EIVUS

Criptografia em repouso para dados do servidor

Criptografe discos e volumes; gestão de chaves e opções do provedor.

Voltar ao blog

Criptografia em repouso protege dados se a mídia for perdida ou roubada. Use LUKS no Linux ou criptografia gerenciada pelo provedor. Gerencie chaves com segurança; alguns provedores guardam chaves, outros permitem trazer a sua (BYOK). Verifique requisitos de compliance.

Por que criptografar em repouso

  • Ameaça: Se um disco, volume ou backup for perdido, roubado ou descomissionado sem wipe seguro, alguém pode ler os dados. Criptografia em repouso garante que sem a chave os dados são ilegíveis.
  • Compliance: Muitos padrões exigem ou recomendam criptografia de dados sensíveis em repouso. Verifique requisitos do setor e do contrato.
  • Escopo: Criptografe bancos de dados, volumes, backups e snapshots. Gestão de chaves e controle de acesso são tão importantes quanto o algoritmo.

Linux: LUKS

  • LUKS: Full-disk ou criptografia de partição. Use cryptsetup para criar e abrir volumes. Chave pode ser passphrase, arquivo ou (com integração) TPM ou HSM.
  • Setup: Crie volume criptografado; formate com filesystem; monte com chave. Documente como desbloquear. Teste procedimento de recuperação.
  • Desempenho: CPUs modernas têm AES-NI; sobrecarga costuma ser baixa.

Criptografia gerenciada pelo provedor

  • Padrão: Muitos provedores criptografam volumes e backups por padrão. Chaves ficam com o provedor. Muitas vezes suficiente para compliance geral.
  • BYOK: Você fornece a chave (ex. do seu KMS ou HSM); o provedor usa para criptografar seus dados. Você controla rotação e revogação. Exigido em alguns compliances rígidos. Mais carga operacional; não perca a chave.
  • Pergunte: Onde as chaves ficam? Quem pode acessá-las? O que acontece na perda da chave? BYOK está disponível?

Gestão de chaves

  • Rotação: Planeje rotação de chaves (ex. anual ou após mudança de equipe). Com LUKS você pode re-criptografar ou adicionar novo key slot. Com criptografia do provedor, verifique opções de rotação e BYOK.
  • Acesso: Limite quem pode usar ou ver chaves. Audite acesso. Revogue quando alguém sair.
  • Backup: Se você guarda chaves (BYOK ou passphrase LUKS), faça backup seguro. Perder a única cópia significa perder os dados.

Resumo

Criptografia em repouso protege dados se a mídia for perdida ou roubada. Use LUKS no Linux ou criptografia gerenciada pelo provedor. Gerencie chaves com segurança; verifique se o provedor guarda chaves ou se BYOK está disponível. Verifique requisitos de compliance.

Clientes que confiam na gente