Šifrování at rest chrání data proti fyzickému přístupu k disku nebo databázi. Compliance requirement i zdravý rozum.
Vrstvy šifrování¶
- Full Disk Encryption: LUKS, BitLocker, FileVault
- File/Volume: dm-crypt, VeraCrypt
- Database: TDE (Transparent Data Encryption)
- Application-level: Šifrování v kódu před uložením
- Cloud: AWS KMS, Azure Key Vault, GCP KMS
LUKS — Linux¶
Šifrování disku¶
cryptsetup luksFormat /dev/sdb cryptsetup luksOpen /dev/sdb encrypted_disk mkfs.ext4 /dev/mapper/encrypted_disk
Application-level¶
from cryptography.fernet import Fernet key = Fernet.generate_key() # Uložit v KMS! f = Fernet(key) encrypted = f.encrypt(b”citliva data”) decrypted = f.decrypt(encrypted)
Klíčový takeaway¶
Šifrujte data na všech vrstvách — disk, databáze, aplikace. Klíče v KMS, nikdy vedle dat.
securityencryptionaeskms