監査の要件により、すべてのElasticsearchデータファイルが別の場所にコピーまたは読み込まれないように保護する必要があります(たとえば、ハッカーがsshを介して私のサーバーに入り、rsyncを介してファイルをダウンロードする状況など)。ファイルシステム暗号化(例:ecryptfs)を選択する必要があります。ディスク暗号化LUKS + dm_cryptを選択すると、これらのファイルをコピーから保護するのに役立ちません(ディスクベースの暗号化は、ディスクがオフラインの場合にのみファイルを保護するためです)。
もしそうなら、ファイルを別の場所にコピーして読み取らないようにするには、どのソリューションを選択する必要がありますか?
ベストアンサー1
あなたが説明するシナリオ(Sshアクセス権とデータファイルを読み取ってコピーするのに十分な権限を取得するハッカー)で役立つ唯一のものはElasticsearchです。
- 保存しているデータ(つまり、ファイルシステムに書き込むとき)を暗号化します。
- 暗号化されたデータの鍵は、同じシステム上の構成ファイルにあってはなりません。。
最初は比較的実装するのは簡単です。 2番目の方法は思ったよりはるかに難しいです。
この場合、ファイルシステム暗号化はディスク暗号化よりも優れた保護を提供しません。