Pregunta ¿Es posible tener un servidor privado virtual 100% seguro?


Tengo curiosidad por saber si es posible tener un VPS que contenga datos que el proveedor de alojamiento no pueda leer, pero que todavía se pueda usar en el VPS.

Obviamente, hay algunas cosas que podrías hacer para evitar que lean algo ...

  1. Podrías cambiar todas las contraseñas, incluyendo root. Pero entonces, todavía podrían usar un arranque alternativo para restablecer la contraseña, o simplemente podrían montar el disco de otra manera.

  2. Por lo tanto, podría cifrar el disco o al menos parte del contenido del disco. Pero luego parece que si descifraste el contenido, aún podrían "mirar" para ver lo que estabas haciendo en la consola, porque después de todo, la plataforma de virtualización debería permitirlo.

  3. E incluso si pudieras detener eso, parece que simplemente podrían leer la memoria RAM del VPS directamente.

Por supuesto, el VPS puede almacenar datos en él y mientras la clave no esté en el VPS y los datos nunca se descifren allí, entonces el host no puede obtener los datos.

Pero me parece que si algún punto se descifra la información en el VPS ... para su uso en el VPS ... entonces el proveedor de alojamiento puede obtener la información.

Entonces, mis dos preguntas son:

  1. ¿Es esto correcto? ¿Es cierto que no hay forma de que los datos 100% seguros en un VPS de un host lo vean, mientras se mantiene accesible por el VPS?

  2. Si es posible hacerlo 100% seguro, entonces ¿cómo? Si no es posible, ¿qué es lo más cercano a esconder datos del host web?


17
2018-03-05 06:35


origen


En un sentido mucho más general, no creo que exista tal cosa como seguridad 100% en este mundo para nada. - Grumpy
Si quieres saber qué nivel de seguridad es razonable, deberías preguntar por tu caso de uso particular. - Michael Hampton♦


Respuestas:


El host de la máquina virtual puede ver y anular cualquier medida de seguridad que mencionó, incluido el cifrado de los discos o archivos virtuales dentro del sistema de archivos virtual. Puede que no sea trivial para hacerlo, pero es mucho más fácil de lo que la mayoría de la gente piensa. De hecho, usted aludió a los métodos comunes de hacer exactamente eso.

En el mundo de los negocios, esto generalmente se resuelve a través de contratos y acuerdos de nivel de servicio, especificando el cumplimiento con los estándares legales y de la industria, y por lo tanto, generalmente se considera un no-problema siempre y cuando el anfitrión cumpla con los estándares relevantes.

Si su caso de uso requiere seguridad del anfitrión, o más probablemente, del gobierno del anfitrión, debe considerar la posibilidad de obtener su servicio en otro país.


16
2018-03-05 06:50





Tus suposiciones son correctas. No hay absolutamente ninguna manera de proteger un host si no puede garantizar la seguridad física de la máquina. alguien con acceso físico a un host podrá controlarlo o leer todos sus datos, siempre que tenga el equipo necesario (por ejemplo, una tarjeta PCI de conexión en caliente podría leer la memoria del host, incluidas las claves de cifrado y las frases de contraseña guardadas allí).

Esto también es cierto para las máquinas virtuales, excepto que el acceso "físico" se reemplaza por la capacidad de controlar el hipervisor. A medida que el hipervisor ejecuta (y es capaz de interceptar) cualquier instrucción de la VM y retiene todos los recursos (incluida la RAM) en nombre de la VM, cualquier persona con suficientes privilegios sobre el hipervisor puede ejercer control total sobre una VM. Tenga en cuenta que el control del hipervisor ahorra el requisito de equipo especial.

Aparte de eso, ha habido un consenso en la comunidad de seguridad durante mucho tiempo, que es imposible alcanzar la seguridad del "100%". La tarea de un ingeniero de seguridad es evaluar posibles vectores de ataque, el esfuerzo necesario para explotarlos y comparar el costo previsto del ataque con el valor de los activos afectados para asegurarse de que no habría ningún incentivo financiero para el ataque y la la capacidad de llevar a cabo un ataque se limitaría a un pequeño círculo (idealmente de tamaño 0) de personas u organizaciones que no estén interesadas en los activos que está tratando de proteger. Más sobre ese tema: http://www.schneier.com/paper-attacktrees-ddj-ft.html


7
2018-03-05 07:08





Sí.

Si tiene acceso a un host X seguro, pero necesita acceder a recursos informáticos vastos pero potencialmente inseguros en Y, puede usar cifrado homomorfo en los datos.

De esta manera, los cálculos se pueden realizar en Y, sin perder nunca datos de X.


0
2018-06-15 18:35



En este momento hay un rango estrictamente limitado de operaciones matemáticas bajo las cuales el cifrado homomórfico permanece así; promocionarla como una panacea de propósito general para hacer cualquier cosa que le guste a los datos sin saber lo que dice es probablemente prematura. - MadHatter