK). Compruebe requisitos de cumplimiento.

Por qué cifrar en reposo

  • Amenaza: Si un disco, volumen o backup se pierde, roba o se da de baja sin borrado seguro, alguien podría leer los datos. El cifrado en reposo asegura que sin la clave los datos son ilegibles.
  • Cumplimiento: Muchos estándares exigen o recomiendan cifrado de datos sensibles en reposo. Compruebe requisitos del sector y del contrato.
  • Alcance: Cifre bases de datos, volúmenes, backups y snapshots. La gestión de claves y el control de acceso son tan importantes como el algoritmo.

Linux: LUKS

  • LUKS: Cifrado de disco completo o de partición. Use cryptsetup para crear y abrir volúmenes. La clave puede ser passphrase, archivo o (con integración) TPM o HSM.
  • Setup: Cree volumen cifrado; formatee con filesystem; monte con clave. Documente cómo desbloquear. Pruebe el procedimiento de recuperación.
  • Rendimiento: Los CPUs modernos tienen AES-NI; la sobrecarga suele ser baja.

Cifrado gestionado por el proveedor

  • Por defecto: Muchos proveedores cifran volúmenes y backups por defecto. Las claves las guarda el proveedor. A menudo suficiente para cumplimiento general.
  • BYOK: Usted aporta la clave (ej. de su KMS o HSM); el proveedor la usa para cifrar sus datos. Usted controla rotación y revocación. Requerido en algunos cumplimientos estrictos. Más carga operativa; no pierda la clave.
  • Pregunte: ¿Dónde se guardan las claves? ¿Quién puede acceder? ¿Qué pasa si se pierde la clave? ¿BYOK está disponible?

Gestión de claves

  • Rotación: Planee rotación de claves (ej. anual o tras cambio de equipo). Con LUKS puede re-cifrar o añadir nuevo key slot. Con cifrado del proveedor compruebe opciones de rotación y BYOK.
  • Acceso: Limite quién puede usar o ver claves. Audite acceso. Revoque cuando alguien se vaya.
  • Backup: Si usted guarda claves (BYOK o passphrase LUKS) haga backup seguro. Perder la única copia significa perder los datos.

Resumen

El cifrado en reposo protege datos si se pierde o roba el medio. Use LUKS en Linux o cifrado gestionado por el proveedor. Gestione claves de forma segura; compruebe si el proveedor guarda claves o BYOK está disponible. Compruebe requisitos de cumplimiento.

Clientes que confían en nosotros