Можно ли иметь 100% безопасный виртуальный частный сервер?

Мне любопытно, возможно ли иметь VPS, на котором есть данные, которые не читаются провайдером хостинга, но по-прежнему могут использоваться на VPS.

Очевидно, есть некоторые вещи, которые вы могли бы сделать, чтобы они ничего не читали ...

1. Вы можете изменить все пароли, включая root. Но тогда они могли бы использовать альтернативную загрузку для сброса пароля или просто смонтировать диск другим способом.

2. Таким образом, вы можете зашифровать диск или, по крайней мере, часть содержимого на диске. Но тогда кажется, что если вы расшифровываете контент, они все равно могут «заглянуть», чтобы увидеть, что вы делаете на консоли, потому что, в конце концов, платформа виртуализации должна это разрешать.

3. И даже если бы вы могли это остановить, кажется, они могли бы просто читать ОЗУ VPS напрямую.

Конечно, VPS может хранить данные на нем, и пока ключ не находится на VPS и данные там никогда не расшифровываются, то хост не может получить данные.

Но мне кажется, что если в какой-то момент данные на VPS будут расшифрованы ... для использования на VPS ..., то хостинг-провайдер может получить данные.

Итак, два моих вопроса:

1. Это верно? Правда ли, что нет никакой возможности на 100% защитить данные на VPS от хоста от его просмотра, сохраняя при этом доступ к VPS?

2. Если возможно сделать его на 100% безопасным, то как? Если это невозможно, то как можно ближе скрыть данные от веб-хостинга?

Хост виртуальной машины может увидеть и победить любую меру безопасности, которую вы упомянули, включая шифрование виртуальных дисков или файлов в виртуальной файловой системе. Это может быть не тривиально , но гораздо проще, чем думает большинство людей. В самом деле, вы намекали на общие методы сделать именно это.

В деловом мире это, как правило, решается с помощью контрактов и соглашений об уровне обслуживания, определяющих соответствие юридическим и отраслевым стандартам, и поэтому обычно считается несущественной, если хост фактически соответствует соответствующим стандартам.

Если в вашем случае использования требуется защита от хоста или, что более вероятно, от правительства хоста, то вам настоятельно рекомендуется получить услугу в другой стране.

Ваши предположения верны. Абсолютно невозможно обеспечить безопасность хоста, если вы не можете гарантировать физическую безопасность машины - кто-то, имеющий физический доступ к хосту, сможет управлять им или считывать все его данные , если у него есть необходимое оборудование (например, карта PCI с возможностью горячей замены может считывать память хоста - включая ключи шифрования и парольные фразы, хранящиеся там).

Это также верно для виртуальных машин, за исключением того, что «физический» доступ заменяется возможностью управления гипервизором. Поскольку гипервизор выполняет (и способен перехватывать) любые инструкции ВМ и удерживает все ресурсы (включая ОЗУ) от имени ВМ, любой, имеющий достаточные права доступа к гипервизору, может осуществлять полный контроль над ВМ. Обратите внимание, что управление гипервизором избавляет от необходимости специального оборудования.

Кроме того, в сообществе безопасности уже давно существует консенсус в отношении того, что «100%» безопасности достичь невозможно. Задача инженера по безопасности состоит в том, чтобы оценить возможные векторы атак, усилия, необходимые для их использования, и сравнить прогнозируемую стоимость атаки со стоимостью активов, на которые она влияет, чтобы убедиться в отсутствии финансового стимула для атаки и способность совершить атаку будет ограничена небольшим (в идеале 0-го размера) кругом людей или организаций, не заинтересованных в активах, которые он пытается защитить. Больше на эту тему: http://www.schneier.com/paper-attacktrees-ddj-ft.html

Да.

Если у вас есть доступ к защищенному хосту X, но вам нужен доступ к обширным, но потенциально небезопасным вычислительным ресурсам в Y, вы можете использовать гомоморфное шифрование данных.

Таким образом, вычисления могут быть выполнены на Y, не пропуская данные из X.