kdpv - Reuters
As jy 'n bediener huur, het jy nie volle beheer daaroor nie. Dit beteken dat spesiaal opgeleide mense te eniger tyd na die gasheer kan kom en jou vra om enige van jou data te verskaf. En die gasheer sal hulle teruggee as die eis volgens die wet geformaliseer word.
U wil regtig nie hê dat u webbedienerlogboeke of gebruikersdata na iemand anders moet lek nie. Dit is onmoontlik om 'n ideale verdediging te bou. Dit is byna onmoontlik om jouself te beskerm teen 'n gasheer wat die hypervisor besit en jou van 'n virtuele masjien voorsien. Maar miskien sal dit moontlik wees om die risiko's 'n bietjie te verminder. Om huurmotors te enkripteer is nie so nutteloos soos dit met die eerste oogopslag lyk nie. Kom ons kyk terselfdertyd na die bedreigings van data-onttrekking vanaf fisiese bedieners.
Bedreigingsmodel
As 'n reël sal die gasheer probeer om die belange van die kliënt so veel as moontlik deur die wet te beskerm. As die brief van die amptelike owerhede slegs toegangslogboeke versoek het, sal die gasheer nie stortings van al jou virtuele masjiene met databasisse verskaf nie. Dit moet ten minste nie. As hulle vir al die data vra, sal die gasheer die virtuele skywe met al die lêers kopieer en jy sal nie daarvan weet nie.
Ongeag die scenario, jou hoofdoel is om die aanval te moeilik en duur te maak. Daar is gewoonlik drie hoofbedreigingsopsies.
Amptelike
Dikwels word 'n papierbrief aan die amptelike kantoor van die gasheer gestuur met 'n vereiste om die nodige data in ooreenstemming met die betrokke regulasie te verskaf. As alles korrek gedoen word, verskaf die gasheer die nodige toegangslogboeke en ander data aan die amptelike owerhede. Gewoonlik vra hulle jou net om die nodige data te stuur.
Soms, indien absoluut nodig, kom verteenwoordigers van wetstoepassingsagentskappe persoonlik na die datasentrum. Byvoorbeeld, wanneer jy jou eie toegewyde bediener het en data van daar af kan slegs fisies geneem word.
In alle lande vereis die verkryging van toegang tot private eiendom, deursoekings en ander aktiwiteite bewyse dat die data belangrike inligting vir die ondersoek van 'n misdaad kan bevat. Daarbenewens word 'n deursoekingslasbrief wat ooreenkomstig alle regulasies uitgevoer word, vereis. Daar kan nuanses wees wat verband hou met die eienaardighede van plaaslike wetgewing. Die belangrikste ding wat u moet verstaan, is dat as die amptelike pad korrek is, die datasentrumverteenwoordigers niemand by die ingang sal laat verbygaan nie.
Boonop kan jy in die meeste lande nie net hardlooptoerusting uittrek nie. Byvoorbeeld, in Rusland, tot die einde van 2018, volgens artikel 183 van die Strafproseswet van die Russiese Federasie, deel 3.1, is gewaarborg dat tydens 'n beslaglegging die beslaglegging op elektroniese stoormedia uitgevoer is met die deelname van 'n spesialis. Op versoek van die wettige eienaar van die elektroniese stoormedia waarop beslag gelê is of die eienaar van die inligting daarop vervat, kopieer die spesialis wat aan die beslaglegging deelneem, in die teenwoordigheid van getuies, inligting van die elektroniese stoormedia waarop beslag gelê is, na ander elektroniese stoormedia.
Toe is hierdie punt ongelukkig uit die artikel verwyder.
Geheim en nie-amptelik
Dit is reeds die aktiwiteitsgebied van spesiaal opgeleide kamerade van die NSA, FBI, MI5 en ander drieletterorganisasies. Meestal bied die wetgewing van lande uiters wye magte vir sulke strukture. Daarbenewens is daar byna altyd 'n wetgewende verbod op enige direkte of indirekte openbaarmaking van die feit van samewerking met sulke wetstoepassingsagentskappe. Daar is soortgelyke in Rusland .
In die geval van so 'n bedreiging vir jou data, sal hulle byna seker uitgehaal word. Benewens eenvoudige beslaglegging, kan die hele nie-amptelike arsenaal van agterdeure, nul-dag kwesbaarhede, data-onttrekking uit die RAM van jou virtuele masjien en ander vreugdes gebruik word. In hierdie geval sal die gasheer verplig wees om wetstoepassingspesialiste sover moontlik by te staan.
Gewetenlose werknemer
Nie alle mense is ewe goed nie. Een van die datasentrumadministrateurs kan besluit om ekstra geld te maak en jou data te verkoop. Verdere ontwikkelings hang af van sy magte en toegang. Die mees irriterende ding is dat 'n administrateur met toegang tot die virtualiseringskonsole volledige beheer oor jou masjiene het. Jy kan altyd 'n momentopname saam met al die inhoud van die RAM neem en dit dan stadig bestudeer.
VDS
So jy het 'n virtuele masjien wat die gasheer vir jou gegee het. Hoe kan u enkripsie implementeer om uself te beskerm? Trouens, feitlik niks. Boonop kan selfs iemand anders se toegewyde bediener uiteindelik 'n virtuele masjien wees waarin die nodige toestelle geplaas word.
As die taak van die afgeleë stelsel nie net is om data te stoor nie, maar om 'n paar berekeninge uit te voer, dan is die enigste opsie om met 'n onbetroubare masjien te werk om te implementeer . In hierdie geval sal die stelsel berekeninge uitvoer sonder die vermoë om te verstaan wat dit presies doen. Ongelukkig is die oorhoofse koste vir die implementering van sulke enkripsie so hoog dat die praktiese gebruik daarvan tans beperk is tot baie eng take.
Boonop is alle geënkripteerde volumes in 'n toeganklike toestand op die oomblik wanneer die virtuele masjien loop en sommige aksies uitvoer, anders sal die bedryfstelsel eenvoudig nie daarmee kan werk nie. Dit beteken dat u, met toegang tot die virtualisasiekonsole, altyd 'n momentopname van 'n lopende masjien kan neem en al die sleutels uit die RAM kan onttrek.
Baie verskaffers het probeer om hardeware-enkripsie van RAM te organiseer sodat selfs die gasheer nie toegang tot hierdie data het nie. Byvoorbeeld, Intel Software Guard Extensions-tegnologie, wat areas in die virtuele adresruimte organiseer wat beskerm word teen lees en skryf van buite hierdie area deur ander prosesse, insluitend die bedryfstelselkern. Ongelukkig sal jy nie hierdie tegnologieë ten volle kan vertrou nie, aangesien jy beperk sal wees tot jou virtuele masjien. Daarby bestaan reeds klaargemaakte voorbeelde vir hierdie tegnologie. Tog is die enkripteer van virtuele masjiene nie so nutteloos as wat dit mag lyk nie.
Ons enkripteer data op VDS
Laat ek dadelik 'n voorbehoud maak dat alles wat ons hieronder doen nie neerkom op volwaardige beskerming nie. Die hypervisor sal jou toelaat om die nodige kopieë te maak sonder om die diens te stop en sonder dat jy dit agterkom.
- As die gasheer op versoek 'n "koue" beeld van jou virtuele masjien oordra, dan is jy relatief veilig. Dit is die mees algemene scenario.
- As die gasheer vir jou 'n volledige momentopname gee van 'n lopende masjien, dan is alles redelik sleg. Alle data sal in duidelike vorm in die stelsel gemonteer word. Daarbenewens sal dit moontlik wees om deur RAM te vroetel op soek na private sleutels en soortgelyke data.
By verstek, as u die bedryfstelsel vanaf 'n vanielje-beeld ontplooi het, het die gasheer nie worteltoegang nie. U kan altyd die media met die reddingsprent monteer en die wortelwagwoord verander deur die virtuele masjienomgewing te chroot. Maar dit sal 'n herlaai vereis, wat opgemerk sal word. Boonop sal alle gemonteerde geënkripteerde partisies gesluit word.
As die ontplooiing van 'n virtuele masjien egter nie van 'n vanielje-beeld kom nie, maar van 'n vooraf-voorbereide een, dan kan die gasheer dikwels 'n bevoorregte rekening byvoeg om te help in 'n noodsituasie by die kliënt. Byvoorbeeld, om 'n vergete root wagwoord te verander.
Selfs in die geval van 'n volledige momentopname is alles nie so hartseer nie. 'n Aanvaller sal nie geënkripteerde lêers ontvang as jy dit vanaf die afgeleë lêerstelsel van 'n ander masjien gemonteer het nie. Ja, in teorie kan u die RAM-storting kies en die enkripsiesleutels daarvandaan onttrek. Maar in die praktyk is dit nie baie triviaal nie en dit is baie onwaarskynlik dat die proses verder gaan as eenvoudige lêeroordrag.
Bestel 'n motor
Vir ons toetsdoeleindes neem ons 'n eenvoudige masjien in . Ons het nie baie hulpbronne nodig nie, so ons sal die opsie neem om te betaal vir die megahertz en verkeer wat werklik spandeer word. Net genoeg om mee rond te speel.
Die klassieke dm-kript vir die hele partisie het nie opgestyg nie. By verstek word die skyf in een stuk gegee, met wortel vir die hele partisie. Om 'n ext4-partisie op 'n wortel-gemonteerde een te krimp, is feitlik 'n gewaarborgde baksteen in plaas van 'n lêerstelsel. Ek het probeer) Die tamboeryn het nie gehelp nie.
Skep 'n kripto-houer
Daarom sal ons nie die hele partisie enkripteer nie, maar sal lêer kripto-houers gebruik, naamlik geouditeerde en betroubare VeraCrypt. Vir ons doeleindes is dit voldoende. Eerstens trek ons die pakket uit en installeer dit met die CLI-weergawe vanaf die amptelike webwerf. Jy kan die handtekening terselfdertyd nagaan.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Nou sal ons die houer self iewers in ons huis skep sodat ons dit met die hand kan monteer wanneer ons herlaai. Stel die houergrootte, wagwoord en enkripsiealgoritmes in die interaktiewe opsie. Jy kan die patriotiese syfer Grasshopper en die Stribog-hash-funksie kies.
veracrypt -t -c ~/my_super_secretKom ons installeer nou nginx, monteer die houer en vul dit met geheime inligting.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngKom ons maak /var/www/html/index.nginx-debian.html effens reg om die verlangde bladsy te kry en jy kan dit nagaan.
Koppel en kontroleer
Die houer is gemonteer, die data is toeganklik en gestuur.
En hier is die masjien na herlaai. Die data word veilig gestoor in ~/my_super_secret.
As jy dit regtig nodig het en dit hardcore wil hê, kan jy die hele bedryfstelsel enkripteer sodat wanneer jy herlaai dit vereis dat jy via ssh verbind en 'n wagwoord invoer. Dit sal ook voldoende wees in die scenario om bloot "koue data" te onttrek. Hier en afgeleë skyf-enkripsie. Alhoewel dit in die geval van VDS moeilik en oorbodig is.
Rou metaal
Dit is nie so maklik om jou eie bediener in 'n datasentrum te installeer nie. Iemand anders se toegewyde kan blyk 'n virtuele masjien te wees waarin alle toestelle oorgedra word. Maar iets interessants in terme van beskerming begin wanneer jy die geleentheid het om jou betroubare fisiese bediener in 'n datasentrum te plaas. Hier kan jy reeds tradisionele dm-crypt, VeraCrypt of enige ander enkripsie van jou keuse ten volle gebruik.
U moet verstaan dat as totale enkripsie geïmplementeer word, die bediener nie op sy eie sal kan herstel na 'n herlaai nie. Dit sal nodig wees om die verbinding met die plaaslike IP-KVM, IPMI of ander soortgelyke koppelvlak te verhoog. Daarna voer ons die hoofsleutel handmatig in. Die skema lyk so-so in terme van kontinuïteit en fouttoleransie, maar daar is geen spesiale alternatiewe as die data so waardevol is nie.
NCipher nShield F3 Hardeware sekuriteitsmodule
'n Sagter opsie veronderstel dat die data geïnkripteer is en die sleutel is direk op die bediener self geleë in 'n spesiale HSM (Hardware Security Module). As 'n reël is dit baie funksionele toestelle wat nie net hardeware-kriptografie verskaf nie, maar ook meganismes het om fisiese inbraakpogings op te spoor. As iemand jou bediener met 'n hoekslyper begin rondkyk, sal die HSM met 'n onafhanklike kragtoevoer die sleutels wat dit in sy geheue stoor, terugstel. Die aanvaller sal die geënkripteerde maalvleis kry. In hierdie geval kan die herlaai outomaties plaasvind.
Die verwydering van sleutels is 'n baie vinniger en meer menslike opsie as om 'n termietbom of elektromagnetiese arrester te aktiveer. Vir sulke toestelle sal jy baie lank deur jou bure by die rek in die datasentrum geslaan word. Verder, in die geval van die gebruik enkripsie op die media self, ervaar jy feitlik geen oorhoofse koste nie. Dit alles gebeur deursigtig vir die bedryfstelsel. Dit is waar, in hierdie geval moet jy die voorwaardelike Samsung vertrou en hoop dat dit eerlike AES256 het, en nie die banale XOR nie.
Terselfdertyd moet ons nie vergeet dat alle onnodige hawens fisies gedeaktiveer moet word of bloot met verbinding gevul moet word nie. Andersins gee jy aanvallers die geleentheid om uit te voer . As jy PCI Express of Thunderbolt het wat uitsteek, insluitend USB met sy ondersteuning, is jy kwesbaar. 'n Aanvaller sal 'n aanval deur hierdie poorte kan uitvoer en direkte toegang tot geheue met sleutels verkry.
In 'n baie gesofistikeerde weergawe sal die aanvaller 'n koue-stewel-aanval kan uitvoer. Terselfdertyd gooi dit eenvoudig 'n goeie porsie vloeibare stikstof in jou bediener, verwyder rofweg die bevrore geheuestokkies en vat 'n storting daarvan met al die sleutels. Dikwels is 'n gereelde verkoelingsbespuiting en 'n temperatuur van ongeveer -50 grade genoeg om 'n aanval uit te voer. Daar is ook 'n meer akkurate opsie. As jy nie die laai van eksterne toestelle gedeaktiveer het nie, sal die aanvaller se algoritme selfs eenvoudiger wees:
- Vries geheuestokkies sonder om die houer oop te maak
- Koppel jou selflaaibare USB-flash drive
- Gebruik spesiale nutsprogramme om data uit RAM te verwyder wat die herlaai oorleef het as gevolg van vries.
Verdeel en oorwin
Ok, ons het net virtuele masjiene, maar ek wil graag die risiko's van datalekkasie op een of ander manier verminder.
Jy kan in beginsel probeer om die argitektuur te hersien en databerging en verwerking oor verskillende jurisdiksies te versprei. Byvoorbeeld, die frontend met enkripsiesleutels is van die gasheer in die Tsjeggiese Republiek, en die backend met geënkripteerde data is iewers in Rusland. In die geval van 'n standaard-beslagleggingspoging is dit uiters onwaarskynlik dat wetstoepassingsagentskappe dit gelyktydig in verskillende jurisdiksies sal kan uitvoer. Boonop verseker dit ons gedeeltelik teen die scenario om 'n momentopname te neem.
Wel, of jy kan 'n heeltemal suiwer opsie oorweeg - End-to-End-enkripsie. Dit gaan natuurlik buite die omvang van die spesifikasie en impliseer nie dat berekeninge aan die kant van die afgeleë masjien uitgevoer word nie. Dit is egter 'n heeltemal aanvaarbare opsie wanneer dit kom by die berging en sinchronisering van data. Dit is byvoorbeeld baie gerieflik in Nextcloud geïmplementeer. Terselfdertyd sal sinchronisasie, weergawe en ander goedere aan die bediener nie verdwyn nie.
In totaal
Daar is geen volkome veilige stelsels nie. Die doel is bloot om die aanval meer werd te maak as die potensiële wins.
Sommige vermindering in die risiko's van toegang tot data op 'n virtuele webwerf kan bereik word deur enkripsie en aparte berging met verskillende gashere te kombineer.
'n Min of meer betroubare opsie is om jou eie hardeware-bediener te gebruik.
Maar die gasheer sal steeds op een of ander manier vertrou moet word. Die hele bedryf berus hierop.
Bron: will.com