kdpv - Reuters
Εάν νοικιάσετε έναν διακομιστή, τότε δεν έχετε τον πλήρη έλεγχό του. Αυτό σημαίνει ότι ανά πάσα στιγμή μπορούν να έρθουν ειδικά εκπαιδευμένοι άνθρωποι στον οικοδεσπότη και να σας ζητήσουν να δώσετε οποιοδήποτε από τα δεδομένα σας. Και ο οικοδεσπότης θα τα επιστρέψει αν η απαίτηση επισημοποιηθεί σύμφωνα με το νόμο.
Πραγματικά δεν θέλετε τα αρχεία καταγραφής του διακομιστή ιστού ή τα δεδομένα χρήστη σας να διαρρεύσουν σε κανέναν άλλο. Είναι αδύνατο να φτιάξεις μια ιδανική άμυνα. Είναι σχεδόν αδύνατο να προστατευτείτε από έναν οικοδεσπότη που είναι ιδιοκτήτης του hypervisor και σας παρέχει μια εικονική μηχανή. Ίσως όμως θα είναι δυνατό να μειωθούν λίγο οι κίνδυνοι. Η κρυπτογράφηση ενοικιαζόμενων αυτοκινήτων δεν είναι τόσο άχρηστη όσο φαίνεται με την πρώτη ματιά. Ταυτόχρονα, ας δούμε τις απειλές εξαγωγής δεδομένων από φυσικούς διακομιστές.
Μοντέλο απειλής
Κατά κανόνα, ο οικοδεσπότης θα προσπαθήσει να προστατεύσει τα συμφέροντα του πελάτη όσο το δυνατόν περισσότερο από το νόμο. Εάν η επιστολή από τις επίσημες αρχές ζητούσε μόνο αρχεία καταγραφής πρόσβασης, ο οικοδεσπότης δεν θα παράσχει χωματερές όλων των εικονικών μηχανών σας με βάσεις δεδομένων. Τουλάχιστον δεν θα έπρεπε. Εάν ζητήσουν όλα τα δεδομένα, ο hoster θα αντιγράψει τους εικονικούς δίσκους με όλα τα αρχεία και δεν θα το ξέρετε.
Ανεξάρτητα από το σενάριο, ο κύριος στόχος σας είναι να κάνετε την επίθεση πολύ δύσκολη και δαπανηρή. Υπάρχουν συνήθως τρεις κύριες επιλογές απειλής.
Επίσημη
Τις περισσότερες φορές, μια έντυπη επιστολή αποστέλλεται στο επίσημο γραφείο του οικοδεσπότη με την απαίτηση παροχής των απαραίτητων στοιχείων σύμφωνα με τον σχετικό κανονισμό. Εάν όλα γίνονται σωστά, ο οικοδεσπότης παρέχει τα απαραίτητα αρχεία καταγραφής πρόσβασης και άλλα δεδομένα στις επίσημες αρχές. Συνήθως σας ζητούν απλώς να στείλετε τα απαραίτητα δεδομένα.
Περιστασιακά, εάν είναι απολύτως απαραίτητο, εκπρόσωποι των υπηρεσιών επιβολής του νόμου έρχονται αυτοπροσώπως στο κέντρο δεδομένων. Για παράδειγμα, όταν έχετε τον δικό σας αποκλειστικό διακομιστή και τα δεδομένα από εκεί μπορούν να ληφθούν μόνο φυσικά.
Σε όλες τις χώρες, η απόκτηση πρόσβασης σε ιδιωτική περιουσία, η διεξαγωγή ερευνών και άλλων δραστηριοτήτων απαιτεί στοιχεία που να αποδεικνύουν ότι τα δεδομένα ενδέχεται να περιέχουν σημαντικές πληροφορίες για τη διερεύνηση ενός εγκλήματος. Επιπλέον, απαιτείται ένταλμα έρευνας που εκτελείται σύμφωνα με όλους τους κανονισμούς. Μπορεί να υπάρχουν αποχρώσεις που σχετίζονται με τις ιδιαιτερότητες της τοπικής νομοθεσίας. Το κύριο πράγμα που πρέπει να καταλάβετε είναι ότι εάν η επίσημη διαδρομή είναι σωστή, οι εκπρόσωποι του κέντρου δεδομένων δεν θα αφήσουν κανέναν να περάσει την είσοδο.
Επιπλέον, στις περισσότερες χώρες δεν μπορείτε απλά να βγάλετε τον εξοπλισμό τρεξίματος. Για παράδειγμα, στη Ρωσία, μέχρι το τέλος του 2018, σύμφωνα με το άρθρο 183 του Κώδικα Ποινικής Δικονομίας της Ρωσικής Ομοσπονδίας, μέρος 3.1, ήταν εγγυημένο ότι κατά τη διάρκεια μιας κατάσχεσης, η κατάσχεση ηλεκτρονικών μέσων αποθήκευσης πραγματοποιήθηκε με τη συμμετοχή ενός ειδικού. Κατόπιν αιτήματος του νόμιμου κατόχου των κατασχεθέντων μέσων ηλεκτρονικής αποθήκευσης ή του κατόχου των πληροφοριών που περιέχονται σε αυτά, ο ειδικός που συμμετέχει στην κατάσχεση, παρουσία μαρτύρων, αντιγράφει πληροφορίες από τα κατασχεθέντα ηλεκτρονικά μέσα αποθήκευσης σε άλλα ηλεκτρονικά μέσα αποθήκευσης.
Στη συνέχεια, δυστυχώς, αυτό το σημείο αφαιρέθηκε από το άρθρο.
Μυστικό και ανεπίσημο
Αυτή είναι ήδη η περιοχή δραστηριότητας ειδικά εκπαιδευμένων συντρόφων από την NSA, το FBI, την MI5 και άλλες οργανώσεις τριών γραμμάτων. Τις περισσότερες φορές, η νομοθεσία των χωρών παρέχει εξαιρετικά ευρείες εξουσίες για τέτοιες δομές. Επιπλέον, σχεδόν πάντα υπάρχει νομοθετική απαγόρευση κάθε άμεσης ή έμμεσης αποκάλυψης του ίδιου του γεγονότος της συνεργασίας με τέτοιες υπηρεσίες επιβολής του νόμου. Υπάρχουν παρόμοια στη Ρωσία .
Σε περίπτωση τέτοιας απειλής για τα δεδομένα σας, είναι σχεδόν βέβαιο ότι θα αφαιρεθούν. Επιπλέον, εκτός από την απλή κατάσχεση, μπορεί να χρησιμοποιηθεί ολόκληρο το ανεπίσημο οπλοστάσιο των backdoors, τα τρωτά σημεία zero-day, η εξαγωγή δεδομένων από τη μνήμη RAM της εικονικής μηχανής σας και άλλες χαρές. Σε αυτή την περίπτωση, ο οικοδεσπότης θα είναι υποχρεωμένος να βοηθήσει όσο το δυνατόν περισσότερο τους ειδικούς επιβολής του νόμου.
Αδίστακτος υπάλληλος
Δεν είναι όλοι οι άνθρωποι το ίδιο καλοί. Ένας από τους διαχειριστές του κέντρου δεδομένων μπορεί να αποφασίσει να κερδίσει επιπλέον χρήματα και να πουλήσει τα δεδομένα σας. Οι περαιτέρω εξελίξεις εξαρτώνται από τις δυνάμεις και την πρόσβασή του. Το πιο ενοχλητικό είναι ότι ένας διαχειριστής με πρόσβαση στην κονσόλα εικονικοποίησης έχει τον απόλυτο έλεγχο των μηχανημάτων σας. Μπορείτε πάντα να τραβήξετε ένα στιγμιότυπο μαζί με όλα τα περιεχόμενα της μνήμης RAM και στη συνέχεια να το μελετήσετε αργά.
Vds
Έχετε λοιπόν μια εικονική μηχανή που σας έδωσε ο οικοδεσπότης. Πώς μπορείτε να εφαρμόσετε κρυπτογράφηση για να προστατευτείτε; Στην πραγματικότητα, πρακτικά τίποτα. Επιπλέον, ακόμη και ο αποκλειστικός διακομιστής κάποιου άλλου μπορεί να καταλήξει να είναι μια εικονική μηχανή στην οποία έχουν τοποθετηθεί οι απαραίτητες συσκευές.
Εάν η αποστολή του απομακρυσμένου συστήματος δεν είναι απλώς η αποθήκευση δεδομένων, αλλά η εκτέλεση ορισμένων υπολογισμών, τότε η μόνη επιλογή για εργασία με ένα μη αξιόπιστο μηχάνημα θα ήταν η εφαρμογή . Σε αυτήν την περίπτωση, το σύστημα θα πραγματοποιήσει υπολογισμούς χωρίς τη δυνατότητα να καταλάβει τι ακριβώς κάνει. Δυστυχώς, τα γενικά έξοδα για την εφαρμογή μιας τέτοιας κρυπτογράφησης είναι τόσο υψηλά που η πρακτική χρήση τους περιορίζεται επί του παρόντος σε πολύ στενές εργασίες.
Επιπλέον, τη στιγμή που η εικονική μηχανή εκτελείται και εκτελεί ορισμένες ενέργειες, όλοι οι κρυπτογραφημένοι τόμοι είναι σε προσβάσιμη κατάσταση, διαφορετικά το λειτουργικό σύστημα απλά δεν θα μπορεί να λειτουργήσει μαζί τους. Αυτό σημαίνει ότι έχοντας πρόσβαση στην κονσόλα εικονικοποίησης, μπορείτε πάντα να τραβήξετε ένα στιγμιότυπο μιας μηχανής που λειτουργεί και να εξαγάγετε όλα τα κλειδιά από τη μνήμη RAM.
Πολλοί προμηθευτές έχουν προσπαθήσει να οργανώσουν την κρυπτογράφηση υλικού της μνήμης RAM, έτσι ώστε ακόμη και ο οικοδεσπότης να μην έχει πρόσβαση σε αυτά τα δεδομένα. Για παράδειγμα, η τεχνολογία Intel Software Guard Extensions, η οποία οργανώνει περιοχές στον χώρο εικονικών διευθύνσεων που προστατεύονται από ανάγνωση και εγγραφή εκτός αυτής της περιοχής από άλλες διεργασίες, συμπεριλαμβανομένου του πυρήνα του λειτουργικού συστήματος. Δυστυχώς, δεν θα μπορείτε να εμπιστευτείτε πλήρως αυτές τις τεχνολογίες, αφού θα περιοριστείτε στην εικονική σας μηχανή. Επιπλέον, υπάρχουν ήδη έτοιμα παραδείγματα για αυτή την τεχνολογία. Ωστόσο, η κρυπτογράφηση εικονικών μηχανών δεν είναι τόσο άσκοπη όσο φαίνεται.
Κρυπτογραφούμε δεδομένα σε VDS
Επιτρέψτε μου να κάνω μια κράτηση αμέσως ότι όλα όσα κάνουμε παρακάτω δεν αποτελούν πλήρη προστασία. Ο hypervisor θα σας επιτρέψει να κάνετε τα απαραίτητα αντίγραφα χωρίς διακοπή της υπηρεσίας και χωρίς να το αντιληφθείτε.
- Εάν, κατόπιν αιτήματος, ο hoster μεταφέρει μια «ψυχρή» εικόνα της εικονικής σας μηχανής, τότε είστε σχετικά ασφαλής. Αυτό είναι το πιο συνηθισμένο σενάριο.
- Εάν ο οικοδεσπότης σας δώσει ένα πλήρες στιγμιότυπο μιας μηχανής που λειτουργεί, τότε όλα είναι πολύ άσχημα. Όλα τα δεδομένα θα τοποθετηθούν στο σύστημα σε καθαρή μορφή. Επιπλέον, θα είναι δυνατή η αναζήτηση μέσω RAM για αναζήτηση ιδιωτικών κλειδιών και παρόμοιων δεδομένων.
Από προεπιλογή, εάν αναπτύξατε το λειτουργικό σύστημα από μια εικόνα βανίλιας, ο κεντρικός υπολογιστής δεν έχει πρόσβαση root. Μπορείτε πάντα να προσαρτήσετε τα μέσα με την εικόνα διάσωσης και να αλλάξετε τον κωδικό πρόσβασης root κάνοντας chroot στο περιβάλλον της εικονικής μηχανής. Αλλά αυτό θα απαιτήσει επανεκκίνηση, η οποία θα παρατηρηθεί. Επιπλέον, όλα τα προσαρτημένα κρυπτογραφημένα διαμερίσματα θα κλείσουν.
Ωστόσο, εάν η ανάπτυξη μιας εικονικής μηχανής δεν προέρχεται από μια εικόνα βανίλιας, αλλά από μια προπαρασκευασμένη, τότε ο οικοδεσπότης μπορεί συχνά να προσθέσει έναν προνομιακό λογαριασμό για να βοηθήσει σε μια κατάσταση έκτακτης ανάγκης στον πελάτη. Για παράδειγμα, για να αλλάξετε έναν ξεχασμένο κωδικό πρόσβασης root.
Ακόμα και στην περίπτωση ενός ολοκληρωμένου στιγμιότυπου, δεν είναι όλα τόσο λυπηρά. Ένας εισβολέας δεν θα λάβει κρυπτογραφημένα αρχεία εάν τα προσαρτήσετε από το απομακρυσμένο σύστημα αρχείων άλλου μηχανήματος. Ναι, θεωρητικά, μπορείτε να διαλέξετε τη μνήμη RAM και να εξαγάγετε τα κλειδιά κρυπτογράφησης από εκεί. Αλλά στην πράξη αυτό δεν είναι πολύ ασήμαντο και είναι πολύ απίθανο η διαδικασία να προχωρήσει πέρα από την απλή μεταφορά αρχείων.
Παραγγείλετε ένα αυτοκίνητο
Για τους σκοπούς της δοκιμής μας, εισάγουμε ένα απλό μηχάνημα . Δεν χρειαζόμαστε πολλούς πόρους, επομένως θα πάρουμε την επιλογή να πληρώσουμε για τα megahertz και την κίνηση που δαπανήθηκε πραγματικά. Αρκεί να παίξεις μαζί του.
Το κλασικό dm-crypt για ολόκληρο το διαμέρισμα δεν απογειώθηκε. Από προεπιλογή, ο δίσκος δίνεται σε ένα κομμάτι, με root για ολόκληρο το διαμέρισμα. Η συρρίκνωση ενός διαμερίσματος ext4 σε ένα διαμέρισμα που είναι τοποθετημένο στο root είναι πρακτικά ένα εγγυημένο τούβλο αντί για σύστημα αρχείων. Δοκίμασα) Το ντέφι δεν βοήθησε.
Δημιουργία κοντέινερ κρυπτογράφησης
Επομένως, δεν θα κρυπτογραφήσουμε ολόκληρο το διαμέρισμα, αλλά θα χρησιμοποιήσουμε δοχεία κρυπτογράφησης αρχείων, συγκεκριμένα ελεγμένα και αξιόπιστα VeraCrypt. Για τους σκοπούς μας αυτό είναι αρκετό. Αρχικά, βγάζουμε και εγκαθιστούμε το πακέτο με την έκδοση CLI από τον επίσημο ιστότοπο. Μπορείτε να ελέγξετε την υπογραφή ταυτόχρονα.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Τώρα θα δημιουργήσουμε το ίδιο το κοντέινερ κάπου στο σπίτι μας, ώστε να μπορούμε να το τοποθετήσουμε χειροκίνητα κατά την επανεκκίνηση. Στη διαδραστική επιλογή, ορίστε το μέγεθος του κοντέινερ, τον κωδικό πρόσβασης και τους αλγόριθμους κρυπτογράφησης. Μπορείτε να επιλέξετε τον πατριωτικό κρυπτογράφηση Grasshopper και τη συνάρτηση κατακερματισμού Stribog.
veracrypt -t -c ~/my_super_secretΤώρα ας εγκαταστήσουμε το nginx, ας τοποθετήσουμε το δοχείο και ας το γεμίσουμε με μυστικές πληροφορίες.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngΑς διορθώσουμε ελαφρώς το /var/www/html/index.nginx-debian.html για να λάβουμε την επιθυμητή σελίδα και μπορείτε να την ελέγξετε.
Συνδέστε και ελέγξτε
Το κοντέινερ είναι τοποθετημένο, τα δεδομένα είναι προσβάσιμα και αποστέλλονται.
Και εδώ είναι το μηχάνημα μετά την επανεκκίνηση. Τα δεδομένα αποθηκεύονται με ασφάλεια στο ~/my_super_secret.
Εάν το χρειάζεστε πραγματικά και το θέλετε σκληρό πυρήνα, τότε μπορείτε να κρυπτογραφήσετε ολόκληρο το λειτουργικό σύστημα έτσι ώστε κατά την επανεκκίνηση να απαιτείται σύνδεση μέσω ssh και εισαγωγή κωδικού πρόσβασης. Αυτό θα είναι επίσης αρκετό στο σενάριο της απλής απόσυρσης «ψυχρά δεδομένων». Εδώ και απομακρυσμένη κρυπτογράφηση δίσκου. Αν και στην περίπτωση του VDS είναι δύσκολο και περιττό.
Γυμνό μέταλλο
Δεν είναι τόσο εύκολο να εγκαταστήσετε τον δικό σας διακομιστή σε ένα κέντρο δεδομένων. Το αποκλειστικό κάποιου άλλου μπορεί να αποδειχθεί ότι είναι μια εικονική μηχανή στην οποία μεταφέρονται όλες οι συσκευές. Αλλά κάτι ενδιαφέρον από άποψη προστασίας ξεκινά όταν έχετε την ευκαιρία να τοποθετήσετε τον αξιόπιστο φυσικό διακομιστή σας σε ένα κέντρο δεδομένων. Εδώ μπορείτε ήδη να χρησιμοποιήσετε πλήρως την παραδοσιακή κρυπτογράφηση dm, VeraCrypt ή οποιαδήποτε άλλη κρυπτογράφηση της επιλογής σας.
Πρέπει να καταλάβετε ότι εάν εφαρμοστεί πλήρης κρυπτογράφηση, ο διακομιστής δεν θα μπορεί να ανακτήσει μόνος του μετά από επανεκκίνηση. Θα χρειαστεί να αυξήσετε τη σύνδεση με την τοπική IP-KVM, IPMI ή άλλη παρόμοια διεπαφή. Μετά από αυτό εισάγουμε χειροκίνητα το κύριο κλειδί. Το σχήμα φαίνεται τόσο πολύ όσον αφορά τη συνέχεια και την ανοχή σφαλμάτων, αλλά δεν υπάρχουν ειδικές εναλλακτικές λύσεις εάν τα δεδομένα είναι τόσο πολύτιμα.
Μονάδα ασφαλείας υλικού NCipher nShield F3
Μια πιο soft επιλογή προϋποθέτει ότι τα δεδομένα είναι κρυπτογραφημένα και το κλειδί βρίσκεται απευθείας στον ίδιο τον διακομιστή σε μια ειδική μονάδα HSM (Hardware Security Module). Κατά κανόνα, πρόκειται για πολύ λειτουργικές συσκευές που όχι μόνο παρέχουν κρυπτογράφηση υλικού, αλλά διαθέτουν και μηχανισμούς για τον εντοπισμό φυσικών προσπαθειών hacking. Εάν κάποιος αρχίσει να περιηγείται στον διακομιστή σας με ένα γωνιακό μύλο, το HSM με ανεξάρτητο τροφοδοτικό θα επαναφέρει τα κλειδιά που αποθηκεύει στη μνήμη του. Ο εισβολέας θα πάρει τον κρυπτογραφημένο κιμά. Σε αυτήν την περίπτωση, η επανεκκίνηση μπορεί να πραγματοποιηθεί αυτόματα.
Η αφαίρεση κλειδιών είναι μια πολύ πιο γρήγορη και ανθρώπινη επιλογή από την ενεργοποίηση μιας βόμβας θερμίτη ή ενός ηλεκτρομαγνητικού απαγωγέα. Για τέτοιες συσκευές, θα χτυπιέστε για πολύ καιρό από τους γείτονές σας στο ράφι στο κέντρο δεδομένων. Επιπλέον, στην περίπτωση χρήσης κρυπτογράφηση στο ίδιο το μέσο, δεν αντιμετωπίζετε σχεδόν κανένα κόστος. Όλα αυτά συμβαίνουν με διαφάνεια στο λειτουργικό σύστημα. Είναι αλήθεια ότι σε αυτή την περίπτωση πρέπει να εμπιστευτείς την υπό όρους Samsung και να ελπίζεις ότι έχει ειλικρινή AES256 και όχι το κοινόχρηστο XOR.
Ταυτόχρονα, δεν πρέπει να ξεχνάμε ότι όλες οι περιττές θύρες πρέπει να είναι φυσικά απενεργοποιημένες ή απλά να γεμίζονται με σύνθετο. Διαφορετικά, δίνετε στους επιτιθέμενους την ευκαιρία να πραγματοποιήσουν . Εάν έχετε PCI Express ή Thunderbolt που προεξέχει, συμπεριλαμβανομένου του USB με την υποστήριξή του, είστε ευάλωτοι. Ένας εισβολέας θα μπορεί να πραγματοποιήσει μια επίθεση μέσω αυτών των θυρών και να αποκτήσει άμεση πρόσβαση στη μνήμη με κλειδιά.
Σε μια πολύ εξελιγμένη έκδοση, ο επιτιθέμενος θα μπορεί να πραγματοποιήσει επίθεση με κρύα μπότα. Ταυτόχρονα, απλώς ρίχνει μια καλή μερίδα υγρού αζώτου στον διακομιστή σας, αφαιρεί χονδρικά τα παγωμένα memory sticks και αφαιρεί από αυτά μια χωματερή με όλα τα κλειδιά. Συχνά, ένας κανονικός ψεκασμός ψύξης και μια θερμοκρασία γύρω στους -50 βαθμούς αρκούν για να πραγματοποιηθεί μια επίθεση. Υπάρχει επίσης μια πιο ακριβής επιλογή. Εάν δεν έχετε απενεργοποιήσει τη φόρτωση από εξωτερικές συσκευές, τότε ο αλγόριθμος του εισβολέα θα είναι ακόμα πιο απλός:
- Παγώστε τα memory sticks χωρίς να ανοίξετε τη θήκη
- Συνδέστε τη μονάδα flash USB με δυνατότητα εκκίνησης
- Χρησιμοποιήστε ειδικά βοηθητικά προγράμματα για να αφαιρέσετε δεδομένα από τη μνήμη RAM που επέζησαν από την επανεκκίνηση λόγω παγώματος.
Διαίρει και βασίλευε
Εντάξει, έχουμε μόνο εικονικές μηχανές, αλλά θα ήθελα με κάποιο τρόπο να μειώσω τους κινδύνους διαρροής δεδομένων.
Μπορείτε, καταρχήν, να προσπαθήσετε να αναθεωρήσετε την αρχιτεκτονική και να διανείμετε την αποθήκευση και την επεξεργασία δεδομένων σε διαφορετικές δικαιοδοσίες. Για παράδειγμα, η διεπαφή με κλειδιά κρυπτογράφησης προέρχεται από τον κεντρικό υπολογιστή στη Δημοκρατία της Τσεχίας και η υποστήριξη με κρυπτογραφημένα δεδομένα βρίσκεται κάπου στη Ρωσία. Στην περίπτωση μιας τυπικής απόπειρας κατάσχεσης, είναι εξαιρετικά απίθανο οι υπηρεσίες επιβολής του νόμου να είναι σε θέση να το πραγματοποιήσουν ταυτόχρονα σε διαφορετικές δικαιοδοσίες. Επιπλέον, αυτό μας ασφαλίζει εν μέρει από το σενάριο της λήψης στιγμιότυπου.
Λοιπόν, ή μπορείτε να εξετάσετε μια εντελώς καθαρή επιλογή - Κρυπτογράφηση από άκρο σε άκρο. Φυσικά, αυτό υπερβαίνει το πεδίο των προδιαγραφών και δεν συνεπάγεται την εκτέλεση υπολογισμών στο πλάι του απομακρυσμένου μηχανήματος. Ωστόσο, αυτή είναι μια απολύτως αποδεκτή επιλογή όταν πρόκειται για αποθήκευση και συγχρονισμό δεδομένων. Για παράδειγμα, αυτό εφαρμόζεται πολύ εύκολα στο Nextcloud. Ταυτόχρονα, ο συγχρονισμός, η έκδοση εκδόσεων και άλλα καλούδια από την πλευρά του διακομιστή δεν θα εξαφανιστούν.
Σε συνολικά
Δεν υπάρχουν απόλυτα ασφαλή συστήματα. Ο στόχος είναι απλώς να κάνει την επίθεση να αξίζει περισσότερο από το πιθανό κέρδος.
Κάποια μείωση των κινδύνων πρόσβασης σε δεδομένα σε ένα εικονικό μπορεί να επιτευχθεί με το συνδυασμό κρυπτογράφησης και χωριστής αποθήκευσης με διαφορετικούς κεντρικούς υπολογιστές.
Μια περισσότερο ή λιγότερο αξιόπιστη επιλογή είναι να χρησιμοποιήσετε τον δικό σας διακομιστή υλικού.
Αλλά ο οικοδεσπότης θα πρέπει να τον εμπιστευτείς με τον ένα ή τον άλλο τρόπο. Όλη η βιομηχανία στηρίζεται σε αυτό.
Πηγή: www.habr.com