kdpv – Reuters
Kui rendite serverit, pole teil selle üle täielikku kontrolli. See tähendab, et igal ajal võivad majutaja juurde tulla spetsiaalse väljaõppe saanud inimesed ja paluda teil esitada oma andmed. Ja majutaja annab need tagasi, kui nõudmine on seaduse järgi vormistatud.
Te tõesti ei taha, et teie veebiserveri logid või kasutajaandmed lekkiksid kellelegi teisele. Ideaalset kaitset on võimatu üles ehitada. Peaaegu võimatu on end kaitsta hosti eest, mis omab hüperviisorit ja pakub teile virtuaalmasinat. Aga ehk õnnestub riske veidi maandada. Rendiautode krüpteerimine polegi nii kasutu, kui esmapilgul tundub. Samal ajal vaatleme ka füüsilistest serveritest andmete väljavõtmise ohtusid.
Ohu mudel
Reeglina püüab majutaja kliendi huve nii palju kui võimalik seadusega kaitsta. Kui ametlike ametiasutuste kirjas nõuti ainult juurdepääsulogisid, ei paku hoster kõigi teie virtuaalmasinate andmebaase. Vähemalt ei tohiks. Kui nad küsivad kõiki andmeid, kopeerib hoster virtuaalsed kettad koos kõigi failidega ja te ei saa sellest teada.
Olenemata stsenaariumist on teie peamine eesmärk muuta rünnak liiga keeruliseks ja kulukaks. Tavaliselt on kolm peamist ohuvalikut.
Ametlik
Kõige sagedamini saadetakse majutaja ametlikku kontorisse paberkiri koos nõudega esitada vajalikud andmed vastavalt vastavale määrusele. Kui kõik on õigesti tehtud, edastab majutaja vajalikud juurdepääsulogid ja muud andmed ametlikele asutustele. Tavaliselt palutakse lihtsalt vajalikud andmed saata.
Aeg-ajalt tulevad äärmise vajaduse korral andmekeskusesse ka õiguskaitseorganite esindajad isiklikult. Näiteks kui teil on oma spetsiaalne server ja sealt saab andmeid võtta ainult füüsiliselt.
Kõigis riikides on eraomandile juurdepääsu saamiseks, läbiotsimiste ja muude toimingute tegemiseks vaja tõendeid selle kohta, et andmed võivad sisaldada kuriteo uurimise jaoks olulist teavet. Lisaks on nõutav läbiotsimismäärus, mis on täidetud kõigi eeskirjade kohaselt. Siin võib esineda nüansse, mis on seotud kohaliku seadusandluse iseärasustega. Peamine asi, mida peate mõistma, on see, et kui ametlik tee on õige, ei lase andmekeskuse esindajad kedagi sissepääsust mööda.
Pealegi ei saa enamikus riikides jooksuvarustust lihtsalt välja tõmmata. Näiteks Venemaal tagati kuni 2018. aasta lõpuni vastavalt Vene Föderatsiooni kriminaalmenetluse seadustiku artiklile 183, osa 3.1, et konfiskeerimise ajal viidi elektrooniliste andmekandjate konfiskeerimine läbi osalusel. spetsialistist. Arestitud elektroonilise andmekandja seadusliku omaniku või sellel sisalduva teabe omaniku nõudmisel kopeerib arestimises osalev spetsialist tunnistajate juuresolekul teabe äravõetud elektrooniliselt andmekandjalt teistele elektroonilistele andmekandjatele.
Siis kahjuks see punkt artiklist eemaldati.
Salajane ja mitteametlik
See on juba NSA, FBI, MI5 ja teiste kolmetäheliste organisatsioonide eriväljaõppe saanud seltsimeeste tegevusterritoorium. Kõige sagedamini annavad riikide õigusaktid sellistele struktuuridele äärmiselt laialdased volitused. Lisaks on peaaegu alati seadusandlik keeld selliste õiguskaitseasutustega tehtava koostöö fakti otseseks või kaudseks avalikustamiseks. Venemaal on sarnaseid .
Kui teie andmeid ähvardab selline oht, võetakse need peaaegu kindlasti välja. Lisaks lihtsale konfiskeerimisele saab kasutada kogu mitteametlikku tagauste arsenali, nullpäeva turvaauke, andmete ekstraheerimist virtuaalmasina RAM-ist ja muid rõõme. Sel juhul on majutaja kohustatud abistama õiguskaitsespetsialiste nii palju kui võimalik.
Korramatu töötaja
Kõik inimesed pole võrdselt head. Üks andmekeskuse administraatoritest võib otsustada teenida lisaraha ja müüa teie andmed. Edasine areng sõltub tema volitustest ja juurdepääsust. Kõige tüütum on see, et virtualiseerimiskonsoolile juurdepääsu omaval administraatoril on täielik kontroll teie masinate üle. Saate alati teha hetktõmmise kogu RAM-i sisust ja seejärel seda aeglaselt uurida.
VDS
Seega on teil virtuaalne masin, mille hoster teile andis. Kuidas saate enda kaitsmiseks krüptimist rakendada? Tegelikult praktiliselt mitte midagi. Veelgi enam, isegi kellegi teise spetsiaalne server võib lõpuks olla virtuaalne masin, kuhu sisestatakse vajalikud seadmed.
Kui kaugsüsteemi ülesanne ei ole lihtsalt andmete salvestamine, vaid mõned arvutused, siis on ebausaldusväärse masinaga töötamiseks ainus võimalus selle rakendamine . Sel juhul teeb süsteem arvutusi, ilma et oleks võimalik aru saada, mida see täpselt teeb. Kahjuks on sellise krüptimise rakendamise üldkulud nii suured, et nende praktiline kasutamine piirdub praegu väga kitsaste ülesannetega.
Lisaks on sel hetkel, kui virtuaalne masin töötab ja teatud toiminguid teeb, kõik krüptitud köited juurdepääsetavas olekus, vastasel juhul ei saa OS lihtsalt nendega töötada. See tähendab, et kui teil on juurdepääs virtualiseerimiskonsoolile, saate alati teha töötavast masinast hetktõmmise ja eraldada kõik võtmed RAM-ist.
Paljud müüjad on püüdnud korraldada RAM-i riistvaralist krüptimist nii, et isegi hostijal pole nendele andmetele juurdepääsu. Näiteks Intel Software Guard Extensions tehnoloogia, mis korraldab virtuaalses aadressiruumis alad, mis on väljaspool seda ala lugemise ja kirjutamise eest kaitstud muude protsesside, sealhulgas operatsioonisüsteemi tuuma poolt. Kahjuks ei saa te neid tehnoloogiaid täielikult usaldada, kuna piirdute oma virtuaalse masinaga. Lisaks on juba valmis näited olemas selle tehnoloogia jaoks. Siiski pole virtuaalmasinate krüpteerimine nii mõttetu, kui võib tunduda.
Krüpteerime andmed VDS-is
Lubage mul kohe teha reservatsioon, et kõik, mida me allpool teeme, ei tähenda täieõiguslikku kaitset. Hüpervisor võimaldab teil teha vajalikke koopiaid ilma teenust peatamata ja teie tähelepanuta.
- Kui hoster saadab nõudmisel teie virtuaalmasinast "külma" pildi, siis olete suhteliselt ohutu. See on kõige levinum stsenaarium.
- Kui hoster teeb töötavast masinast täieliku pildi, siis on kõik päris kehvasti. Kõik andmed monteeritakse süsteemi selgel kujul. Lisaks on võimalik RAM-is tuhnida privaatvõtmete ja sarnaste andmete otsimisel.
Vaikimisi pole hostil juurjuurdepääsu, kui juurutasite OS-i vaniljekujutisest. Saate alati ühendada päästepildiga meediumi ja muuta juurparooli virtuaalmasina keskkonda chrootides. Kuid see nõuab taaskäivitamist, mida märgatakse. Lisaks suletakse kõik ühendatud krüptitud partitsioonid.
Kui aga virtuaalmasina juurutamine ei tule vaniljekujutiselt, vaid eelnevalt ettevalmistatud pildilt, saab hoster sageli lisada privilegeeritud konto, et aidata kliendi hädaolukorras. Näiteks unustatud juurparooli muutmiseks.
Isegi täieliku hetkepildi puhul pole kõik nii kurb. Ründaja ei saa krüptitud faile, kui ühendasite need mõne teise masina kaugfailisüsteemist. Jah, teoreetiliselt saate RAM-i prügikasti välja valida ja sealt krüpteerimisvõtmed välja võtta. Kuid praktikas pole see väga triviaalne ja on väga ebatõenäoline, et protsess läheb kaugemale lihtsast failiedastusest.
Telli auto
Testimiseks võtame kasutusele lihtsa masina . Me ei vaja palju ressursse, seega võtame võimaluse maksta tegelikult kulutatud megahertside ja liikluse eest. Piisab lihtsalt mängimiseks.
Klassikaline dm-krüpt kogu partitsiooni jaoks ei tõusnud. Vaikimisi antakse ketas ühes tükis, kogu partitsiooni juurega. Ext4 partitsiooni kokkutõmbamine juurühendusega partitsioonil on failisüsteemi asemel praktiliselt garanteeritud telliskivi. Proovisin) Tamburiin ei aidanud.
Krüptokonteineri loomine
Seetõttu ei krüpteeri me kogu partitsiooni, vaid kasutame failide krüptokonteinereid, nimelt auditeeritud ja usaldusväärset VeraCrypti. Meie jaoks on see piisav. Esiteks tõmbame ametlikult veebisaidilt välja ja installime CLI versiooniga paketi. Samal ajal saate kontrollida allkirja.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Nüüd loome konteineri kuskil oma kodus, et saaksime selle taaskäivitamisel käsitsi paigaldada. Interaktiivses valikus määrake konteineri suurus, parool ja krüpteerimisalgoritmid. Saate valida patriootilise šifri Grasshopper ja räsifunktsiooni Stribog.
veracrypt -t -c ~/my_super_secretNüüd installime nginxi, paigaldame konteineri ja täidame selle salajase teabega.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngParandame veidi /var/www/html/index.nginx-debian.html, et saada soovitud leht ja saate seda kontrollida.
Ühendage ja kontrollige
Konteiner on monteeritud, andmed on ligipääsetavad ja saadetud.
Ja siin on masin pärast taaskäivitamist. Andmeid hoitakse turvaliselt kaustas ~/my_super_secret.
Kui teil on seda tõesti vaja ja soovite seda kõvasti, saate kogu OS-i krüptida, nii et taaskäivitamisel on vaja ühenduse luua ssh-i kaudu ja sisestada parool. Sellest piisab ka lihtsalt "külmade andmete" eemaldamise stsenaariumi korral. Siin ja ketta kaugkrüptimine. Kuigi VDS-i puhul on see keeruline ja üleliigne.
Paljas metall
Oma serveri paigaldamine andmekeskusesse pole nii lihtne. Kellegi teise pühendatud võib osutuda virtuaalseks masinaks, kuhu kõik seadmed üle kantakse. Kuid midagi huvitavat kaitse osas algab siis, kui teil on võimalus paigutada oma usaldusväärne füüsiline server andmekeskusesse. Siin saate juba täielikult kasutada traditsioonilist dm-krüpti, VeraCrypti või mõnda muud teie valitud krüptimist.
Peate mõistma, et täieliku krüptimise rakendamisel ei saa server pärast taaskäivitamist iseseisvalt taastuda. Ühendus tuleb tõsta kohaliku IP-KVM-i, IPMI või muu sarnase liidesega. Pärast seda sisestame peavõtme käsitsi. Skeem näeb järjepidevuse ja tõrketaluvuse poolest nii-nii välja, aga erilisi alternatiive pole, kui andmed nii väärtuslikud on.
NCipher nShield F3 riistvara turvamoodul
Pehmem variant eeldab, et andmed on krüpteeritud ja võti asub otse serveris endas spetsiaalses HSM-is (Hardware Security Module). Reeglina on need väga funktsionaalsed seadmed, mis mitte ainult ei paku riistvaralist krüptograafiat, vaid omavad ka mehhanisme füüsiliste häkkimiskatsete tuvastamiseks. Kui keegi hakkab teie serveris nurklihvijaga ringi torkima, lähtestab sõltumatu toiteallikaga HSM oma mällu salvestatud võtmed. Ründaja saab krüpteeritud hakkliha. Sel juhul võib taaskäivitamine toimuda automaatselt.
Võtmete eemaldamine on palju kiirem ja humaansem variant kui termiidipommi või elektromagnetpiiriku aktiveerimine. Selliste seadmete puhul saavad naabrid andmekeskuse riiulil väga kaua peksa. Pealegi kasutamise korral krüptimist meediumil endal, ei teki teil praktiliselt mingeid lisakulusid. Kõik see juhtub OS-i jaoks läbipaistvalt. Tõsi, sel juhul tuleb usaldada tinglikku Samsungi ja loota, et sellel on aus AES256, mitte banaalne XOR.
Samas ei tohi unustada, et kõik mittevajalikud pordid tuleb füüsiliselt keelata või lihtsalt ühendiga täita. Vastasel juhul annate ründajatele võimaluse teostada . Kui teil on PCI Express või Thunderbolt, sealhulgas selle toega USB, paistavad välja, olete haavatav. Ründaja saab läbi nende portide rünnata ja pääseda võtmete abil otse mälule.
Väga keerukas versioonis saab ründaja läbi viia külma alglaadimise rünnaku. Samal ajal kallab see lihtsalt teie serverisse korraliku portsu vedelat lämmastikku, eemaldab jämedalt külmunud mälupulgad ja võtab neilt koos kõigi võtmetega prügikasti. Sageli piisab rünnaku läbiviimiseks tavalisest jahutuspritsist ja umbes -50 kraadisest temperatuurist. On ka täpsem variant. Kui te pole välisseadmetest laadimist keelanud, on ründaja algoritm veelgi lihtsam:
- Külmutage mälupulgad ilma korpust avamata
- Ühendage käivitatav USB-mälupulk
- Kasutage spetsiaalseid utiliite, et eemaldada RAM-ist andmed, mis külmumise tõttu taaskäivituse üle elasid.
Jaga ja valitse
Ok, meil on ainult virtuaalmasinad, aga ma tahaksin kuidagi vähendada andmelekke riske.
Põhimõtteliselt võite proovida arhitektuuri üle vaadata ning andmete salvestamist ja töötlemist eri jurisdiktsioonides jagada. Näiteks krüpteerimisvõtmetega frontend on pärit Tšehhis asuvast hostist ja krüpteeritud andmetega taustaprogramm on kuskil Venemaal. Tavalise arestimiskatse puhul on äärmiselt ebatõenäoline, et õiguskaitseorganid suudavad seda erinevates jurisdiktsioonides üheaegselt läbi viia. Lisaks kindlustab see meid osaliselt hetkepildi tegemise stsenaariumi vastu.
Noh, või võite kaaluda täiesti puhast võimalust - End-to-End krüptimist. Loomulikult läheb see spetsifikatsioonist kaugemale ega eelda arvutuste tegemist kaugmasina poolel. Andmete salvestamisel ja sünkroonimisel on see aga täiesti vastuvõetav valik. Näiteks on see väga mugavalt rakendatud Nextcloudis. Samas ei kao kuhugi sünkroonimine, versioonide loomine ja muu serveripoolne maiuspala.
Kogusummas
Täiesti turvalisi süsteeme pole olemas. Eesmärk on lihtsalt muuta rünnak väärtuslikumaks kui potentsiaalne kasu.
Virtuaalsel saidil andmetele juurdepääsu riske saab mõnevõrra vähendada, kombineerides krüptimist ja eraldi salvestusruumi erinevate hostitega.
Enam-vähem töökindel võimalus on kasutada oma riistvaraserverit.
Aga majutajat tuleb ikka nii või teisiti usaldada. Sellel toetub kogu tööstus.
Allikas: www.habr.com