Accesso a dati sul server (per GDPR)

[WhiteTiger]

Ho bisogno di una conferma ed eventualmente un suggerimento in vista dell'adozione del GDPR.

Server dislocato esternamente. Accesso root con chiave SSH.
Qualcuno può ancora accedere direttamente ai dati, ad esempio al MySQL / MariaDB ?

Ad esempio server presso una azienda ed il loro tecnico nell'intervallo va a sfrugugliare dove non deve.

Se sì, che si fa per ovviare al problema?

[DoctorStrange]

Tutto dipende da com'è impostato il sistema. Se tu sei l'amministratore esclusivo del DB e vuoi impedire a chiunque di accedere, escludendo te stesso, puoi modificare lo script di configurazione di MySQL in maniera tale, ad esempio, di specificare una porta di accesso specifica, nota solo a te.

Se invece quel server rende disponibili molti servizi diversi, a molti utenti, e tu vuoi essere l'unico ad avere privilegi di modifica dei DB, allora puoi, garantire le varie GRANT direttamente dall'interno del DB stesso ad un particolare utente. A questo punto ti basterà custodire le credenziali di accesso di quell'utente (nome utente e password), per essere certo che nessun altro possa accedere a quel DB.

Se invece vuoi proprio fare in modo, che nessuno possa accedere e modificare nemmeno i files di configurazione del DB, dovrai associare i files di configurazione ed i log di quel DB ad un utente di sistema di linux, impostare i permessi di accesso in maniera tale che solo l'utente proprietario possa modificarli, o leggerli e custodire le credenziali di accesso di questo utente di sistema.

Entrambi gli utenti di cui ti ho parlato (quello del DB, e quello del sistema) possono anche essere uguali, ma in caso di violazione di uno perderesti anche l'altro.

[WhiteTiger]

Se è riuscito ad arrivare al disco può risalire ai dati di DB, utente e password consultando direttamente un file di testo.

[rpadovani]

Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc

[Clover]

Se il tuo server è colocato da qualche altra parte, chi ti fa colocazione ti deve garantire di agire secondo GDPR, quindi che l'accesso alla sala server è loggato etc etc etc

Quoto, questa è l'unica cosa di cui si ha bisogno nel caso di risorse outsourcing se si parla di GDPR, per il resto valgono le solite regole di sicurezza dei dati e dei sistemi.

[WhiteTiger]

A me sembra una grande "paraculata", ma capisco che non ci siano alternative.
Stiamo dicendo "io mi faccio carico di tutte le garanzie, ma siccome la macchina è presso terzi, non ti garantisco un bel niente".
Tanto valeva che il GDPR lo si mandava soltanto ai chi gestisce i datacenter visto che ormai le macchine stanno soltanto lì.

Comunque la mia domanda era in realtà un altra.
Io mi proteggo con un accesso SSH, ma qualcuno in un datacenter è in grado di accedere direttamente al disco?

Guardate che il "datacenter" non è detto che sia necessariamente a livello di Aruba dove ci sono migliaia di macchine, vero o virtuali.
Conosco aziende informatiche che forti di una ottima connessione Internet, il tuo "server" lo tengono in casa loro, magari su un loro vSphere super carozzato.
Però il tema può essere un altro ed apro un nuovo thread sulla sicurezza.

[thece]

Comunque la mia domanda era in realtà un altra.
Io mi proteggo con un accesso SSH, ma qualcuno in un datacenter è in grado di accedere direttamente al disco?

Se il disco non è cifrato la risposta è si. SSH cifra solamente la connessione.