Daten durch Verschlüsselung schützen

Einleitung

Mit der Funktion Verschlüsselung inaktiver Daten der Systemsteuerung können Sie die Sicherheit vertraulicher Daten auf Ihrem Portal gewährleisten.

Verschlüsselung ist eine reversible Umwandlung von Informationen, um die Vertraulichkeit der auf der Festplatte gespeicherten Daten zu wahren. Selbst wenn es Angreifern gelänge, auf die auf der Festplatte gespeicherten Daten zuzugreifen, könnten sie diese aufgrund der Verschlüsselung nicht lesen.

Die Verschlüsselung basiert auf einer Encrypt-then-MAC-Verschlüsselung (AES-256-CBC + HMAC-SHA256) des gesamten Datenbestands innerhalb der ONLYOFFICE-Instanz und entspricht dem internationalen Datenverschlüsselungsstandard AES-256. Der Verschlüsselungstyp AES-256 mit dem symmetrischen Algorithmus CipherMode.CBC wird zum Verschlüsseln der Daten auf dem Portal verwendet, während die SHA256-Hashing-Funktion gepaart mit der HMAC-Nachrichtenauthentifizierungscode-Überprüfung die Integrität und Authentizität der verschlüsselten Daten überprüft.

Diese Funktion ist nur für Serverversionen verfügbar.

Vorbereitung für den Verschlüsselungsprozess

Bevor Sie mit dem Verschlüsselungsvorgang beginnen, müssen Sie einige vorbereitende Schritte durchführen.

  1. Beenden Sie manuell die Dienste, die Änderungen an den auf der Festplatte gespeicherten Dateien vornehmen.

    Für Docker (innerhalb des CommunityServer-Containers):

    systemctl stop onlyofficeMail*
    systemctl stop onlyofficeThumbnailBuilder.service

    Für Linux:

    sudo service onlyofficeMail* stop
    sudo service onlyofficeThumbnailBuilder stop

    Für Windows:

    Gehen Sie zu Systemsteuerung -> Verwaltung -> Dienste und beenden Sie die folgenden Dienste: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Klicken Sie dazu mit der rechten Maustaste auf den Dienst und wählen Sie Beenden.

  2. Melden Sie sich bei Ihrem Portal an und klicken Sie auf der Startseite auf das Symbol Systemsteuerung. Alternativ können Sie zu den Einstellungen des Portals gehen und im linken Bereich den Link Systemsteuerung auswählen.
  3. Wechseln Sie in den Bereich Backup und sichern Sie Ihre Daten.
  4. Deaktivieren Sie die Funktion Automatische Datensicherung.
  5. Wählen Sie die Option Lokaler Speicher sowohl für Speicher für statische Daten verbinden als auch für Speicher als CDN verbinden.
    Die Funktion Verschlüsselung inaktiver Daten funktioniert nur mit lokalem Speicher.
  6. Stellen Sie sicher, dass auf Ihrer Festplatte genügend Speicherplatz vorhanden ist.

Nachdem die Vorvorbereitungen abgeschlossen sind, können Sie mit dem nächsten Schritt fortfahren.

Speicher verschlüsseln

  1. Wechseln Sie in der Systemsteuerung zum Abschnitt Speicher.
  2. Aktivieren Sie das Kontrollkästchen Benachrichtigen Sie die Anwender, dass das Portal nicht verfügbar sein wird, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Verschlüsselungsprozess beginnt.
    Nach erfolgreichem Abschluss des Verschlüsselungsprozesses erhalten alle aktiven Benutzer außerdem E-Mail-Benachrichtigungen. Wenn während des Verschlüsselungsprozesses ein Fehler auftritt, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) E-Mail-Benachrichtigungen über den fehlgeschlagenen Verschlüsselungsprozess.
  3. Klicken Sie auf die Schaltfläche Speicher verschlüsseln und dann auf OK, um den Verschlüsselungsprozess zu starten.

Die Dauer des Vorgangs hängt vom Datenvolumen ab. Während der Verschlüsselung sind alle Portale nicht erreichbar. Sobald die Verschlüsselung abgeschlossen ist, stehen die Portaldaten wieder zur Verfügung.

Encrypt storageEncrypt storage
Wenn die Verschlüsselung aktiviert ist, enthält eine neu erstellte Sicherungskopie des Datenarchivs entschlüsselte Dateien. Wenn eine solche Kopie wiederhergestellt wird, werden die Dateien auf der Festplatte wieder verschlüsselt.

Sie müssen auch die Dienste manuell starten, die Änderungen an den auf der Festplatte gespeicherten Dateien vornehmen.

Für Docker (innerhalb des CommunityServer-Containers):

systemctl start onlyofficeMailAggregator.service
systemctl start onlyofficeMailCleaner.service
systemctl start onlyofficeMailImap.service
systemctl start onlyofficeMailWatchdog.service
systemctl start onlyofficeThumbnailBuilder.service

Für Linux:

sudo service onlyofficeMailAggregator start
sudo service onlyofficeMailCleaner start
sudo service onlyofficeMailImap start
sudo service onlyofficeMailWatchdog start
sudo service onlyofficeThumbnailBuilder start

Für Windows:

Gehen Sie zu Systemsteuerung -> Verwaltung -> Dienste und starten Sie die folgenden Dienste: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Klicken Sie dazu mit der rechten Maustaste auf den Dienst und wählen Sie Start.

Speicher entschlüsseln

Um Daten auf dem Portal zu entschlüsseln,

  1. Stoppen Sie die Dienste, die Änderungen an den auf der Festplatte gespeicherten Dateien vornehmen, manuell, wie oben beschrieben.
  2. Wechseln Sie in der Systemsteuerung zum Abschnitt Speicher.
  3. Aktivieren Sie das Kontrollkästchen Benachrichtigen Sie die Anwender, dass das Portal nicht verfügbar sein wird, um alle aktiven Benutzer per E-Mail zu benachrichtigen, wenn der Entschlüsselungsprozess beginnt.
    Nach erfolgreichem Abschluss des Entschlüsselungsvorgangs erhalten alle aktiven Benutzer außerdem eine E-Mail-Benachrichtigung. Tritt während des Entschlüsselungsvorgangs ein Fehler auf, erhalten alle Administratoren (unabhängig von der Option Benutzer benachrichtigen) eine E-Mail-Benachrichtigung über den fehlgeschlagenen Entschlüsselungsvorgang.
  4. Klicken Sie auf die Schaltfläche Speicher entschlüsseln und dann auf OK, um den Entschlüsselungsprozess zu starten.
    Decrypt storageDecrypt storage

Die Dauer des Vorgangs hängt vom Datenvolumen ab. Während der Verschlüsselung sind alle Portale nicht erreichbar. Sobald die Verschlüsselung abgeschlossen ist, stehen die Portaldaten wieder zur Verfügung.

Sie müssen außerdem die Dienste, die Änderungen an den auf der Festplatte gespeicherten Dateien vornehmen, wie oben beschrieben, manuell starten.

Hosten Sie ONLYOFFICE Workspace auf Ihrem eigenen Server

Artikel zum Thema:
Alle Schlagwörter