Чи можливо мати 100% захищений віртуальний приватний сервер?

Мені цікаво, чи можна мати VPS, який має дані про нього, які не можна прочитати провайдером хостингу, але він все ще може бути використаний на VPS.

Очевидно, що ви можете зробити щось, щоб завадити їм нічого не прочитати ...

1. Ви можете змінити всі паролі, включаючи root. Але потім вони все-таки могли використати якусь альтернативну завантажувальну систему для скидання пароля, або вони могли просто встановити диск іншим способом.

2. Отже, ви можете зашифрувати диск або хоча б частину вмісту на диску. Але тоді здається, що якщо ви розшифрували вміст, вони все ще могли «заглянути», щоб побачити, що ви робите за консоллю, адже, зрештою, платформа для віртуалізації повинна це дозволити.

3. І навіть якщо ви могли це зупинити, здається, вони могли просто прочитати оперативну пам'ять VPS безпосередньо.

Звичайно, VPS може зберігати дані на ньому і доки ключ не знаходиться на VPS і дані там ніколи не розшифровуються, то хост не може отримати дані.

Але мені здається, що якщо будь-який момент дані на VPS розшифровуються ... для використання на VPS ... тоді хостинг-провайдер може отримати дані.

Отже, моє два питання:

1. Це правильно? Це правда, що немає можливості на 100% захистити дані на VPS від хоста, щоб побачити їх, зберігаючи їх доступними для VPS?

2. Якщо це можливо зробити на 100% безпечним, то як? Якщо це неможливо, то що найближче ви можете отримати для приховування даних від веб-хостингу?

Хост віртуальної машини може бачити і перемогти будь-який згаданий вами захід безпеки, включаючи шифрування віртуальних дисків або файлів у віртуальній файловій системі. Це може бути не банально , але це набагато простіше, ніж думає більшість людей. Дійсно, ви натякали на загальні методи виконання саме цього.

У діловому світі це, як правило, вирішується через договори та угоди про рівень послуг, що визначають відповідність законодавчим та галузевим стандартам, і тому зазвичай вважається непроблемним, якщо господар фактично відповідає відповідним стандартам.

Якщо ваш випадок використання вимагає захисту від хазяїна, або, швидше за все, від уряду приймаючого господаря, то вам слід настійно розглянути можливість отримання послуги в іншій країні.

Ваші припущення правильні. Не існує жодного способу, як можна забезпечити хост, якщо ви не можете гарантувати фізичну безпеку машини - хтось із фізичним доступом до хоста зможе керувати ним чи прочитати всі його дані за умови, що він має необхідне обладнання (наприклад, гаряча підключена PCI-карта могла прочитати пам'ять хоста - включаючи ключі шифрування та фрази, що зберігаються там).

Це справедливо і для віртуальних машин, за винятком того, що "фізичний" доступ замінюється можливістю контролювати гіпервізор. Оскільки гіпервізор виконує (і здатний перехоплювати) будь-яку інструкцію VM і зберігає всі ресурси (включаючи оперативну пам'ять) від імені VM, будь-хто з достатніми привілеями на гіпервізорі може здійснювати повний контроль над VM. Зауважте, що контроль гіпервізора позбавляє вимоги до спеціального обладнання.

Крім цього, у спільноті безпеки вже давно існує консенсус, що "100%" безпеки досягти неможливо. Завдання інженера з безпеки - оцінити можливі вектори нападу, зусилля, необхідні для їх використання та порівняти передбачувану вартість нападу з вартістю активів, на які вона впливає, щоб переконатися, що не буде фінансового стимулу для нападу та Здатність здійснити напад буде обмежена невеликим колом (в ідеалі 0-го розміру) людей або організацій, не зацікавлених у активах, які він намагається захистити. Більше про цю тему: http://www.schneier.com/paper-attacktrees-ddj-ft.html

Так.

Якщо у вас є доступ до захищеного хоста X, але вам потрібно отримати доступ до величезних, але потенційно незахищених обчислювальних ресурсів у Y, ви можете використовувати гомоморфне шифрування даних.

Таким чином, обчислення можна проводити на Y, не витікаючи ніколи з даних X.