kdpv - Reuters
Bir server icarəyə götürsəniz, ona tam nəzarət edə bilməzsiniz. Bu o deməkdir ki, istənilən vaxt xüsusi təlim keçmiş insanlar hosterə gəlib sizdən məlumatlarınızı təqdim etməyinizi xahiş edə bilərlər. Və tələb qanuna uyğun olaraq rəsmiləşdirilərsə, ev sahibi onları geri verəcək.
Veb server qeydlərinizin və ya istifadəçi məlumatlarınızın başqasına sızmasını həqiqətən istəmirsiniz. İdeal müdafiə qurmaq mümkün deyil. Hipervizora sahib olan və sizi virtual maşınla təmin edən hosterdən özünüzü qorumaq demək olar ki, mümkün deyil. Amma bəlkə də riskləri bir az da azaltmaq mümkün olacaq. İcarəyə götürülmüş avtomobilləri şifrələmək ilk baxışdan göründüyü qədər faydasız deyil. Eyni zamanda, fiziki serverlərdən məlumatların çıxarılması təhlükələrinə baxaq.
Təhdid modeli
Bir qayda olaraq, ev sahibi qanunla mümkün qədər müştərinin maraqlarını qorumağa çalışacaq. Rəsmi orqanlardan gələn məktub yalnız giriş qeydlərini tələb edirsə, hoster verilənlər bazası olan bütün virtual maşınlarınızın zibillərini təmin etməyəcək. Heç olmasa belə olmamalıdır. Əgər onlar bütün məlumatları istəsələr, hoster virtual diskləri bütün fayllarla birlikdə kopyalayacaq və siz bu barədə bilməyəcəksiniz.
Ssenaridən asılı olmayaraq, əsas məqsədiniz hücumu çox çətin və bahalı etməkdir. Adətən üç əsas təhlükə variantı var.
Rəsmi
Çox vaxt ev sahibinin rəsmi ofisinə müvafiq qaydaya uyğun olaraq lazımi məlumatları təqdim etmək tələbi ilə kağız məktub göndərilir. Hər şey düzgün aparılırsa, hoster rəsmi orqanlara lazımi giriş qeydlərini və digər məlumatları təqdim edir. Adətən sizdən lazımi məlumatları göndərməyi xahiş edirlər.
Bəzən çox zərurət yarandıqda hüquq-mühafizə orqanlarının nümayəndələri məlumat mərkəzinə şəxsən gəlirlər. Məsələn, öz xüsusi serveriniz olduqda və oradan məlumatlar yalnız fiziki olaraq götürülə bilər.
Bütün ölkələrdə şəxsi mülkiyyətə çıxış əldə etmək, axtarışlar aparmaq və digər fəaliyyətlər məlumatların cinayətin araşdırılması üçün vacib məlumatların ola biləcəyinə dair sübut tələb edir. Bundan əlavə, bütün qaydalara uyğun olaraq həyata keçirilən axtarış əmri tələb olunur. Yerli qanunvericiliyin xüsusiyyətləri ilə bağlı nüanslar ola bilər. Başa düşməli olduğunuz əsas şey odur ki, rəsmi yol düzgündürsə, data mərkəzinin nümayəndələri heç kimi girişdən ötrü buraxmayacaqlar.
Üstəlik, əksər ölkələrdə siz sadəcə işləyən avadanlıqları çıxara bilməzsiniz. Məsələn, Rusiyada 2018-ci ilin sonuna qədər Rusiya Federasiyasının Cinayət Prosessual Məcəlləsinin 183-cü maddəsinin 3.1-ci hissəsinə əsasən, götürmə zamanı elektron yaddaş daşıyıcılarının ələ keçirilməsinin iştirakı ilə həyata keçirildiyinə zəmanət verildi. mütəxəssisin. Tutulmuş elektron yaddaş daşıyıcısının qanuni sahibinin və ya onlarda olan məlumatların sahibinin tələbi ilə götürmədə iştirak edən mütəxəssis hal şahidlərinin iştirakı ilə götürülmüş elektron yaddaş daşıyıcısından məlumatları digər elektron daşıyıcıya köçürür.
Sonra təəssüf ki, bu məqam məqalədən çıxarıldı.
Gizli və qeyri-rəsmi
Bu, artıq NSA, FBI, MI5 və digər üç hərfli təşkilatlardan olan xüsusi təlim keçmiş yoldaşların fəaliyyət sahəsidir. Çox vaxt ölkələrin qanunvericiliyi bu cür strukturlara son dərəcə geniş səlahiyyətlər verir. Üstəlik, demək olar ki, həmişə bu cür hüquq-mühafizə orqanları ilə əməkdaşlıq faktının birbaşa və ya dolayı şəkildə açıqlanmasına qanunvericilik qadağası var. Rusiyada da belələri var .
Məlumatlarınız üçün belə bir təhlükə yaranarsa, onlar demək olar ki, çıxarılacaq. Üstəlik, sadə ələ keçirməyə əlavə olaraq, arxa qapıların bütün qeyri-rəsmi arsenalı, sıfır gün zəiflikləri, virtual maşınınızın RAM-dan məlumat çıxarılması və digər sevinclərdən istifadə edilə bilər. Bu halda ev sahibi hüquq-mühafizə orqanlarının mütəxəssislərinə mümkün qədər kömək etməyə borclu olacaq.
Vicdansız işçi
Bütün insanlar eyni dərəcədə yaxşı deyil. Məlumat mərkəzi administratorlarından biri əlavə pul qazanmaq və məlumatlarınızı satmaq qərarına gələ bilər. Gələcək inkişaflar onun səlahiyyətlərindən və imkanlarından asılıdır. Ən bezdiricisi odur ki, virtuallaşdırma konsoluna çıxışı olan bir idarəçi maşınlarınız üzərində tam nəzarətə malikdir. Siz həmişə RAM-in bütün məzmunu ilə birlikdə bir şəkil çəkə və sonra yavaş-yavaş öyrənə bilərsiniz.
VDS
Beləliklə, hosterin sizə verdiyi virtual maşınınız var. Özünüzü qorumaq üçün şifrələməni necə həyata keçirə bilərsiniz? Əslində, praktiki olaraq heç bir şey. Üstəlik, hətta başqasının xüsusi serveri də lazımi cihazların daxil edildiyi virtual maşın ola bilər.
Uzaq sistemin vəzifəsi yalnız məlumatları saxlamaq deyil, bəzi hesablamalar aparmaqdırsa, etibarsız bir maşınla işləmək üçün yeganə seçim həyata keçirmək olardı. . Bu halda, sistem dəqiq nə etdiyini başa düşmək imkanı olmadan hesablamalar aparacaq. Təəssüf ki, belə şifrələmənin həyata keçirilməsi üçün əlavə xərclər o qədər yüksəkdir ki, onların praktiki istifadəsi hazırda çox dar tapşırıqlarla məhdudlaşır.
Üstəlik, virtual maşının işlədiyi və bəzi hərəkətləri yerinə yetirdiyi anda bütün şifrələnmiş həcmlər əlçatan vəziyyətdədir, əks halda OS sadəcə onlarla işləyə bilməyəcək. Bu o deməkdir ki, virtuallaşdırma konsoluna daxil olmaqla siz həmişə işləyən maşının şəklini çəkə və bütün açarları RAM-dən çıxara bilərsiniz.
Bir çox satıcılar hətta hosterin də bu məlumatlara çıxışı olmaması üçün RAM-ın hardware şifrələməsini təşkil etməyə cəhd etdilər. Məsələn, virtual ünvan məkanında digər proseslər, o cümlədən əməliyyat sisteminin nüvəsi tərəfindən bu sahədən kənardan oxumaq və yazmaqdan qorunan sahələri təşkil edən Intel Software Guard Extensions texnologiyası. Təəssüf ki, bu texnologiyalara tam etibar edə bilməyəcəksiniz, çünki virtual maşınınızla məhdudlaşacaqsınız. Bundan əlavə, hazır nümunələr artıq mövcuddur bu texnologiya üçün. Yenə də virtual maşınları şifrələmək göründüyü qədər mənasız deyil.
Biz VDS-də məlumatları şifrələyirik
İcazə verin, dərhal qeyd edim ki, aşağıda gördüyümüz hər şey tam hüquqlu müdafiəyə bərabər deyil. Hipervisor sizə xidməti dayandırmadan və sizə xəbər vermədən lazımi surətləri çıxarmağa imkan verəcək.
- İstəyə görə hoster virtual maşınınızın "soyuq" şəklini köçürürsə, siz nisbətən təhlükəsizsiniz. Bu ən çox yayılmış ssenaridir.
- Ev sahibi işləyən maşının tam şəklini verirsə, hər şey olduqca pisdir. Bütün məlumatlar sistemə aydın formada quraşdırılacaq. Bundan əlavə, şəxsi açarlar və oxşar məlumatların axtarışı üçün RAM-da dolaşmaq mümkün olacaq.
Varsayılan olaraq, ƏS-ni vanil görüntüsündən yerləşdirmisinizsə, hosterin kök girişi yoxdur. Siz həmişə medianı xilasetmə şəkli ilə quraşdıra və virtual maşın mühitini chroot edərək kök parolunu dəyişə bilərsiniz. Ancaq bunun üçün yenidən başlama tələb olunacaq, bu nəzərə alınacaq. Üstəlik, bütün quraşdırılmış şifrələnmiş arakəsmələr bağlanacaq.
Bununla belə, virtual maşının yerləşdirilməsi vanil görüntüsündən deyil, əvvəlcədən hazırlanmış birindən gəlirsə, o zaman hoster tez-tez müştəridə fövqəladə vəziyyətdə kömək etmək üçün imtiyazlı hesab əlavə edə bilər. Məsələn, unudulmuş kök parolunu dəyişdirmək üçün.
Tam snapshot vəziyyətində belə, hər şey o qədər də kədərli deyil. Əgər siz onları başqa bir maşının uzaq fayl sistemindən quraşdırsanız, təcavüzkar şifrələnmiş faylları qəbul etməyəcək. Bəli, nəzəri olaraq, siz RAM zibilini seçə və şifrələmə açarlarını oradan çıxara bilərsiniz. Ancaq praktikada bu çox əhəmiyyətsiz deyil və prosesin sadə fayl ötürülməsindən kənara çıxması ehtimalı çox azdır.
Avtomobil sifariş edin
Test məqsədlərimiz üçün sadə bir maşın götürürük . Bizə çoxlu resurs lazım deyil, ona görə də biz megahertz və faktiki xərclənən trafik üçün ödəniş etmək variantını seçəcəyik. Sadəcə onunla oynamaq kifayətdir.
Bütün bölmə üçün klassik dm-crypt işə düşmədi. Varsayılan olaraq, disk bütün bölmə üçün kök ilə bir hissədə verilir. Kökə quraşdırılmış bölmədə ext4 bölməsinin kiçilməsi fayl sistemi əvəzinə praktiki olaraq zəmanətli bir kərpicdir. Çalışdım) Qaf kömək etmədi.
Kripto konteynerinin yaradılması
Buna görə də, biz bütün bölməni şifrələməyəcəyik, lakin fayl kripto konteynerlərindən, yəni yoxlanılmış və etibarlı VeraCrypt-dən istifadə edəcəyik. Bizim məqsədlərimiz üçün bu kifayətdir. Əvvəlcə rəsmi veb saytından CLI versiyası ilə paketi çıxarırıq və quraşdırırıq. Eyni zamanda imzanı yoxlaya bilərsiniz.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
İndi biz konteynerin özünü evimizin bir yerində yaradacağıq ki, onu yenidən başladıqdan sonra əl ilə quraşdıra bilək. İnteraktiv seçimdə konteyner ölçüsünü, parolu və şifrələmə alqoritmlərini təyin edin. Siz vətənpərvər şifrələmə Grasshopper və Stribog hash funksiyasını seçə bilərsiniz.
veracrypt -t -c ~/my_super_secretİndi nginx quraşdıraq, konteyneri quraşdıraq və gizli məlumatlarla dolduraq.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngİstədiyiniz səhifəni əldə etmək üçün /var/www/html/index.nginx-debian.html-i bir az düzəldək və siz yoxlaya bilərsiniz.
Qoşun və yoxlayın
Konteyner quraşdırılıb, məlumatlar əldə edilir və göndərilir.
Və yenidən başladıqdan sonra maşın budur. Məlumat ~/my_super_secret-də təhlükəsiz şəkildə saxlanılır.
Əgər ona həqiqətən ehtiyacınız varsa və onun sərt olmasını istəyirsinizsə, onda siz bütün OS-ni şifrələyə bilərsiniz ki, yenidən başlatdığınız zaman ssh vasitəsilə qoşulub parol daxil etməyi tələb etsin. Bu, sadəcə olaraq “soyuq məlumatların” çıxarılması ssenarisində də kifayət edəcəkdir. Burada və uzaq disk şifrələməsi. Baxmayaraq ki, VDS vəziyyətində çətin və lazımsızdır.
Çılpaq metal
Məlumat mərkəzində öz serverinizi quraşdırmaq o qədər də asan deyil. Başqasının həsr etdiyi bütün cihazların ötürüldüyü virtual maşın ola bilər. Ancaq etibarlı fiziki serverinizi məlumat mərkəzində yerləşdirmək imkanınız olduqda qorunma baxımından maraqlı bir şey başlayır. Burada siz artıq ənənəvi dm-crypt, VeraCrypt və ya seçdiyiniz hər hansı digər şifrələmədən tam istifadə edə bilərsiniz.
Siz başa düşməlisiniz ki, tam şifrələmə həyata keçirilərsə, server yenidən başladıqdan sonra öz-özünə bərpa oluna bilməyəcək. Yerli IP-KVM, IPMI və ya digər oxşar interfeyslə əlaqəni artırmaq lazımdır. Bundan sonra master düyməsini əl ilə daxil edirik. Sxem davamlılıq və nasazlıqlara dözümlülük baxımından belə görünür, lakin məlumat bu qədər dəyərlidirsə, heç bir xüsusi alternativ yoxdur.
NCipher nShield F3 Hardware Təhlükəsizlik Modulu
Daha yumşaq seçim məlumatların şifrələndiyini və açarın birbaşa serverin özündə xüsusi HSM-də (Təchizat Təhlükəsizliyi Modulu) yerləşdiyini nəzərdə tutur. Bir qayda olaraq, bunlar yalnız hardware kriptoqrafiyasını təmin etmir, həm də fiziki hack cəhdlərini aşkar etmək üçün mexanizmlərə malik olan çox funksional cihazlardır. Əgər kimsə serverinizi bucaq dəyirmanı ilə ovmağa başlasa, müstəqil enerji təchizatı ilə HSM yaddaşında saxladığı düymələri sıfırlayacaq. Təcavüzkar şifrələnmiş qiymə ətini alacaq. Bu halda, yenidən yükləmə avtomatik olaraq baş verə bilər.
Açarların çıxarılması termit bombası və ya elektromaqnit tənzimləyicisini işə salmaqdan daha sürətli və daha humanist seçimdir. Bu cür cihazlar üçün məlumat mərkəzindəki rafda qonşularınız tərəfindən çox uzun müddət döyüləcəksiniz. Üstəlik, istifadə vəziyyətində medianın özündə şifrələmə, siz faktiki olaraq heç bir yüklə qarşılaşmayacaqsınız. Bütün bunlar OS üçün şəffaf şəkildə baş verir. Düzdür, bu vəziyyətdə şərti Samsung-a etibar etməli və onun banal XOR deyil, vicdanlı AES256-ya sahib olduğuna ümid etməlisiniz.
Eyni zamanda, unutmamalıyıq ki, bütün lazımsız portlar fiziki olaraq söndürülməlidir və ya sadəcə birləşmə ilə doldurulmalıdır. Əks təqdirdə, təcavüzkarlara həyata keçirmək imkanı verirsiniz . Əgər sizdə PCI Express və ya Thunderbolt, o cümlədən dəstəyi ilə USB varsa, siz həssassınız. Təcavüzkar bu portlar vasitəsilə hücum həyata keçirə və açarlarla yaddaşa birbaşa çıxış əldə edə biləcək.
Çox mürəkkəb versiyada təcavüzkar soyuq yükləmə hücumu həyata keçirə biləcək. Eyni zamanda, o, sadəcə olaraq serverinizə maye azotun yaxşı bir hissəsini tökür, təxminən dondurulmuş yaddaş çubuqlarını çıxarır və bütün düymələri ilə onlardan bir zibil götürür. Tez-tez adi bir soyutma spreyi və təxminən -50 dərəcə bir temperatur hücumu həyata keçirmək üçün kifayətdir. Daha dəqiq bir seçim də var. Xarici cihazlardan yükləməni söndürməmisinizsə, təcavüzkarın alqoritmi daha da sadə olacaq:
- Kassanı açmadan yaddaş çubuqlarını dondurun
- Yüklənə bilən USB flash sürücünüzü birləşdirin
- Donma səbəbiylə yenidən başladıqdan sonra RAM-dan məlumatları silmək üçün xüsusi yardım proqramlarından istifadə edin.
Bölün və fəth edin
Yaxşı, bizdə yalnız virtual maşınlar var, amma mən birtəhər məlumat sızması risklərini azaltmaq istərdim.
Siz, prinsipcə, arxitekturaya yenidən baxmağa və məlumatların saxlanması və işlənməsini müxtəlif yurisdiksiyalara yaymağa cəhd edə bilərsiniz. Məsələn, şifrələmə açarları olan frontend Çexiyadakı hosterdəndir və şifrələnmiş məlumatların olduğu backend Rusiyanın bir yerindədir. Standart ələ keçirmə cəhdi halında, hüquq-mühafizə orqanlarının bunu müxtəlif yurisdiksiyalarda eyni vaxtda həyata keçirə bilməsi ehtimalı çox azdır. Üstəlik, bu, bizi şəkil çəkmə ssenarisinə qarşı qismən sığortalayır.
Yaxşı, ya da tamamilə təmiz bir variantı nəzərdən keçirə bilərsiniz - End-to-End şifrələmə. Əlbəttə ki, bu, spesifikasiyanın əhatə dairəsindən kənara çıxır və uzaq maşının tərəfində hesablamaların aparılmasını nəzərdə tutmur. Bununla belə, məlumatların saxlanması və sinxronlaşdırılmasına gəldikdə, bu mükəmməl məqbul seçimdir. Məsələn, bu, Nextcloud-da çox rahat şəkildə həyata keçirilir. Eyni zamanda, sinxronizasiya, versiya və digər server tərəfi yaxşılıqlar getməyəcək.
Ümumi
Mükəmməl təhlükəsiz sistemlər yoxdur. Məqsəd sadəcə olaraq hücumu potensial qazancdan daha dəyərli etməkdir.
Şifrələmə və ayrı yaddaşı müxtəlif hosterlərlə birləşdirməklə virtual saytdakı məlumatlara daxil olmaq risklərinin müəyyən qədər azalmasına nail olmaq olar.
Daha çox və ya daha az etibarlı bir seçim, öz hardware serverinizdən istifadə etməkdir.
Ancaq ev sahibi hələ də bu və ya digər şəkildə etibar edilməli olacaq. Bütün sənaye buna əsaslanır.
Mənbə: www.habr.com