web-dev-qa-db-fra.com

Est-il possible d'avoir un serveur privé virtuel 100% sécurisé?

Je suis curieux s'il est possible d'avoir un VPS qui contient des données qui ne sont pas lisibles par le fournisseur d'hébergement, mais sont toujours utilisables sur le VPS.

De toute évidence, il y a des choses que vous pourriez faire pour les empêcher de lire n'importe quoi ...

  1. Vous pouvez modifier tous les mots de passe, y compris la racine. Mais alors, ils pourraient toujours utiliser un autre démarrage pour réinitialiser le mot de passe, ou ils pourraient simplement monter le disque d'une autre manière.

  2. Vous pouvez donc crypter le disque ou au moins une partie du contenu sur le disque. Mais ensuite, il semble que si vous déchiffrez le contenu, ils pourraient encore "regarder" pour voir ce que vous faisiez à la console, car après tout, la plate-forme de virtualisation devrait permettre cela.

  3. Et même si vous pouviez arrêter cela, il semble qu'ils ne pouvaient simplement lire le RAM du VPS.

Bien entendu, les VPS peuvent stocker des données sur elle et tant que la clé ne figure pas sur le VPS et que les données ne sont jamais déchiffrées là-bas, l'hôte ne peut pas obtenir les données.

Mais il me semble que si des données sur le VPS sont déchiffrées ... Pour une utilisation sur le VPS ..., le fournisseur d'hébergement peut obtenir les données.

Donc, mes deux questions sont:

  1. Est-ce correct? Est-il vrai qu'il n'existe aucun moyen de sécuriser 100% de données sur un VPS d'un hôte de la voir, tout en le gardant accessible par le VPS?

  2. S'il est possible de le rendre 100% sécurisé, alors comment? Si ce n'est pas possible, quel est le plus proche que vous puissiez obtenir de cacher des données à partir de l'hôte Web?

linuxsecurityamazon-ec2virtualizationencryption
18
Mike

L'hôte de la machine virtuelle peut voir et vaincre toute mesure de sécurité que vous avez mentionnée, y compris le cryptage des disques virtuels ou des fichiers dans le système de fichiers virtuel. Cela peut ne pas être trivial de le faire, mais c'est beaucoup plus facile que la plupart des gens pensent. En effet, vous avez fait allusion aux méthodes communes de faire exactement cela.

Dans le monde des affaires, cela se traduit généralement par des contrats et des accords de niveau de service, précisant la conformité aux normes juridiques et de l'industrie, ce qui est généralement considéré comme une non-question tant que l'hôte est réellement conforme aux normes pertinentes.

Si votre cas d'utilisation nécessite une sécurité de l'hôte, ou plus probablement, du gouvernement de l'hôte, vous devriez alors envisager d'obtenir votre service dans un autre pays.

17
Michael Hampton

Vos hypothèses sont correctes. Il n'y a absolument aucun moyen comment vous pouvez sécuriser un hôte si vous ne pouvez pas garantir la sécurité physique de la machine - ne personne ayant accès physique à un hôte sera en mesure de le contrôler ou de lire toutes ses données , à condition que Il a l'équipement nécessaire (par exemple, une carte PCI puffable à chaud pourrait lire la mémoire de l'hôte - y compris les clés de cryptage et les phrases phraséphrases qui y sont détenues).

Cela est également vrai pour les machines virtuelles, sauf que l'accès "physique" est remplacé par la possibilité de contrôler l'hyperviseur. Comme l'hyperviseur exécute (et est capable d'intercepter) toute instruction du VM et détient toutes les ressources (y compris la RAM) au nom de la machine virtuelle, quiconque disposant de privilèges suffisants sur l'hyperviseur est Capable d'exercer un contrôle total sur une machine virtuelle. Notez que le contrôle de l'hyperviseur épargnait l'exigence d'équipement spécial.

En dehors de cela, il y a eu un consensus dans la communauté de la sécurité depuis très longtemps maintenant que la sécurité "100%" est impossible à réaliser. La tâche d'un ingénieur de sécurité est d'évaluer les vecteurs d'attaque éventuels, l'effort nécessaire pour les exploiter et comparer le coût prédit de l'attaque à la valeur des actifs touchés par celui-ci pour s'assurer qu'il n'y aurait aucune incitation financière pour l'attaque et la La capacité à effectuer une attaque serait limitée à un petit cercle de personnes ou d'organisations de taille idéale) ne s'intéressait pas aux actifs qu'il essaie de protéger. Plus sur ce sujet: http://www.schneier.com/paper-attacktrees-ddj-ft.html

8
the-wabbit

Oui.

Si vous avez accès à un hôte sécurisé x, mais vous devez accéder à des ressources informatiques vastes, mais potentiellement non sécurisées, vous pouvez utiliser cryptage homomorphique sur les données.

De cette manière, des calculs peuvent être effectués sur Y, sans jamais fuir de données de X.

0
Erik Aronesty