Шифрование конфиденциальных данных
Мы рекомендуем шифровать конфиденциальные данные на машине с установленным Hive: - вы можете шифровать все данные на диске или отдельные директории средствами операционной системы; - вы можете шифровать пароли и ключи доступа к сторонним системам при помощи средств самого Hive; - или вы можете настроить интеграцию с Vault что бы не хранить их на этой машине.
Шифрование средствами ОС
Вы можете шифровать весь диск или один из перечисленных каталогов:
/opt/hw-bw/data/opt/hw-bw/config
Для шифрования вы также можете использовать:
- Программное обеспечение ОС (EncFS, CryFS, dm-crypt, etc.);
- Коммерческие приложения;
- Решения для облачных провайдеров (AWS, Azure, etc.).
Шифрование средствами приложения
При помощи этой опции можно зашифровать все пароли пользователей для внешних систем (LDAP, Apiary), которые хранятся на машине с установленным Hive или во внешней БД. При этом ключ шифрования будет храниться на машине, на которой установлен Hive.
Вы так же можете настроить интеграцию с Vault для более надёжного хранения этих данных.
⚠️ Примечание: рекомендуем активировать шифрование паролей перед тем как настраивать интеграцию с внешними системами. Если соединения уже настроены, то обратите внимание на примечание в конце этого параграфа.
Чтобы настроить шифрование паролей, необходимо
изменить конфигурацию.
Добавьте свойство sensdata.encrypt.mode и установите ему значение AES256
(в настоящее время это единственный поддерживаемый алгоритм шифрования):
Выполните reconfig что бы изменения вступили в силу.
⚠️ Если до настройки шифрования чувствительных данных уже была настроена интеграция с внешними системами то после рестарта необходимо обновить их настройки, чтобы зашифровать существующие пароли.