감사 요구 사항으로 인해 모든 Elasticsearch 데이터 파일이 다른 위치로 복사되거나 읽혀지지 않도록 보호해야 합니다(예: 해커가 ssh를 통해 내 서버에 들어가서 rsync를 통해 파일을 다운로드하는 상황). 파일 시스템 암호화(예: ecryptfs)를 선택해야 합니다. 디스크 암호화 LUKS+dm_crypt를 선택하면 이러한 파일을 복사로부터 보호하는 데 도움이 되지 않기 때문입니다(디스크 기반 암호화는 디스크가 오프라인일 때만 파일을 보호하기 때문입니다).
그렇다면 파일을 다른 위치로 복사한 후 읽지 못하도록 보호하려면 어떤 솔루션을 선택해야 합니까?
답변1
귀하가 설명하는 시나리오(Ssh 액세스 권한과 데이터 파일을 읽고 복사할 수 있는 충분한 권한을 얻는 해커)에서 도움이 될 수 있는 유일한 것은 Elasticsearch입니다.
- 저장 중인 데이터(즉, 파일 시스템에 쓸 때)를 암호화합니다.
- 암호화된 데이터의 키는 동일한 시스템의 구성 파일에 있어서는 안 됩니다..
첫 번째는비교적구현하기는 간단합니다. 두 번째 방법은 생각보다 훨씬 어렵습니다.
이 경우 파일 시스템 암호화는 디스크 암호화보다 더 나은 보호 기능을 제공하지 않습니다.