Blog

Datacenter Security

Encryptie: vertrouwen is goed, paranoia beter?

19 okt 2017

Lang geleden, toen de Wet bescherming persoonsgegevens nog een papieren tijger was, waren voorkoming van reputatieschade en maatschappelijke verantwoordelijkheid ook al sterke argumenten voor bedrijven en non-profit organisaties, zoals ziekenhuizen en politie, om zorgvuldig om te gaan met privacygevoelige data. Encryptie van data-at-rest stond nog in de kinderschoenen. Er was dan ook alle reden om het zekere voor het onzekere te nemen en defecte disks met zulke data niet te retourneren aan de leverancier voor vervanging, maar in eigen beheer te vernietigen of prepareren voor hergebruik. Inmiddels is encryptie van data-at-rest vrij van alle kinderziektes en een volwassen alternatief voor risicobeheer in de vorm van een Non Returnable Disk contract. Of toch niet?

Frank Teegelbeckers door Frank Teegelbeckers

Securityspecialisten verschillen hierover van mening. Sommigen noemen NRD zonder meer nog steeds ‘goed’ beleid. Maar wat is er ‘goed’ aan zo’n dure oplossing nu ook storage-encryptie datalekken kan voorkomen? Anderen zien NRD en encryptie als complementaire vormen van risicobeheer. En weer anderen zien encryptie als volwaardig alternatief, waarmee budget vrij gemaakt wordt voor actuele en toekomstige investeringsbehoeften. In deze blog zet ik de voors en tegens van NDR en storage-encryptie op een rijtje.

|
Welles nietes

Sommigen stellen dat storage-encryptie geen volwaardig alternatief is voor NRD, omdat het minder secure zou zijn. Encryptie-algoritmes zijn inderdaad niet allemaal even sterk. Verder passen sommige organisaties encryptie in de praktijk minder consequent toe dan andere. En niet ieder encryptie key management systeem is even robuust. Daar komt bij dat, hoewel de impact doorgaans praktisch compleet verwaarloosbaar is, encryptie toch invloed heeft op systeemprestaties. Al deze zaken kunnen aangevoerd worden als redenen voor NRD in plaats van encryptie.

Vertrouwen in NRD is goed, maar hoe datalekken te voorkomen als disks zonder encryptie intern en nog op locatie, abusievelijk of intentioneel, in verkeerde handen vallen? Dan is het te laat, tenzij het onmogelijk is om de disk zelf of data erop naar buiten te smokkelen. Met name dat laatste is een argument voor storage-encryptie als complementaire oplossing.

Gaat een versleutelde disk bijvoorbeeld stuk, omdat teveel sectoren beschadigd zijn door slijtage, dan is het in theorie nog steeds mogelijk om data op andere sectoren te lezen, mits men beschikt over de encryptie key of over een methode om de encryptie zonder key te kraken. Dit enigszins paranoïde scenario wordt vaak aangevoerd als reden om niet blindelings te vertrouwen op encryptie alleen en als argument juist voor NRD als complementaire oplossing. Uit talloze tests en publicaties blijkt echter dat standaard AES-256 encryptie in werkelijkheid hoe dan ook niet te kraken is zonder key.

Om ook het andere scenario tegen te gaan, namelijk ongeautoriseerd gebruik van encryptie keys, kan men beschadigde disks op drie manieren gescheiden houden van hun keys. Men kan kiezen voor onboard key management, voor externe servers (FIPS 140-2) of voor echte fysieke scheiding. In het laatste geval worden defecte disks niet intern op locatie bewaard om ze te vernietigen of prepareren voor hergebruik, maar elders. In dat geval kunnen ze ook gewoon versleuteld geretourneerd worden aan de leverancier voor vervanging. Dat is dan een argument tegen NRD als complementaire vorm van risicobeheer en voor encryptie als complete en budgetvriendelijke oplossing voor storagesecurity.

Whitepaper AVG WAN verbindingen

Moderne alternatieven voor degaussing en disk shredding

Hoe datalekken te voorkomen als data op gezonde disks met encryptie in verkeerde handen dreigt te vallen? Er zijn drie methodes: sanitatie, cryptografische vernietiging en voor urgente noodgevallen speciale toepassingen van sanitatie, vernietiging of meer. Sanitatie kan gemakkelijk worden gestart met een eenvoudig, maar beveiligd, commando dat de encryptie key in een willekeurige andere verandert en ook de authenticatie key effectief onbruikbaar maakt. Het resultaat is dat er geen informatie kan lekken uit de versleutelde data en dat disk-sectoren zonder data bruikbaar blijven voor storage.

Hoeft de disk niet hergebruikt te worden, dan kan hij met een commando cryptografisch vernietigd worden. Net als sanitatie verandert dit encryptie en authenticatie keys onomkeerbaar, maar verder wordt ook IO naar de disk permanent en volledig geblokkeerd.

Zonder in technisch detail te treden, er zijn toepassingen van sanitatie en cryptografische vernietiging die het risico op datalekken elimineren door het storagesysteem tijdelijk volledig onbruikbaar te maken. Zelfs bij stroomuitval op het storagesysteem, kan een geautoriseerde beheerder inloggen op het externe key management systeem, om disk encryptie keys te vernietigen en zo datalekken te voorkomen. Kortom, gelet op de bewezen robuustheid, veelzijdigheid en kostenbesparing van storage-encryptie enerzijds, en op de manco’s van NRD anderzijds, is de conclusie dat storage-encryptie inderdaad een volwassen alternatief is voor NRD.

Geïnteresseerd?

Frank Teegelbeckers
Neem contact op met onze specialist Frank Teegelbeckers

Frank Teegelbeckers is tien jaar Datacenter Engineer bij Telindus Technical Operations. Daarvoor was hij drie jaar werkzaam als Storage Engineer bij NetApp en vijf jaar als Server en Netwerk Engineer bij HP. Frank kenmerkt zich door zijn pragmatische benadering van acute verstoringen en door zijn systematische aanpak van terugkerende technisch-operationele problemen. Hij heeft zich de laatste jaren gespecialiseerd in performance optimalisatie, virtualisatie en software defined storage. Frank is geboren en getogen in een Limburgs dorpje, getrouwd met een Moskovita, vader van een puberende dochter, en houdt verder van reizen, tuinieren en barbecueën met vrienden en familie.

geen reacties
Plaats een reactie