Server HDD Verschlüsselung ohne Pre-Boot-Authentification

[marcel84]

Guten Morgen ,

ich habe schon seit mehreren Wochen ein Anliegen was ich aber bis jetzt nicht lösen kann, auch das Netz hat auf mein Problem keine Antwort. Vielleicht habt ihr ja eine Idee.

Wir haben eine Datenschutzbegehung durchgeführt, dabei ist aufgefallen dass die HDDs im Server (RAID5) nicht verschlüsselt werden.

Ich habe nun schon einiges ausprobiert und mich darüber auch belesen.

-VeraCrypt -> an sich super, nur benötigt VeraCrypt eine Pre-Boot-Authentification. Das bedeutet bei jedem Neustart des Servers muss am Anfang ein Passwort eingegeben werden. Das kann ich aber nicht leisten da ich alleine bin und nicht immer vor Ort. Sollte ein Neustart aus der Ferne nötig sein habe ich keine möglichkeit mehr Zugang zu bekommen da jedes mal vor dem Booten ein Passwort eingegeben werden muss.

-BitLocker -> irgendwie auf dem Server nicht vorhanden, muss ich wahrscheinlich installieren. Auf einem Client getestet und das selbe mit der PreBoot.


Wie macht ihr das?
Hier geht es mir nicht darum dass die Festplatten komplett unzugänglich gemacht werden sondern, im Falle eines Diebstahls nicht auf die Platten bzw. deren Daten zugegriffen werden kann.

Wie ist das mit dem Raid5? Nehmen wir an eine Platte hat einen defekt, ich baue eine neue ein. Muss ich hier etwas beachten? Könnten Probleme auftauchen?


Ich bedanke mich jetzt schon einmal ganz herzlich bei euch.

Grüße
Marcel

 

[danton]

Bitlocker unter Windows Server ist eine Server-Rolle, die installiert werden muss. Damit der Server automatisch neu startet, ist außerdem ein TPM-Chip auf dem Server notwendig, der die Verschlüsselung öffnet und diverse BIOS/EFI-Einstellungen auf Änderungen überwacht. Dieser muss ggfl. in den BIOS/EFI-Einstellungen erst noch aktiviert werden. Das gilt auch für Clients. Statt TPM gibt es auch eine Möglichkeit, Bitlocker über einen Server in Netzwerk zu entsperren, aber da habe ich noch nicht mit zu tun gehabt.
Falls es sich bei dem RAID5 um ein Hardware-RAID handelt, sollte es bei einem Plattenausfall keine Probleme geben. Der Hardware-RAID-Kontroller stellt dann ja nur die verschlüsselten Daten aus der Redundanz wieder her. Bei der RAID-Funktion von Onboard-Kontrollern würde ich Probleme nicht ausschließen, denn das ist letztendlich ein Software-RAID durch den Treiber - kann funktionieren, kann aber auch Kompatiblitätsprobleme hervorrufen.

 

[Whistler]

Das bedeutet bei jedem Neustart des Servers muss am Anfang ein Passwort eingegeben werden. Das kann ich aber nicht leisten da ich alleine bin und nicht immer vor Ort.
[...]
Hier geht es mir nicht darum dass die Festplatten komplett unzugänglich gemacht werden sondern, im Falle eines Diebstahls nicht auf die Platten bzw. deren Daten zugegriffen werden kann.

Hier widerspricht sich was.
Der Server soll in Deinem RZ automatisch neu starten und entschlüssen, wenn er aber gestohlen und woanders eingeschaltet wird, dann plötzlich nicht.

Wir machen es so, daß wir unsere Serverräume zunächst mal als sicher ansehen, die Systemplatten sind nicht verschlüsselt und die Server starten im Falle eines Falles automatisch. Daten, die als besondern schutzwürdig angesehen werden liegen in verschlüsselten Bereichen, die dann aber manuell durch befugte Personen gemounted werden können - nicht automatisch.

Das heißt dann z.B. daß der Webshop prinzipiell wieder läuft, aber bis zur manuellen Freischaltung keine Kreditkartenzalungen verarbeiten kann.

Je nachdem wie Dein Netzerk beschaffen ist, könnte man den automatischen Start z.B. von der Erreichbarkeit des AD-Controllers (wo dann z.B. die Keys in einem speziellen Container liegen) abhängig machen. Dann nützt einem Dieb der Server ohne DC nichts.

 

[danton]

Ich weiß von einigen Kunden, dass sie in gesicherten Räumen die Verschlüsselung der Massenspeicher bei Servern primär für den Fall eines Defekts einsetzen - damit man keine Daten rekonstruieren kann, wenn mal eine Platte im RAID kaputt geht und sich entsprechend nicht mehr löschen lässt - gerade bei SSDs kann das ein Problem werden (normale Festplatten bekommt man im Degauser geputzt). Da ist dann die automatische Freigabe der Bitlocker-Verschlüsselung über TPM ein gangbarer und ausreichend sicherer Weg.
Verschlüsselung als Schutz bei Diebstahl sollte immer mit einer externen Entschlüsselungsmethode stattfinden, die man nicht mitklauen kann.