Jestem ciekawy, czy możliwe jest posiadanie VPS, który zawiera dane, które nie są odczytywane przez dostawcę hostingu, ale nadal są użyteczne na VPS.
Oczywiście są pewne rzeczy, które możesz zrobić, aby uniemożliwić im przeczytanie czegokolwiek ...
Możesz zmienić wszystkie hasła, w tym root. Ale nadal mogą użyć alternatywnego rozruchu, aby zresetować hasło, lub po prostu zamontować dysk w inny sposób.
Możesz więc zaszyfrować dysk lub przynajmniej część zawartości na dysku. Ale wydaje się, że jeśli odszyfrujesz zawartość, nadal będą mogli „zajrzeć”, aby zobaczyć, co robisz na konsoli, ponieważ w końcu platforma wirtualizacji powinna na to pozwolić.
I nawet jeśli możesz to zatrzymać, wydaje się, że mogli po prostu odczytać pamięć RAM VPS bezpośrednio.
Oczywiście VPS może przechowywać na nim dane i dopóki klucz nie znajduje się na VPS, a dane nigdy tam nie są odszyfrowywane, host nie może uzyskać danych.
Ale wydaje mi się, że jeśli którykolwiek punkt dane na VPS zostaną odszyfrowane ... do wykorzystania na VPS ... to dostawca hostingu może je uzyskać.
Moje dwa pytania to:
Czy to jest poprawne? Czy to prawda, że nie ma sposobu na 100% bezpieczeństwo danych na VPS od hosta przed ich zobaczeniem, przy jednoczesnym zachowaniu dostępu przez VPS?
Jeśli można to zrobić w 100% bezpieczne, to jak? Jeśli nie jest to możliwe, jakie jest najbliższe ukrycie danych przed hostem internetowym?
źródło
Odpowiedzi:
Host maszyny wirtualnej może zobaczyć i pokonać wszelkie wspomniane środki bezpieczeństwa, w tym szyfrowanie dysków wirtualnych lub plików w wirtualnym systemie plików. Może to nie być trywialne , ale jest to o wiele łatwiejsze niż myśli większość ludzi. Rzeczywiście, nawiązywałeś do powszechnych metod robienia tego dokładnie.
W świecie biznesu jest to zazwyczaj rozpatrywane za pośrednictwem umów i umów o gwarantowanym poziomie usług, określających zgodność z normami prawnymi i branżowymi, i dlatego zwykle uznaje się je za nieproblemowe, o ile host faktycznie spełnia odpowiednie standardy.
Jeśli Twój przypadek użycia wymaga zabezpieczeń od hosta lub, co bardziej prawdopodobne, od rządu hosta, powinieneś zdecydowanie rozważyć skorzystanie z usługi w innym kraju.
źródło
Twoje założenia są prawidłowe. Nie ma absolutnie żadnego sposobu, w jaki można zabezpieczyć hosta, jeśli nie można zagwarantować fizycznego bezpieczeństwa maszyny - osoba posiadająca fizyczny dostęp do hosta będzie mogła go kontrolować lub czytać wszystkie jego dane , pod warunkiem, że posiada niezbędny sprzęt (np. karta PCI podłączana na gorąco może odczytywać pamięć hosta - w tym przechowywane w niej klucze szyfrowania i hasła).
Dotyczy to również maszyn wirtualnych, z wyjątkiem tego, że dostęp „fizyczny” jest zastąpiony możliwością kontrolowania hiperwizora. Ponieważ hiperwizor wykonuje (i jest w stanie przechwycić) dowolną instrukcję maszyny wirtualnej i przechowuje wszystkie zasoby (w tym pamięć RAM) w imieniu maszyny wirtualnej, każdy, kto ma wystarczające uprawnienia do hiperwizora, może sprawować pełną kontrolę nad maszyną wirtualną. Pamiętaj, że kontrolowanie hiperwizora oszczędza wymagania dotyczące specjalnego sprzętu.
Poza tym od bardzo dawna istnieje konsensus w społeczności bezpieczeństwa, że „100%” bezpieczeństwa jest niemożliwe do osiągnięcia. Zadaniem inżyniera bezpieczeństwa jest ocena możliwych wektorów ataku, wysiłek potrzebny do ich wykorzystania i porównanie przewidywanego kosztu ataku z wartością aktywów, na które ma wpływ, aby upewnić się, że nie będzie żadnej zachęty finansowej do ataku i zdolność do przeprowadzenia ataku byłaby ograniczona do niewielkiego kręgu osób lub organizacji, które nie są zainteresowane zasobami, które próbuje chronić. Więcej na ten temat: http://www.schneier.com/paper-attacktrees-ddj-ft.html
źródło
Tak.
Jeśli masz dostęp do bezpiecznego hosta X, ale potrzebujesz dostępu do ogromnych, ale potencjalnie niepewnych zasobów obliczeniowych w Y, możesz użyć homomorficznego szyfrowania danych.
W ten sposób obliczenia mogą być przeprowadzane na Y, bez wycieku danych z X.
źródło