人们常认为，由于服务器在数据中心锁起来，又由于数据在持续使用，因此不需要加密服务器驱动器，因为数据永远不处于静止状态。

考虑IT安全时，可能会疏忽的一个方面是企业服务器的物理安全。人们常认为，由于服务器在数据中心锁起来，又由于数据在持续使用，因此不需要加密服务器驱动器，因为数据永远不处于静止状态。

不过，这种想法带来了一大潜在问题。最终，所有驱动器都需要维修或处置，势必离开数据中心。对它们进行加密是保护其数据免受无意或有意泄露的***方法。除此之外，鉴于似乎没完没了的泄密事件见诸报章，加上需要遵守GDPR、HIPAA和所有50个州的法规，明智的建议是随时随地加密所有内容。

如果你有Linux服务器，可能以为自己受到了保护，因为Linux内置加密技术已有数年。但事实上可能并非如此。原因何在?

以下是Linux内置的磁盘加密功能：

dm-crypt

dm-crypt是Linux内核中一种透明的磁盘加密子系统。它是一种基于块设备的抽象机制，可以嵌入到其他块设备(如磁盘)上。因此，它是用于全盘加密(FDE)的理想技术。实际的加密技术并不内置于dm-crypt中，而是它充分利用来自内核的Crypto API的加密例程(比如AES)。

LUKS

LUKS(Linux统一密钥方案)是一种磁盘加密规范，详细表明了用于各种工具(比如标准加密头)的与平台无关的标准磁盘格式，为实施密码管理机制提供了基础。LUKS在Linux上运行，是基于cryptsetup的增强版，它使用dm-crypt作为磁盘加密后端。

dm-crypt和LUKS共同为一款简单的“独立”密码验证FDE应用软件构筑了基础。然而这不是企业级解决方案。

问题是，Linux原生FDE在数据保护方面留下了空隙，包括：

没有集中式密码、密钥管理和加密服务器的备份。

困难的根卷加密为错误留有余地。

没有简单的方法来加密擦除中招的驱动器。

对加密设备缺乏统一的合规视图，以证明所有服务器的加密状态。

缺少Linux服务器内置的管理和合规功能，导致企业难以做好加密和数据保护工作。

那么，使用Linux服务器的企业如何才能***地解决这个问题?它们应该寻求含有以下功能特性的解决方案：

加密与密钥管理相分离

想获得***效果，加密产品应分为两个组件：加密和密钥管理，因为提供这两个组件的专长大不一样。为了获得额外的保护，请考虑建立在dm-crypt上的解决方案而不是更换dm-crypt，以便更好地管理加密。

强大的验证

由于如今身份和访问控制备受关注，拥有一种可以提供更强大的服务器验证机制，确保数据免受危害的加密解决方案，这很重要。基于网络的预启动验证可以提供此功能，在操作系统引导之前加强安全。

确保根和数据卷加密以及加密擦除中招驱动器的简单方法

根卷加密、数据卷加密和加密交换分区都是安全和合规所需要的。寻找能够以简单方式做到这点的解决方案。此外，解决方案应该有一种简单的机制，可在驱动器中招或另作他用时加密擦除所有数据。出于合规原因，还必须记录此操作。

加密设备、密钥以及恢复信息的集中式合规视图和管理

有了这种类型的可见性，你可以查看贵企业中的Linux服务器是否已加密、并符合加密政策。服务器会将其加密状态(针对所有磁盘)传达给中央控制台。因此，如果某台服务器丢失，IT部门将为审计员提供其加密状态的证明。此外，从中央控制台对加密的Linux服务器执行总体的密码恢复、操作和管理至关重要。控制台还应该能提供集中备份加密密钥和恢复信息的功能。

为服务器(包括Linux服务器)提供无缝集成的加密解决方案至关重要。有了上面列出的几类功能，万一发生数据泄露，企业完全有能力保护拥有的机密信息，并满足越来越多的合规法规的要求。