Шифрование данных at rest (в покое) — это метод защиты информации, когда она физически хранится на носителях: дисках, SSD, томах виртуальных машин, объектных или блочных хранилищах. Основная цель — исключить возможность несанкционированного доступа к данным, даже если злоумышленник получит прямой доступ к устройствам хранения.
Данные at rest считаются наиболее уязвимыми при краже, утилизации оборудования, компрометации образов дисков или доступе к бэкапам. Поэтому шифрование в покое — это обязательная мера в корпоративной безопасности и ключевой компонент соответствия нормативным требованиям (GDPR, HIPAA, ISO 27001, PCI DSS и др.).
Что шифруется
- Файловые системы и разделы (например, ext4, XFS, NTFS);
- Блочные тома (LVM, iSCSI, SAN/LUN, облачные диски);
- Базы данных (PostgreSQL, MySQL, MongoDB, Oracle);
- Облачные ресурсы (AWS EBS, Azure Disk, Google Persistent Disk);
- Резервные копии и архивы (например, с Restic, Borg, Veeam, Velero).
Технологии шифрования at rest
| Решение | Применение | Тип шифрования |
|---|---|---|
| LUKS/dm-crypt | Linux-серверы, виртуалки | Файловый/блочный |
| BitLocker | Windows Server, рабочие станции | Полный диск |
| AWS KMS + EBS Encryption | Облачные диски и S3 | Менеджмент ключей |
| Azure Disk Encryption | Виртуальные машины в Azure | Интеграция с Key Vault |
| Google CME/KMS | GCP Persistent Disk и Cloud Storage | User-managed ключи |
📌 Практически все современные облачные платформы позволяют включить автоматическое шифрование при создании ресурса или на уровне Storage Class в Kubernetes.
Пример: шифрование EBS-диска в AWS через Terraform
resource "aws_ebs_volume" "secure_volume" { availability_zone = "us-east-1a" size = 50 encrypted = true kms_key_id = aws_kms_key.my_key.arn }
📌 Здесь EBS-диск создаётся сразу зашифрованным с использованием кастомного KMS-ключа.
Зачем использовать шифрование at rest
- Предотвращение утечки данных при компрометации инфраструктуры или краже оборудования;
- Соответствие стандартам безопасности и сертификации;
- Защита критических бизнес-данных — логов, учётных записей, журналов аудита;
- Безопасное хранение бэкапов и снапшотов — в том числе на внешних или облачных системах;
- Изоляция данных между клиентами в мультиарендных средах (например, SaaS или облачные платформы).
Особенности и best practices
- Использовать отдельные KMS/Key Vault для разных сред (staging, production);
- Хранить ключи отдельно от данных (separation of duties);
- Включать автоматическое ротационное обновление ключей;
- Аудировать операции с ключами и дешифровками через журналирование;
- Комбинировать с шифрованием in transit для полной защиты.
Шифрование данных at rest — это основа безопасной архитектуры, особенно в сценариях с облачной инфраструктурой, контейнеризацией, микросервисами и CI/CD. Оно защищает не только от внешних угроз, но и от внутренних рисков, включая ошибки, саботаж или компрометацию администраторов.
Долгосрочные клиенты — наша гордость
Для тех, кто с нами надолго: 12 месяцев = 13 с промокодом