Ich bin neugierig, ob es möglich ist, einen VPS zu haben, der Daten enthält, die vom Hosting-Anbieter nicht gelesen werden können, aber dennoch auf dem VPS verwendet werden können.
Offensichtlich gibt es einige Dinge, die Sie tun können, um zu verhindern, dass sie etwas lesen ...
Sie können alle Passwörter ändern, einschließlich root. Dann könnten sie jedoch immer noch einen alternativen Start verwenden, um das Kennwort zurückzusetzen, oder sie könnten die Festplatte einfach auf eine andere Weise einbinden.
Sie könnten also die Festplatte oder zumindest einen Teil des Inhalts auf der Festplatte verschlüsseln. Aber wenn Sie den Inhalt entschlüsselt haben, könnten sie immer noch "hineinschauen", um zu sehen, was Sie an der Konsole gemacht haben, denn schließlich sollte die Virtualisierungsplattform dies zulassen.
Und selbst wenn Sie damit aufhören könnten, könnten sie anscheinend den RAM des VPS direkt lesen.
Natürlich kann der VPS Daten darauf speichern, und solange sich der Schlüssel nicht auf dem VPS befindet und die Daten dort nie entschlüsselt werden, kann der Host die Daten nicht abrufen.
Aber es scheint mir, dass wenn irgendwo die Daten auf dem VPS entschlüsselt werden ... für die Verwendung auf dem VPS ... dann kann der Hosting-Anbieter die Daten erhalten.
Also, meine zwei Fragen sind:
Ist das richtig? Stimmt es, dass es keine Möglichkeit gibt, 100% sichere Daten auf einem VPS von einem Host zu sehen, während der VPS darauf zugreifen kann?
Wenn es möglich ist, es 100% sicher zu machen, wie dann? Wenn dies nicht möglich ist, wie weit können Sie dann Daten vor dem Webhost verbergen?
Antworten:
Der Host der virtuellen Maschine kann alle von Ihnen erwähnten Sicherheitsmaßnahmen anzeigen und aufheben, einschließlich der Verschlüsselung der virtuellen Festplatten oder Dateien im virtuellen Dateisystem. Es mag nicht trivial sein , aber es ist viel einfacher als die meisten Leute denken. Sie haben in der Tat auf die gängigen Methoden angespielt, um genau das zu tun.
In der Geschäftswelt wird dies in der Regel über Verträge und Service Level Agreements geregelt, in denen die Einhaltung gesetzlicher und branchenüblicher Standards festgelegt ist. Dies wird normalerweise als kein Problem angesehen, solange der Host tatsächlich die relevanten Standards einhält.
Wenn Ihr Anwendungsfall die Sicherheit des Hosts oder wahrscheinlicher der Regierung des Hosts erfordert, sollten Sie nachdrücklich in Betracht ziehen, Ihren Service in einem anderen Land zu erhalten.
quelle
Ihre Annahmen sind richtig. Es gibt absolut keine Möglichkeit, einen Host zu sichern, wenn Sie die physische Sicherheit des Computers nicht gewährleisten können - jemand mit physischem Zugriff auf einen Host kann ihn steuern oder alle seine Daten lesen , vorausgesetzt, er verfügt über die erforderliche Ausrüstung (z. B. Eine hot-plug-fähige PCI-Karte könnte den Speicher des Hosts lesen (einschließlich der dort gespeicherten Verschlüsselungsschlüssel und Passphrasen).
Dies gilt auch für virtuelle Maschinen, mit der Ausnahme, dass der "physische" Zugriff durch die Möglichkeit zur Steuerung des Hypervisors ersetzt wird. Da der Hypervisor alle Anweisungen der VM ausführt (und abfangen kann) und alle Ressourcen (einschließlich des Arbeitsspeichers) für die VM verwaltet, kann jeder, der über ausreichende Berechtigungen für den Hypervisor verfügt, die volle Kontrolle über eine VM ausüben. Beachten Sie, dass durch die Steuerung des Hypervisors keine speziellen Geräte erforderlich sind.
Abgesehen davon herrscht in der Sicherheitsgemeinschaft seit langer Zeit Einigkeit darüber, dass eine 100% ige Sicherheit nicht zu erreichen ist. Die Aufgabe eines Sicherheitsingenieurs besteht darin, mögliche Angriffsmethoden und den Aufwand für deren Ausnutzung zu bewerten und die prognostizierten Kosten des Angriffs mit dem Wert der davon betroffenen Vermögenswerte zu vergleichen, um sicherzustellen, dass für den Angriff und den Angriff keine finanziellen Anreize bestehen Die Fähigkeit, einen Angriff auszuführen, wäre auf einen kleinen Kreis von Personen oder Organisationen (idealerweise 0) beschränkt, die nicht an den Vermögenswerten interessiert sind, die sie schützen möchten. Mehr zu diesem Thema: http://www.schneier.com/paper-attacktrees-ddj-ft.html
quelle
Ja.
Wenn Sie Zugriff auf einen sicheren Host X haben, aber auf umfangreiche, aber möglicherweise unsichere Rechenressourcen bei Y zugreifen müssen, können Sie homomorphe Verschlüsselung für die Daten verwenden.
Auf diese Weise können Berechnungen für Y ausgeführt werden, ohne dass jemals Daten aus X verloren gehen.
quelle