¿Es posible tener un servidor privado virtual 100% seguro?

18

Tengo curiosidad por saber si es posible tener un VPS que contenga datos que el proveedor de alojamiento no pueda leer, pero que aún se pueda usar en el VPS.

Obviamente, hay algunas cosas que podrías hacer para evitar que lean algo ...

  1. Puede cambiar todas las contraseñas, incluida la raíz. Pero entonces, aún podrían usar un arranque alternativo para restablecer la contraseña, o simplemente podrían montar el disco de otra manera.

  2. Por lo tanto, puede cifrar el disco o al menos parte del contenido del disco. Pero luego parece que si descifra el contenido, aún podrían "mirar" para ver lo que estaba haciendo en la consola, porque después de todo, la plataforma de virtualización debería permitir esto.

  3. E incluso si pudieras detener eso, parece que podrían leer la RAM del VPS directamente.

Por supuesto, el VPS puede almacenar datos en él y mientras la clave no esté en el VPS y los datos nunca se descifren allí, entonces el host no puede obtener los datos.

Pero me parece que si en algún momento los datos en el VPS se descifran ... para usar en el VPS ... entonces el proveedor de alojamiento puede obtener los datos.

Entonces, mis dos preguntas son:

  1. ¿Es esto correcto? ¿Es cierto que no hay forma de que los datos 100% seguros en un VPS desde un host lo vean, mientras el VPS lo mantiene accesible?

  2. Si es posible hacerlo 100% seguro, ¿cómo? Si no es posible, ¿qué es lo más cerca que puede estar de ocultar datos del servidor web?

Miguel
fuente
66
En un sentido mucho más general, no creo que exista una seguridad del 100% en este mundo para nada.
Gruñón
2
Si desea saber qué nivel de seguridad es razonable , debe preguntar sobre su caso de uso particular.
Michael Hampton

Respuestas:

17

El host de la máquina virtual puede ver y vencer cualquier medida de seguridad que haya mencionado, incluido el cifrado de los discos o archivos virtuales dentro del sistema de archivos virtual. Puede que no sea trivial hacerlo, pero es mucho más fácil de lo que la mayoría de la gente piensa. De hecho, aludiste a los métodos comunes de hacer exactamente eso.

En el mundo de los negocios, esto generalmente se trata a través de contratos y acuerdos de nivel de servicio, que especifican el cumplimiento de los estándares legales y de la industria, por lo que generalmente se considera un problema mientras el anfitrión cumpla con los estándares relevantes.

Si su caso de uso requiere seguridad del anfitrión, o más probablemente, del gobierno del anfitrión, entonces debería considerar seriamente obtener su servicio en otro país.

Michael Hampton
fuente
8

Tus suposiciones son correctas. No hay absolutamente ninguna forma de asegurar un host si no puede garantizar la seguridad física de la máquina: alguien con acceso físico a un host podrá controlarlo o leer todos sus datos , siempre que tenga el equipo necesario (p. Ej. una tarjeta PCI de conexión en caliente podría leer la memoria del host, incluidas las claves de cifrado y las frases de contraseña que se encuentran allí).

Esto también es cierto para las máquinas virtuales, excepto que el acceso "físico" se reemplaza por la capacidad de controlar el hipervisor. A medida que el hipervisor ejecuta (y puede interceptar) cualquier instrucción de la VM y retiene todos los recursos (incluida la RAM) en nombre de la VM, cualquier persona con privilegios suficientes en el hipervisor puede ejercer el control total sobre una VM. Tenga en cuenta que controlar el hipervisor evita el requisito de equipo especial.

Aparte de eso, ha habido un consenso en la comunidad de seguridad durante mucho tiempo, que la seguridad del "100%" es imposible de lograr. La tarea de un ingeniero de seguridad es evaluar posibles vectores de ataque, el esfuerzo necesario para explotarlos y comparar el costo pronosticado del ataque con el valor de los activos afectados por él para asegurarse de que no haya incentivos financieros para el ataque y La capacidad para llevar a cabo un ataque se limitaría a un pequeño círculo (idealmente de tamaño 0) de personas u organizaciones que no estén interesadas en los activos que está tratando de proteger. Más sobre ese tema: http://www.schneier.com/paper-attacktrees-ddj-ft.html

el wabbit
fuente
0

Si.

Si tiene acceso a un host seguro X, pero necesita acceder a recursos informáticos vastos, pero potencialmente inseguros, en Y, puede usar cifrado homomórfico en los datos.

De esta manera, los cálculos se pueden llevar a cabo en Y, sin perder nunca datos de X.

Erik Aronesty
fuente
1
En este momento hay una gama estrictamente limitada de operaciones matemáticas bajo las cuales el cifrado homomórfico sigue siéndolo; promocionarlo como una panacea de uso general para hacer lo que quiera con los datos sin saber lo que dice es probablemente prematuro.
MadHatter apoya a Monica el