Encryptie at rest betekent dat de data op je servers in versleutelde vorm wordt bewaard zolang die op schijf staat. Loopt iemand weg met de fysieke schijf, kopieert hij een databasebestand of grijpt hij een back-up, dan krijgt diegene onleesbare brij in plaats van een nette lijst met namen en wachtwoorden. De sleutel om het te ontgrendelen wordt apart bewaard.
Een goede vergelijking is een kluis op kantoor. Documenten die op een bureau liggen, kan iedereen lezen die langsloopt, maar dezelfde documenten in een kluis zijn waardeloos voor een dief zonder de code. Encryptie at rest is die kluis voor je opgeslagen data. Het past natuurlijk samen met encryptie in transit, dat data beschermt terwijl die beweegt, en samen dekken ze allebei de helften van de reis af. Het is niet hetzelfde als hashing, dat eenrichtingsverkeer is en voor wachtwoorden wordt gebruikt.
Waar mensen de fout in gaan, is de reikwijdte. De hoofddatabase is misschien versleuteld terwijl de nachtelijke back-up, de logbestanden of een tweede opslagbucket dat niet zijn, en juist daar begint een datalek vaak. Echte bescherming dekt elke kopie. Denk aan de laptop die een ontwikkelaar in de trein liet liggen, met een database-export in de map met downloads. Was dat bestand versleuteld at rest, dan is het verlies een stuk hardware. Was het dat niet, dan is het een meldplichtig incident.
Bij TopDevs zetten we encryptie at rest standaard aan over databases, back-ups en bestandsopslag, en beheren we de encryptiesleutels apart, zodat een verloren schijf of uitgelekt bestand geen leesbare lijst van de gegevens van je klanten wordt.