zajímavé téma - také teď řeším nějaký NAS, ale můj problém je vybrat něco, na co bych mohl bezpečně uložit věci pod NDA. Na PC lokálně používám VeraCrypt, ale jak podobnou funkcionalitu udělat na NASu, to bych si rád nechal poradit od někoho zkušenějšího.
Já bych si možná spíš na začátku ujasnil, jak to má obecně fungovat, a proč ta data jsou na NASu.
Asi bych si to rozdělil na dvě situace, což pak trochu určí směr
- s těmi daty bude dělat víceméně pořád jeden člověk (např. vy), akorát jsou uložená na NASu, např. kvůli vyšší kapacitě, dostupnosti dat (redundance při ukládání) atd.
- data jsou na NASu i proto, aby na ně mohlo přistupovat zároveň víc lidí, klientů z různých stanic
V prvním případě jde pořád možné používat šifrování na klientovi. Tzn. pokud je těch dat málo, můžu mít např. pořád VeraCrypt image, jen bude uložená na NASu, jak je zmíněno výš. Nebo můžu použít "stacked filesystem encryption", kdy mám virtuální filesystém, s kterým pracuji, ale soubory se ukládají na "reálný" filesystém pod tím šifrovaně a s nějakými hashovanými názvy.
To samozřejmě funguje i přes síť a např. CIFS nebo NFS mount.
V druhém případě se sdílením je to šifrování implementováno na NASu ještě před tím, než se přes standardní protokoly sdílí do sítě. To jde také udělat více způsoby. Buď šifrováním celého disku, oddílu pod filesystémem, jak zmiňuje RDa.
Nebo použitím filesystému, co to umí šifrovat sám (např. ZFS). Případně zas tou stacked metodou, která bude běžet na serveru se standardním souborovým systémem a dešifrovaný virtuální disk se bude sdílet dál.
Každá z těch metod má své použití a výhody i nevýhody.
Šifrování dat na serveru je ochrana proti úniku dat po fyzickému odcizení. Tzn. někdo ukradne server z firmy, server housingu, zapne ho, nemá klíč - nedostane se k datům.
Logicky to neřeší neoprávněný přístup k datům, když server běží a šifrované disky nebo virt. filesystémy jsou připojené.
Soubory jsou normálně přístupné, takže se k nim dá dostat např. po průniku z jiných procesů na serveru nebo klientů po síti, když tomu nezabrání nějaký jiný mechanismus (ACL na souborovém systému, sdílených složkách atd.).
Šifrování na klientu pak řeší jak to odcizení severu, tak i přístup z jiných klientů, procesů na serveru. Zas logicky s omezením toho, že se data nedají reálně sdílet.
Nakonec k těm dvěma metodám - šifrování celého disku, oddílu, image (LUKS, VeraCrypt) vs. stacked (gocryptfs) nad jiným FS.
První metoda je důslednější v tom, že se nedá jednoduše zjistit kolik je tam souborů, jakou mají velikost, případně i další metadata, rozdělení oddílů.
Druhá pak nemá omezení v prealokované velikosti jako u image, případně se dá rozjet nad téměř jakýmkoliv existujícím filesystémem a šifrované soubory se dají jednoduše zálohovat dál - tzn. poskytuje typicky větší flexibilitu.
Takže to je v kostce, jak bych nad tím přemýšlel.
Bude záležet, co vlastně potřebujete, případně jaký NAS máte (nebo plánujete).
Ta klientská varianta se dá nasadit s čímkoliv. U serverové varianty pak záleží - pokud je to DIY, můžete ledacos. U vyšších QNAPů je ZFS, kde se dají šifrovat datasety. Na Synology DSM je už léta stacked šifrování sdílených složek (myslím eCryptfs) a u některých modelů je od loňska pak i šifrování celých oddílů přes LUKS.
53 Odpovědí
15334 Zhlédnutí