% 100 güvenli bir sanal özel sunucunuz olabilir mi?

Barındırma sağlayıcısı tarafından okunamayan, ancak VPS'de hala kullanılabilir olan bir VPS'ye sahip olmanın mümkün olup olmadığını merak ediyorum.

Açıkçası, bir şey okumasını önlemek için yapabileceğiniz bazı şeyler var ...

1. Kök de dahil olmak üzere tüm şifreleri değiştirebilirsiniz. Ancak, parolayı sıfırlamak için alternatif bir önyükleme kullanmaya devam edebilirler veya diski başka bir şekilde takabilirler.

2. Böylece diski veya diskteki içeriklerin en azından bir kısmını şifreleyebilirsiniz. Ama sonra içeriğin şifresini çözdüyseniz, konsolda ne yaptığınızı görmek için hala "akran" olabilirler, çünkü sonuçta sanallaştırma platformu buna izin vermelidir.

3. Ve bunu durdurabilseniz bile, doğrudan VPS'nin RAM'ini okuyabilirler.

Tabii ki, VPS verileri depolayabilir ve anahtar VPS'de olmadığı ve verilerin şifresi asla çözülmediği sürece, ana bilgisayar verileri alamaz.

Ama bana öyle geliyor ki VPS üzerindeki verilerin şifresi çözülürse ... VPS'de kullanım için ... o zaman barındırma sağlayıcısı verileri alabilir.

İki sorum şu:

1. Bu doğru mu? Bir ana bilgisayardan gelen bir VPS'deki verileri% 100 güvenli hale getirmenin ve VPS tarafından erişilebilir olmasını sağlamanın bir yolu olmadığı doğru mu?

2. % 100 güvenli hale getirmek mümkünse, nasıl? Mümkün değilse, o zaman web barındırma veri gizlemek için en yakın nedir?

Sanal makine ana makinesi, sanal disklerin veya sanal dosya sistemindeki dosyaların şifrelenmesi dahil olmak üzere bahsettiğiniz tüm güvenlik önlemlerini görebilir ve yenebilir. Bunu yapmak önemsiz olmayabilir , ancak çoğu insanın düşündüğünden çok daha kolaydır. Gerçekten de, bunu tam olarak yapmanın ortak yöntemlerine başvurdunuz.

İş dünyasında, bu genellikle yasal ve endüstri standartlarına uyumu belirleyen sözleşmeler ve hizmet seviyesi anlaşmaları ile ele alınmaktadır ve bu nedenle ev sahibi gerçekten ilgili standartlara uygun olduğu sürece genellikle bir sorun olarak kabul edilmez.

Kullanım durumunuz ana bilgisayardan veya büyük olasılıkla ana bilgisayar hükümetinden güvenlik gerektiriyorsa, hizmetinizi başka bir ülkede almayı kesinlikle düşünmelisiniz.

Varsayımlarınız doğru. Makinenin fiziksel güvenliğini garanti edemezseniz, bir ana bilgisayarı nasıl güvenceye alabileceğinizin kesinlikle bir yolu yoktur - bir ana bilgisayara fiziksel erişimi olan bir kişi , gerekli ekipmana sahip olması koşuluyla (örn. çalışırken takılabilir bir PCI kart, orada tutulan şifreleme anahtarları ve parolalar dahil olmak üzere ana bilgisayarın belleğini okuyabilir).

Bu, sanal makineler için de geçerlidir, ancak "fiziksel" erişimin yerini hipervizörü kontrol etme yeteneği almıştır. Hiper yönetici VM'nin herhangi bir talimatını yürüttüğü (ve arayabildiği) ve VM adına tüm kaynakları (RAM dahil) tuttuğu için, hiper yönetici üzerinde yeterli ayrıcalıklara sahip olan herkes bir VM üzerinde tam kontrol uygulayabilir. Hipervizörün kontrolünün özel ekipman gereksinimini değiştirdiğini unutmayın.

Bunun yanı sıra, güvenlik camiasında çok uzun bir süredir bir fikir birliği olmuştur, "% 100" güvenliğinin sağlanması imkansızdır. Bir güvenlik mühendisinin görevi, olası saldırı vektörlerini, bunlardan yararlanmak için gereken çabayı değerlendirmek ve saldırı için tahmin edilen maliyeti, saldırı için finansal teşvik olmayacağından emin olmak için etkilenen varlıkların değeriyle karşılaştırmaktır. bir saldırı gerçekleştirme yeteneği, korumaya çalıştığı varlıklarla ilgilenmeyen küçük bir kişi (ideal olarak 0 boyutlu) çevre veya insanlarla sınırlı olacaktır. Bu konuda daha fazlası: http://www.schneier.com/paper-attacktrees-ddj-ft.html

Evet.

Güvenli bir X ana bilgisayarına erişiminiz varsa, ancak Y'deki büyük ancak potansiyel olarak güvenli olmayan bilgi işlem kaynaklarına erişmeniz gerekiyorsa , veriler üzerinde homomorfik şifreleme kullanabilirsiniz .

Bu şekilde hesaplamalar, X'ten hiç veri sızdırmadan Y üzerinde gerçekleştirilebilir.