Je suis curieux de savoir s'il est possible d'avoir un VPS contenant des données qui ne sont pas lisibles par le fournisseur d'hébergement, mais qui sont toujours utilisables sur le VPS.
Évidemment, vous pouvez faire certaines choses pour les empêcher de lire quoi que ce soit ...
Vous pouvez modifier tous les mots de passe, y compris root. Mais alors, ils pourraient toujours utiliser un autre démarrage pour réinitialiser le mot de passe, ou ils pourraient simplement monter le disque d'une autre manière.
Ainsi, vous pouvez chiffrer le disque ou au moins une partie du contenu du disque. Mais il semble que si vous décryptez le contenu, ils pourraient toujours "regarder" pour voir ce que vous faisiez sur la console, car après tout, la plate-forme de virtualisation devrait le permettre.
Et même si vous pouviez arrêter cela, il semble qu'ils pourraient simplement lire directement la RAM du VPS.
Bien sûr, le VPS peut y stocker des données et tant que la clé ne se trouve pas sur le VPS et que les données n'y sont jamais décryptées, l'hôte ne peut pas obtenir les données.
Mais il me semble que si un point quelconque les données sur le VPS sont décryptées ... pour une utilisation sur le VPS ... alors le fournisseur d'hébergement peut obtenir les données.
Donc, mes deux questions sont:
Est-ce correct? Est-il vrai qu'il n'y a aucun moyen de sécuriser à 100% les données sur un VPS d'un hôte de les voir, tout en les gardant accessibles par le VPS?
S'il est possible de le sécuriser à 100%, alors comment? Si ce n'est pas possible, quel est le moyen le plus proche de masquer les données de l'hébergeur Web?
Réponses:
L'hôte de la machine virtuelle peut voir et déjouer toute mesure de sécurité que vous avez mentionnée, y compris le chiffrement des disques ou fichiers virtuels dans le système de fichiers virtuel. Ce n'est peut-être pas trivial de le faire, mais c'est beaucoup plus facile que la plupart des gens ne le pensent. En effet, vous avez fait allusion aux méthodes courantes pour faire exactement cela.
Dans le monde des affaires, cela est généralement traité via des contrats et des accords de niveau de service, spécifiant la conformité aux normes légales et industrielles, et est donc généralement considéré comme un problème tant que l'hôte est réellement conforme aux normes pertinentes.
Si votre cas d'utilisation nécessite la sécurité de l'hôte, ou plus probablement, du gouvernement de l'hôte, alors vous devriez sérieusement envisager d'obtenir votre service dans un autre pays.
la source
Vos hypothèses sont correctes. Il n'y a absolument aucun moyen de sécuriser un hôte si vous ne pouvez pas garantir la sécurité physique de la machine - une personne ayant un accès physique à un hôte pourra le contrôler ou lire toutes ses données , à condition qu'il dispose de l'équipement nécessaire (par exemple une carte PCI enfichable à chaud pourrait lire la mémoire de l'hôte - y compris les clés de chiffrement et les phrases secrètes qui s'y trouvent).
Cela est également vrai pour les machines virtuelles, sauf que l'accès "physique" est remplacé par la possibilité de contrôler l'hyperviseur. Comme l'hyperviseur exécute (et est capable d'intercepter) toute instruction de la machine virtuelle et détient toutes les ressources (y compris la mémoire RAM) au nom de la machine virtuelle, toute personne disposant de privilèges suffisants sur l'hyperviseur est en mesure d'exercer un contrôle total sur une machine virtuelle. Notez que le contrôle de l'hyperviseur épargne le besoin d'équipement spécial.
En dehors de cela, il y a un consensus au sein de la communauté de la sécurité depuis très longtemps maintenant, selon lequel une sécurité «à 100%» est impossible à atteindre. La tâche d'un ingénieur en sécurité est d'évaluer les vecteurs d'attaque possibles, l'effort nécessaire pour les exploiter et de comparer le coût prévu de l'attaque à la valeur des actifs affectés par celle-ci pour s'assurer qu'il n'y aurait pas d'incitation financière pour l'attaque et la la possibilité de commettre une attaque serait limitée à un petit cercle (idéalement de taille 0) de personnes ou d'organisations qui ne sont pas intéressées par les actifs qu'il tente de protéger. Plus d'informations sur ce sujet: http://www.schneier.com/paper-attacktrees-ddj-ft.html
la source
Oui.
Si vous avez accès à un hôte sécurisé X, mais que vous devez accéder à de vastes ressources informatiques, mais potentiellement non sécurisées, à Y, vous pouvez utiliser le cryptage homomorphique sur les données.
De cette façon, les calculs peuvent être effectués sur Y, sans jamais divulguer de données de X.
la source