¿ Cómo le protegemos ? Porque conexión tiene, claro, pero estando en una nave apartada, en un altillo habilitado primero como oficina y luego como archivo, no sería tampoco raro que alguien pudiese llevárselo.
Y si acceso local significa acceso total en el caso de un disco de copias es incluso peor. Allí estarían datos, programas, configuraciones, contraseñas y certificados, … Todo lo valioso empaquetado y listo para explorar.
Así que he estado pensando en cómo podría añadirle una protección mínima. Es cierto que las propias copias podrían estar cifradas según llegan, claro, pero creo que me quedaría más tranquilo si el cifrado fuese a nivel de dispositivo. Así podría emplearlo con cualquier herramienta de archivos del sistema mientras el disco esté montado y accesible. Es decir, antes de hacer las copias montar el volumen -desbloqueando con la clave- hacer las copias y desmontarlo. Nada de unidades en línea para siempre. Implica una comunicación con el software de copias: éste tiene que pedir el montaje, comprobar que se ha llevado a cabo con éxito, y avisar de cuándo se termina para desmontarlo.
Lo mismo lo estoy enfocando al revés y tiene que ser él que el active la copia. Tengo que ver opciones prácticas y jugar con la información que el sistema puede darme sobre los dispositivos existentes. Eso va a molar.
Ahora bien, ¿ cómo separo la clave de cifrado del acceso a disco ? Una opción podría ser una unidad de memoria USB que tuviese que estar presente para proporcionar la clave antes de montar el disco.
Otra posibilidad es que el mecanismo de montaje tuviese que acceder a la red interna y descargarse un archivo con la clave. En una localización muy concreta que tampoco fuese accesible desde fuera.
Me gustan ambas opciones. La primera, la del dispositivo, me permitiría simplificar el montaje porque no sería necesario habilitar un lugar de descarga en la red. La segunda, por contra, me libra de depender de una memoria USB que puede romperse o perderse y para la que tengo que aplicar el mismo mecanismo de acceso que con el disco. Tampoco quiero que la unidad esté accesible de continuo.
Decisiones, decisiones, …
[…] a esto último ya he comentado algunas ideas en esta entrada. Construiré un paquete para poder instalar el mecanismo en varios […]
[…] me falta completar el automatizado del montaje, porque uno de los requerimientos es que no esté en línea continuamente, y ver cómo lo integro en la planificación de copias de […]