Как надежно управлять доступом к серверу ключей бэкенда?
Проверьте Centrify, который обеспечивает собственный агент для соединения непосредственно с AD на сотнях различных разновидностей UNIX или Linux (или OS X). Существует бесплатный продукт (Экспресс Centrify), который включает поддержку аутентификации для PAM, NSS и клиентов Kerberos. Кроме того, у них есть бесплатное приложение Windows для развертывания на и управления удаленно много серверов сразу.
Комплекты для платы включают групповую политику, управление доступом, авторизацию, управление привилегированного пользователя, создание отчетов, запись/аудит сеанса пользователя, шифрование/аутентификацию данных по проводу и многое другое.
Используемый в производстве на большом блоке UNIX Fortune 2000 и серверов Linux.
Corey - менеджер по продукции Centrify
However, if a hacker were able to get a shell on the DB server, they could request the key from the key server and therefore decrypt the data in the database.
How could I prevent this[...]?
Basically, you never could, except you have been designing a system mitigating this type of attack from the very beginning. The current PC architecture does not allow for this kind of application. Efforts like the Next Generation Secure Computing Base have been designed to address a similar kind of task by restricting the ability to execute code paths to only the "necessary" ones.
End-to-end encryption, where encryption/decryption keys are managed by the clients and the database server has no knowledge of the keys at all, might present another option. Although not leaving the database server enough information to work with (like indexes) might significantly cut its ability to pre-process data and thus reduce its value for your application.