http://proxmox.su Новое в теме Ceph OSD шифрование форума Proxmox Виртуальная Среда на сайте Аспро: ЛайтШоп [proxmox.su] ru http://backend.userland.com/rss2 Fri, 08 May 2026 21:17:02 +0300 Ceph OSD шифрование Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
https://www.trustedsys.com/images/stories/pdfs/TrustedSystems-CompanyBrochure.pdf https://hamiltonproductsgroup.com/products/ips/ Вы просто держите свой "SAN/NAS/DAS головной блок" в IPS (защита от несанкционированного доступа в течение 10 минут), и если срабатывает сигнализация, она отправляет оповещение, а затем отключает питание/организует SCRAM для x устройств, возможно, включает "обогреватель", чтобы помочь памяти быстрее расп dissipate. Приобретите оборудование с BIOS, который поддерживает "проверку памяти при загрузке", я бы подумал, что вы даже могли бы встроить что-то в ядро как часть процесса завершения работы, чтобы обнулить физическую память, если вы совершенно параноик.
16.07.2021 04:43:00, ideamaster.]]> http://proxmox.su/forum/messages/forum63/message336646/79283-ceph-osd-shifrovanie http://proxmox.su/forum/messages/forum63/message336646/79283-ceph-osd-shifrovanie Fri, 16 Jul 2021 04:43:00 +0300 Proxmox Виртуальная Среда Ceph OSD шифрование Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Извините, я некромант... Но у меня есть несколько дополнительных вопросов именно по этой теме. При обеспечении безопасности системы сначала оцениваются модели угроз. Для школы, где я это настраиваю, физический доступ, пока система работает, не является проблемой. Проблемой является кража физических серверов не техническими людьми (взлом, кража всего, ссуда). Таким образом, риск возникает только от холодной загрузки со стороны третьей стороны. Я бы классифицировал наш риск как "от холодной загрузки". Как можно смягчить эту атаку, предотвращая извлечение ключа шифрования из базы данных OSD Monitors? Например, если они просто подключат всё и загрузят систему. Хватит ли зашифровать только загрузочные диски ОС? А что, если переместить разделы Ceph OSD WAL/DB на выделенные корпоративные SSD? Это то, для чего используется RocksDB? Похоже, что это легкое восстановление из блока .db SSD в формат RocksDB и чтение в открытом виде? --- С другой стороны... Моя компания требует запрос на проверку безопасности для наших команд по информационной безопасности. Им абсолютно необходимо владеть этими ключами шифрования, скорее всего, производными от корневого ключа (если LUKS такое поддерживает, то AWS KMS да). В случае, если они не владеют корневым сертификатом или корневым ключом, требуется документальное подтверждение того, где точно хранятся ключи, что потребует, как вы уже догадались, хранить их на зашифрованном (данные в покое) объёме. Кроме того, они потребуют ротировать ключи по циклу 30 дней/1 год. Это то, что многие организации называют инфраструктурой безопасной уровня Бронза, что является минимальными требованиями. Аудиты безопасности также требуют точно такой же информации. Правительство США требует уровень Золото для наших партнерств. Суть, которую я пытаюсь донести, в том, что нам нужно гораздо больше четко прописать, где и в каком формате это хранится, как извлекать и/или заменять ключи и т.д. Я попытался покопаться в коде, но не смог быстро найти ссылку. Поскольку это LUKS, ротация будет простой задачей — сгенерировать новый ключ и удалить старый. Однако потребуется схема RocksDB и то, как она хранится. В конечном итоге всё сводится к следующему: RocksDB, хранящаяся на незашифрованном разделе, будет бессмысленной, если в ней содержатся частные ключи LUKS для разблокировки объемов/пулов Ceph. RocksDB также нужно хранить в зашифрованном формате с данными в покое.
05.05.2021 23:41:00, eduncan911.]]> http://proxmox.su/forum/messages/forum63/message336645/79283-ceph-osd-shifrovanie http://proxmox.su/forum/messages/forum63/message336645/79283-ceph-osd-shifrovanie Wed, 05 May 2021 23:41:00 +0300 Proxmox Виртуальная Среда Ceph OSD шифрование Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Хорошо знать, мы теперь гораздо спокойнее. Спасибо за быстрый ответ!
04.11.2019 12:49:00, RedBlood9.]]> http://proxmox.su/forum/messages/forum63/message336644/79283-ceph-osd-shifrovanie http://proxmox.su/forum/messages/forum63/message336644/79283-ceph-osd-shifrovanie Mon, 04 Nov 2019 12:49:00 +0300 Proxmox Виртуальная Среда Ceph OSD шифрование Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Ключ хранится в MON DB, и кластеру нужно как минимум 3 MON.
04.11.2019 12:44:00, Alwin.]]> http://proxmox.su/forum/messages/forum63/message336643/79283-ceph-osd-shifrovanie http://proxmox.su/forum/messages/forum63/message336643/79283-ceph-osd-shifrovanie Mon, 04 Nov 2019 12:44:00 +0300 Proxmox Виртуальная Среда Ceph OSD шифрование Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Привет всем, я понимаю, что эта тема уже давно не обновлялась, но мой вопрос, думаю, имеет отношение к ней. Мы устанавливаем новый кластер Ceph на наши серверы Proxmox 6, и нам хотелось бы узнать, где сохраняется ключ в Ceph, нужно ли делать какой-то вид резервного копирования или обращать особое внимание, чтобы избежать потери данных или других проблем при работе с зашифрованным кластером. Мы хотели бы избежать подобных проблем, когда серверы будут в производственной эксплуатации. Спасибо.
04.11.2019 12:20:00, RedBlood9.]]> http://proxmox.su/forum/messages/forum63/message336642/79283-ceph-osd-shifrovanie http://proxmox.su/forum/messages/forum63/message336642/79283-ceph-osd-shifrovanie Mon, 04 Nov 2019 12:20:00 +0300 Proxmox Виртуальная Среда Ceph OSD шифрование Proxmox Виртуальная Среда в форуме Proxmox Виртуальная Среда.
Я еще не связывался с этим, но предполагаю, что admin.key разблокирует зашифрованный OSD. В таком случае, этот ключ находится на каждом узле? Или на узлах мониторинга? В любом случае, суть в том, как бы вы обеспечили безопасность своей системы от несанкционного доступа в случае физической атаки, что, как я помню, является основной причиной шифрования дисков. Спасибо!
28.08.2019 18:04:00, paradox55.]]> http://proxmox.su/forum/messages/forum63/message336641/79283-ceph-osd-shifrovanie http://proxmox.su/forum/messages/forum63/message336641/79283-ceph-osd-shifrovanie Wed, 28 Aug 2019 18:04:00 +0300 Proxmox Виртуальная Среда