kdpv - Reuters
Kung nag-abang ka usa ka server, nan wala ka hingpit nga kontrol niini. Kini nagpasabut nga sa bisan unsang oras nga espesyal nga nabansay nga mga tawo mahimong moadto sa hoster ug hangyoon ka sa paghatag sa bisan unsa sa imong datos. Ug ang hoster mohatag kanila og balik kung ang panginahanglan maporma sumala sa balaod.
Dili gyud nimo gusto nga ang imong mga log sa web server o data sa gumagamit nga ma-leak sa bisan kinsa. Imposible nga magtukod usa ka sulundon nga depensa. Hapit imposible nga mapanalipdan ang imong kaugalingon gikan sa usa ka host nga tag-iya sa hypervisor ug naghatag kanimo usa ka virtual nga makina. Apan tingali posible nga makunhuran gamay ang mga risgo. Ang pag-encrypt sa mga sakyanan sa pag-abang dili ingon ka walay kapuslanan sama sa una nga pagtan-aw. Sa samang higayon, atong tan-awon ang mga hulga sa data extraction gikan sa pisikal nga mga server.
Modelo sa hulga
Ingon sa usa ka lagda, ang hoster mosulay sa pagpanalipod sa interes sa kliyente kutob sa mahimo pinaagi sa balaod. Kung ang sulat gikan sa opisyal nga mga awtoridad nangayo lamang og mga log sa pag-access, ang host dili maghatag mga dump sa tanan nimo nga virtual machine nga adunay mga database. Sa labing gamay dili kini kinahanglan. Kung mangayo sila sa tanan nga datos, kopyahon sa host ang mga virtual disk sa tanan nga mga file ug dili nimo mahibal-an ang bahin niini.
Bisan unsa pa ang senaryo, ang imong panguna nga katuyoan mao ang paghimo sa pag-atake nga lisud kaayo ug mahal. Adunay kasagaran nga tulo ka nag-unang mga kapilian sa hulga.
Opisyal
Kasagaran, ang usa ka papel nga sulat gipadala sa opisyal nga opisina sa host nga adunay kinahanglanon nga mahatagan ang kinahanglan nga datos uyon sa may kalabutan nga regulasyon. Kung ang tanan nahimo sa husto, ang host naghatag sa gikinahanglan nga mga log sa pag-access ug uban pang datos sa opisyal nga mga awtoridad. Kasagaran gihangyo ka lang nila nga ipadala ang kinahanglan nga datos.
Usahay, kung kinahanglan gyud, ang mga representante sa mga ahensya nga nagpatuman sa balaod personal nga moadto sa sentro sa datos. Pananglitan, kung ikaw adunay imong kaugalingon nga dedikado nga server ug ang datos gikan didto mahimo ra makuha sa pisikal.
Sa tanan nga mga nasud, ang pag-angkon og access sa pribado nga kabtangan, pagpahigayon sa pagpangita ug uban pang mga kalihokan nanginahanglan ebidensya nga ang datos mahimong adunay hinungdanon nga kasayuran alang sa imbestigasyon sa usa ka krimen. Dugang pa, gikinahanglan ang search warrant nga gipatuman subay sa tanang regulasyon. Mahimong adunay mga nuances nga may kalabutan sa mga peculiarities sa lokal nga lehislasyon. Ang nag-unang butang nga kinahanglan nimong masabtan mao nga kung ang opisyal nga agianan husto, ang mga representante sa data center dili motugot sa bisan kinsa nga makaagi sa entrada.
Dugang pa, sa kadaghanan nga mga nasud dili nimo mahimo nga makuha ang nagdagan nga kagamitan. Pananglitan, sa Russia, hangtod sa katapusan sa 2018, sumala sa Artikulo 183 sa Code of Criminal Procedure sa Russian Federation, bahin 3.1, gigarantiyahan nga sa panahon sa usa ka pag-agaw, ang pag-agaw sa electronic storage media gihimo uban ang partisipasyon. sa usa ka espesyalista. Sa hangyo sa legal nga tag-iya sa nasakmit nga electronic storage media o sa tag-iya sa impormasyon nga anaa kanila, ang espesyalista nga miapil sa pagsakmit, sa atubangan sa mga saksi, kopya sa impormasyon gikan sa nasakmit electronic storage media ngadto sa uban nga electronic storage media.
Unya, ikasubo, kini nga punto gikuha gikan sa artikulo.
Sekreto ug dili opisyal
Kini na ang teritoryo sa kalihokan sa espesyal nga nabansay nga mga kauban gikan sa NSA, FBI, MI5 ug uban pang tulo-ka-sulat nga organisasyon. Kasagaran, ang lehislasyon sa mga nasud naghatag labi ka halapad nga gahum alang sa ingon nga mga istruktura. Dugang pa, hapit kanunay adunay usa ka lehislatibo nga pagdili sa bisan unsang direkta o dili direkta nga pagpadayag sa mismong kamatuoran sa kooperasyon sa ingon nga mga ahensya nga nagpatuman sa balaod. Adunay susama sa Russia .
Kung adunay ingon nga hulga sa imong datos, hapit gyud sila makuha. Dugang pa, dugang sa yano nga pag-agaw, ang tibuuk nga dili opisyal nga arsenal sa mga backdoor, zero-day vulnerabilities, pagkuha sa datos gikan sa RAM sa imong virtual machine, ug uban pang mga kalipayan mahimong magamit. Sa kini nga kaso, ang host obligado nga motabang sa mga espesyalista sa pagpatuman sa balaod kutob sa mahimo.
Empleyado nga walay prinsipyo
Dili tanang tawo parehas nga maayo. Ang usa sa mga tagdumala sa data center mahimong modesisyon nga mokita ug dugang salapi ug ibaligya ang imong datos. Ang dugang nga mga kalamboan nagdepende sa iyang mga gahum ug pag-access. Ang labing makalagot nga butang mao nga ang usa ka administrador nga adunay access sa virtualization console adunay hingpit nga pagkontrol sa imong mga makina. Mahimo nimo kanunay nga makakuha usa ka snapshot kauban ang tanan nga sulud sa RAM ug dayon hinayhinay nga tun-an kini.
VDS
Mao nga ikaw adunay usa ka virtual nga makina nga gihatag kanimo sa host. Unsaon nimo pagpatuman ang encryption aron mapanalipdan ang imong kaugalingon? Sa pagkatinuod, halos wala. Dugang pa, bisan ang gipahinungod nga server sa usa ka tawo mahimo’g mahimong usa ka virtual nga makina diin gisulud ang kinahanglan nga mga aparato.
Kung ang buluhaton sa hilit nga sistema dili lamang sa pagtipig sa datos, apan sa paghimo sa pipila nga mga kalkulasyon, nan ang bugtong kapilian sa pagtrabaho sa usa ka dili kasaligan nga makina mao ang pagpatuman . Sa kini nga kaso, ang sistema maghimo mga kalkulasyon nga wala’y katakus nga masabtan kung unsa gyud ang gibuhat niini. Ikasubo, ang mga gasto sa overhead alang sa pagpatuman sa ingon nga pag-encrypt taas kaayo nga ang ilang praktikal nga paggamit karon limitado sa labi ka pig-ot nga mga buluhaton.
Dugang pa, sa higayon nga ang virtual nga makina nagdagan ug naghimo sa pipila nga mga aksyon, ang tanan nga na-encrypt nga mga volume naa sa usa ka ma-access nga estado, kung dili ang OS dili gyud makatrabaho niini. Kini nagpasabut nga adunay access sa virtualization console, mahimo nimo kanunay nga makuha ang usa ka snapshot sa usa ka nagdagan nga makina ug makuha ang tanan nga mga yawe gikan sa RAM.
Daghang mga vendor ang misulay sa pag-organisar sa hardware encryption sa RAM aron nga bisan ang host walay access niini nga data. Pananglitan, ang teknolohiya sa Intel Software Guard Extensions, nga nag-organisar sa mga lugar sa virtual address space nga giprotektahan gikan sa pagbasa ug pagsulat gikan sa gawas niini nga lugar pinaagi sa ubang mga proseso, lakip ang operating system kernel. Ikasubo, dili ka hingpit nga makasalig niini nga mga teknolohiya, tungod kay limitado ka sa imong virtual machine. Dugang pa, anaa na ang andam nga mga pananglitan alang niini nga teknolohiya. Bisan pa, ang pag-encrypt sa mga virtual nga makina dili ingon ka wala’y kapuslanan ingon nga kini daw.
Gi-encrypt namo ang datos sa VDS
Tugoti ako nga maghimo dayon og reserbasyon nga ang tanan nga atong buhaton sa ubos dili katumbas sa hingpit nga proteksyon. Ang hypervisor magtugot kanimo sa paghimo sa gikinahanglan nga mga kopya nga dili mohunong sa serbisyo ug nga wala nimo namatikdan.
- Kung, sa hangyo, ang host nagbalhin sa usa ka "bugnaw" nga imahe sa imong virtual nga makina, nan ikaw medyo luwas. Kini ang labing komon nga senaryo.
- Kung ang host naghatag usa ka bug-os nga snapshot sa usa ka nagdagan nga makina, nan ang tanan dili maayo. Ang tanan nga datos i-mount sa sistema sa tin-aw nga porma. Dugang pa, posible nga mag-rummage sa RAM sa pagpangita sa mga pribadong yawe ug susama nga datos.
Sa kasagaran, kung imong gi-deploy ang OS gikan sa usa ka vanilla nga imahe, ang hoster walay root access. Mahimo nimo kanunay nga i-mount ang media gamit ang imahe sa pagluwas ug usbon ang root password pinaagi sa pag-chroot sa palibot sa virtual machine. Apan kini magkinahanglan og reboot, nga mamatikdan. Dugang pa, ang tanan nga gi-mount nga naka-encrypt nga mga partisyon pagasirhan.
Bisan pa, kung ang pag-deploy sa usa ka virtual nga makina dili gikan sa usa ka imahe sa banilya, apan gikan sa usa nga giandam nang daan, nan ang host kanunay makadugang usa ka pribilihiyo nga account aron matabangan ang usa ka kahimtang sa emerhensya sa kliyente. Pananglitan, aron usbon ang usa ka nakalimtan nga root password.
Bisan sa kaso sa usa ka kompleto nga snapshot, dili tanan nga makapasubo. Ang usa ka tig-atake dili makadawat sa mga naka-encrypt nga mga file kung imong gi-mount kini gikan sa hilit nga sistema sa file sa laing makina. Oo, sa teorya, mahimo nimong pilion ang dump sa RAM ug makuha ang mga yawe sa pag-encrypt gikan didto. Apan sa praktis kini dili kaayo trivial ug kini mao ang kaayo dili tingali nga ang proseso molapas sa yano nga file transfer.
Pag-order ug awto
Alang sa among mga katuyoan sa pagsulay, nagkuha kami usa ka yano nga makina . Wala kami magkinahanglan og daghang mga kapanguhaan, mao nga among pilion ang pagbayad sa megahertz ug ang trapiko nga aktuwal nga gigasto. Igo lang sa pagdula-dula.
Ang klasiko nga dm-crypt alang sa tibuuk nga partisyon wala mawala. Sa kasagaran, ang disk gihatag sa usa ka piraso, nga adunay gamut alang sa tibuok partisyon. Ang pag-urong sa usa ka ext4 partition sa usa ka root-mounted usa nga halos usa ka garantisadong brick imbes nga usa ka filesystem. Gisulayan nako) Ang tamburin wala makatabang.
Paghimo usa ka sudlanan sa crypto
Busa, dili namo i-encrypt ang tibuok partition, apan gamiton ang file crypto containers, nga mao ang audited ug kasaligan nga VeraCrypt. Alang sa among katuyoan kini igo na. Una, gikuha namon ug gi-install ang package nga adunay bersyon sa CLI gikan sa opisyal nga website. Mahimo nimong susihon ang pirma sa parehas nga oras.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Karon maghimo kami sa sudlanan mismo sa usa ka lugar sa among balay aron mahimo namon kini nga mano-mano sa pag-reboot. Sa interactive nga kapilian, itakda ang gidak-on sa sudlanan, password ug mga algorithm sa pag-encrypt. Mahimo nimong pilion ang patriyotikong cipher Grasshopper ug ang Stribog hash function.
veracrypt -t -c ~/my_super_secretKaron atong i-install ang nginx, i-mount ang sudlanan ug pun-a kini sa sekreto nga impormasyon.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngAtong tul-iron gamay ang /var/www/html/index.nginx-debian.html aron makuha ang gusto nga panid ug mahimo nimo kini susihon.
Sumpaysumpaya ug susiha
Ang sudlanan gi-mount, ang datos ma-access ug ipadala.
Ug ania ang makina pagkahuman sa pag-reboot. Ang datos luwas nga gitipigan sa ~/my_super_secret.
Kung kinahanglan nimo kini ug gusto nimo kini nga hardcore, mahimo nimong i-encrypt ang tibuuk nga OS aron kung mag-reboot ka kinahanglan kini nga magkonektar pinaagi sa ssh ug mosulod sa usa ka password. Igo na usab kini sa senaryo sa yanong pag-withdraw sa "cold data". Dinhi ug remote disk encryption. Bisan kung sa kaso sa VDS kini lisud ug sobra.
Hubad nga metal
Dili kaayo sayon ang pag-instalar sa imong kaugalingong server sa usa ka data center. Ang gipahinungod sa uban mahimong usa ka virtual nga makina diin ang tanan nga mga aparato gibalhin. Apan usa ka butang nga makapaikag sa mga termino sa pagpanalipod magsugod kung adunay ka higayon nga ibutang ang imong kasaligan nga pisikal nga server sa usa ka sentro sa datos. Dinhi mahimo na nimo nga hingpit nga magamit ang tradisyonal nga dm-crypt, VeraCrypt o bisan unsang uban nga pag-encrypt nga imong gusto.
Kinahanglan nimong masabtan nga kung gipatuman ang total nga pag-encrypt, ang server dili na makabawi sa kaugalingon pagkahuman sa pag-reboot. Kinahanglan nga ipataas ang koneksyon sa lokal nga IP-KVM, IPMI o uban pang parehas nga interface. Human nga kita mano-mano mosulod sa master yawe. Ang laraw tan-awon kaayo sa mga termino sa pagpadayon ug pagtugot sa sayup, apan wala’y espesyal nga mga alternatibo kung ang datos hinungdanon kaayo.
NCipher nShield F3 Hardware Security Module
Ang usa ka mas hinay nga kapilian nagtuo nga ang datos gi-encrypt ug ang yawe nahimutang direkta sa server mismo sa usa ka espesyal nga HSM (Hardware Security Module). Ingon sa usa ka lagda, kini mao ang kaayo functional mga himan nga dili lamang sa paghatag og hardware cryptography, apan usab adunay mga mekanismo sa pag-ila sa pisikal nga mga pagsulay hacking. Kung adunay magsugod sa pagtuktok sa imong server gamit ang anggulo nga gilingan, ang HSM nga adunay independente nga suplay sa kuryente mag-reset sa mga yawe nga gitipigan niini sa panumduman niini. Makuha sa tig-atake ang gi-encrypt nga mincemeat. Sa kini nga kaso, ang reboot mahimong awtomatikong mahitabo.
Ang pagtangtang sa mga yawe usa ka mas paspas ug mas tawhanon nga kapilian kaysa pagpaaktibo sa usa ka thermite bomb o electromagnetic arrester. Alang sa ingon nga mga aparato, mabunalan ka sa dugay nga panahon sa imong mga silingan sa rack sa data center. Dugang pa, sa kaso sa paggamit encryption sa media mismo, makasinati ka halos walay overhead. Tanan kini mahitabo nga transparent sa OS. Tinuod, sa kini nga kaso kinahanglan nimo nga mosalig sa kondisyon nga Samsung ug naglaum nga kini adunay matinud-anon nga AES256, ug dili ang banal nga XOR.
Sa samang higayon, dili nato kalimtan nga ang tanan nga wala kinahanglana nga mga pantalan kinahanglan nga pisikal nga baldado o mapuno lamang sa compound. Kung dili, gihatagan nimo ang mga tig-atake sa higayon nga ipatuman . Kung ikaw adunay PCI Express o Thunderbolt nga nagpabilin, lakip ang USB nga adunay suporta niini, dali ka nga mahuyang. Ang usa ka tig-atake makahimo sa usa ka pag-atake pinaagi sa kini nga mga pantalan ug makakuha direkta nga pag-access sa memorya gamit ang mga yawe.
Sa usa ka sopistikado nga bersyon, ang tig-atake makahimo sa usa ka bugnaw nga pag-atake sa boot. Sa parehas nga oras, gibubo ra niini ang usa ka maayo nga bahin sa likido nga nitroheno sa imong server, halos gitangtang ang mga nagyelo nga memory stick ug gikuha gikan kanila ang tanan nga mga yawe. Kasagaran, ang usa ka regular nga makapabugnaw nga spray ug usa ka temperatura nga hapit -50 degree igo na aron makahimo usa ka pag-atake. Adunay usab usa ka mas tukma nga kapilian. Kung wala nimo gibabagan ang pag-load gikan sa gawas nga mga aparato, nan ang algorithm sa tig-atake mahimong labi ka simple:
- I-freeze ang mga memory stick nga dili ablihan ang kaso
- Ikonektar ang imong bootable USB flash drive
- Paggamit espesyal nga mga utilities aron makuha ang data gikan sa RAM nga naluwas sa pag-reboot tungod sa pagyelo.
Pagbahin ug pagdaug
Ok, naa ra miy virtual machines, pero gusto nako nga maminusan ang risgo sa data leakage.
Mahimo nimo, sa prinsipyo, pagsulay sa pag-usab sa arkitektura ug pag-apod-apod sa pagtipig ug pagproseso sa datos sa lainlaing mga hurisdiksyon. Pananglitan, ang frontend nga adunay mga yawe sa pag-encrypt gikan sa hoster sa Czech Republic, ug ang backend nga adunay naka-encrypt nga datos naa sa usa ka lugar sa Russia. Sa kaso sa usa ka sagad nga pagsulay sa pag-ilog, labi ka dili mahimo nga ang mga ahensya sa pagpatuman sa balaod makahimo niini nga dungan sa lainlaing mga hurisdiksyon. Dugang pa, kini nga bahin nagsiguro kanamo batok sa senaryo sa pagkuha sa usa ka snapshot.
Aw, o mahimo nimong ikonsiderar ang usa ka hingpit nga putli nga kapilian - End-to-End encryption. Siyempre, kini labaw pa sa kasangkaran sa espesipikasyon ug wala magpasabot sa paghimo sa mga kalkulasyon sa kilid sa hilit nga makina. Bisan pa, kini usa ka hingpit nga madawat nga kapilian kung bahin sa pagtipig ug pag-synchronize sa datos. Pananglitan, kini sayon nga gipatuman sa Nextcloud. Sa samang higayon, ang pag-synchronize, versioning ug uban pang server-side goodies dili mawala.
Total
Walay hingpit nga luwas nga mga sistema. Ang tumong mao lamang ang paghimo sa pag-atake nga mas bili kay sa potensyal nga ganansya.
Ang pipila nga pagkunhod sa mga risgo sa pag-access sa datos sa usa ka virtual nga site mahimong makab-ot pinaagi sa paghiusa sa encryption ug bulag nga pagtipig sa lainlaing mga host.
Ang mas daghan o dili kaayo kasaligan nga kapilian mao ang paggamit sa imong kaugalingon nga hardware server.
Apan ang host kinahanglan gihapon nga saligan sa usa ka paagi o lain. Ang tibuok industriya nagsalig niini.
Source: www.habr.com