Proteger dados usando criptografia

Introdução

O recurso Criptografar dados em repouso fornecido pelo Painel de Controle permite garantir a segurança de dados sensíveis no seu portal.

A criptografia é uma conversão reversível de informações para manter a confidencialidade dos dados armazenados em disco. Assim, mesmo que invasores consigam acessar os dados armazenados no disco rígido, eles não poderão lê-los, pois estão criptografados.

A criptografia é baseada em um tipo de criptografia Encrypt-then-MAC (AES-256-CBC + HMAC-SHA256) de todo o corpo de dados dentro da instância do ONLYOFFICE e está em conformidade com o padrão internacional de criptografia de dados AES-256. O tipo de criptografia AES-256 com o algoritmo simétrico CipherMode.CBC é usado para cifrar os dados no portal, enquanto a função de hash SHA256, emparelhada com o código de autenticação de mensagem HMAC, verifica a integridade e autenticidade dos dados criptografados.

Este recurso está disponível apenas para versões de servidor.

Preparar para o processo de criptografia

Antes de iniciar o procedimento de criptografia, é necessário realizar algumas etapas preliminares.

Parar manualmente os serviços que fazem alterações nos arquivos armazenados em disco.
Para Docker (dentro do contêiner CommunityServer):
```
systemctl stop onlyofficeMail* systemctl stop onlyofficeThumbnailBuilder.service
```
Para Linux:
```
sudo service onlyofficeMail* stop sudo service onlyofficeThumbnailBuilder stop
```
Para Windows:

Acesse Painel de Controle -> Ferramentas Administrativas -> Serviços e pare os seguintes serviços: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Para isso, clique com o botão direito no serviço e escolha Parar.
Faça login no seu portal e clique no ícone do Painel de Controle na Página Inicial. Alternativamente, você pode ir para as Configurações do portal e selecionar o link do Painel de Controle no painel lateral esquerdo.
Vá para a seção Backup e faça backup dos dados.
Desative o recurso Backup Automático de Dados.
Selecione a opção Armazenamento local tanto para Conectar armazenamento para dados estáticos quanto para Conectar armazenamento como CDN.
O recurso Criptografar dados em repouso funciona apenas com armazenamento local.
Certifique-se de que há espaço suficiente no seu disco rígido.

Após as preparações preliminares, você pode prosseguir para a próxima etapa.

Criptografar armazenamento

Vá para a seção Armazenamento no Painel de Controle.
Marque a caixa de seleção Notificar usuários que o portal ficará indisponível para notificar todos os usuários ativos por e-mail quando o processo de criptografia começar.
Após a conclusão bem-sucedida do processo de criptografia, todos os usuários ativos também receberão notificações por e-mail. Se ocorrer um erro durante o processo de criptografia, todos os administradores (independentemente da opção Notificar usuários) receberão notificações por e-mail do processo de criptografia malsucedido.
Clique no botão Criptografar armazenamento e depois em OK para iniciar o processo de criptografia.

O tempo necessário para concluir o procedimento depende do volume de dados. Todos os portais ficarão indisponíveis durante o processo de criptografia. Assim que a criptografia for concluída, os dados do portal estarão disponíveis para uso.

Quando a criptografia está ativada, uma nova cópia de backup do arquivo de dados conterá arquivos descriptografados. Quando tal cópia é restaurada, os arquivos serão criptografados novamente no disco.

Você também precisará iniciar manualmente os serviços que fazem alterações nos arquivos armazenados em disco.

Para Docker (dentro do contêiner CommunityServer):

systemctl start onlyofficeMailAggregator.service systemctl start onlyofficeMailCleaner.service systemctl start onlyofficeMailImap.service systemctl start onlyofficeMailWatchdog.service systemctl start onlyofficeThumbnailBuilder.service

Para Linux:

sudo service onlyofficeMailAggregator start sudo service onlyofficeMailCleaner start sudo service onlyofficeMailImap start sudo service onlyofficeMailWatchdog start sudo service onlyofficeThumbnailBuilder start

Para Windows:

Acesse Painel de Controle -> Ferramentas Administrativas -> Serviços e inicie os seguintes serviços: ONLYOFFICE Mail Watchdog, ONLYOFFICE Mail Imap, ONLYOFFICE Mail Cleaner, ONLYOFFICE Mail Aggregator, ONLYOFFICE Thumbnail Builder. Para isso, clique com o botão direito no serviço e escolha Iniciar.

Descriptografar armazenamento

Para descriptografar dados no portal,

Parar manualmente os serviços que fazem alterações nos arquivos armazenados em disco, conforme descrito acima.
Vá para a seção Armazenamento no Painel de Controle.
Marque a caixa de seleção Notificar usuários que o portal ficará indisponível para notificar todos os usuários ativos por e-mail quando o processo de descriptografia começar.
Após a conclusão bem-sucedida do processo de descriptografia, todos os usuários ativos também receberão notificações por e-mail. Se ocorrer um erro durante o processo de descriptografia, todos os administradores (independentemente da opção Notificar usuários) receberão notificações por e-mail do processo de descriptografia malsucedido.
Clique no botão Descriptografar armazenamento e depois em OK para iniciar o processo de descriptografia.

O tempo necessário para concluir o procedimento depende do volume de dados. Todos os portais ficarão indisponíveis durante o processo de criptografia. Assim que a criptografia for concluída, os dados do portal estarão disponíveis para uso.

Você também precisará iniciar manualmente os serviços que fazem alterações nos arquivos armazenados em disco, conforme descrito acima.