kdpv - Reuters
Zerbitzari bat alokatzen baduzu, orduan ez duzu horren gaineko kontrol osoa. Horrek esan nahi du edozein unetan bereziki prestatutako pertsonak ostalarira etor daitezkeela eta zure datuetako bat emateko eska diezazuketela. Eta ostalariak itzuli egingo ditu eskaria legearen arabera formalizatzen bada.
Benetan ez duzu nahi zure web zerbitzariaren erregistroak edo erabiltzaileen datuak beste inori isurtzea. Ezinezkoa da defentsa ideal bat eraikitzea. Ia ezinezkoa da hipervisorearen jabe den eta makina birtual bat eskaintzen dizun ostalari batetik babestea. Baina agian posible izango da arriskuak apur bat murriztea. Alokairuko autoak zifratzea ez da lehen begiratuan dirudien bezain alferrikakoa. Aldi berean, ikus ditzagun zerbitzari fisikoetatik datuak ateratzearen mehatxuak.
Mehatxu eredua
Oro har, ostalaria bezeroaren interesak babesten saiatuko da legearen arabera. Agintari ofizialen gutunak sarbide-erregistroak soilik eskatu bazituen, ostalariak ez ditu zure makina birtual guztien zabortegiak datu-baseekin emango. Ez luke behintzat. Datu guztiak eskatzen badituzte, ostalariak disko birtualak kopiatuko ditu fitxategi guztiekin eta ez duzu horren berri izango.
Egoera edozein dela ere, zure helburu nagusia erasoa zaila eta garestia izatea da. Normalean hiru mehatxu aukera nagusi daude.
ofiziala
Gehienetan, paperezko gutun bat bidaltzen da ostalariaren bulego ofizialera, dagokion araudiaren arabera beharrezko datuak emateko eskakizunarekin. Dena behar bezala egiten bada, ostalariak beharrezko sarbide-erregistroak eta bestelako datuak ematen dizkie agintari ofizialei. Normalean beharrezko datuak bidaltzeko eskatzen dizute.
Batzuetan, guztiz beharrezkoa bada, legea betearazteko agentzietako ordezkariak bertaratzen dira datu-zentrora. Adibidez, zure zerbitzari dedikatua duzunean eta hortik datuak fisikoki bakarrik hartu daitezke.
Herrialde guztietan, jabetza pribaturako sarbidea lortzeko, bilaketak eta bestelako jarduerak egiteko datuek delitu bat ikertzeko informazio garrantzitsua izan dezaketela frogatu behar da. Horrez gain, araudi guztien arabera gauzatutako miaketa-agindua behar da. Tokiko legediaren berezitasunekin lotutako Γ±abardurak egon daitezke. Ulertu behar duzun gauza nagusia da bide ofiziala zuzena bada, datu-zentroko ordezkariek ez dutela inor sarreratik pasatzen utziko.
Gainera, herrialde gehienetan ezin duzu exekutatzen ari diren ekipoak atera. Esate baterako, Errusian, 2018 amaierara arte, Errusiako Federazioko Prozedura Kriminalaren Kodearen 183. artikuluaren 3.1 zatiaren arabera, bahiketa batean biltegiratze elektronikoko euskarrien bahiketa parte-hartzearekin egin zela bermatu zen. espezialista batena. Atzemandako biltegiratze euskarri elektronikoen legezko jabeak edo haietan jasotako informazioaren jabeak eskatuta, bahiketan parte hartzen duen espezialistak, lekukoen aurrean, atzemandako biltegiratze elektronikoko euskarrietatik informazioa kopiatzen du beste biltegiratze elektroniko batzuetara.
Orduan, tamalez, puntu hori kendu egin zen artikulutik.
Sekretua eta ez-ofiziala
Hau da dagoeneko NSA, FBI, MI5 eta hiru letretako beste erakunde batzuen jarduera-esparrua. Gehienetan, herrialdeetako legeriak eskumen izugarri zabalak ematen dizkie egitura horiei. Gainera, ia beti dago legediaren debekua zuzeneko edo zeharkako edozein lege betearazteko agentziekin lankidetzaren egiaztagiriaren berri ematea. Errusian ere badira antzekoak .
Zure datuetarako mehatxu hori gertatuz gero, ia ziur kenduko dira. Gainera, bahitze sinpleaz gain, atzeko ateen arsenal ez-ofizial osoa, zero-eguneko ahultasunak, zure makina birtualeko RAM-etik datuak ateratzea eta beste poz batzuk erabil daitezke. Kasu horretan, ostalaria behartuta egongo da ahal den neurrian lege betearazleei laguntzera.
Eskrupulurik gabeko langilea
Pertsona guztiak ez dira berdin onak. Datu-zentroko administratzaileetako batek diru gehigarria irabaztea eta zure datuak saltzea erabaki dezake. Garapen gehiago bere ahalmenen eta sarbidearen araberakoak dira. Gogaikarriena da birtualizazio kontsolarako sarbidea duen administratzaile batek zure makinen kontrol osoa duela. Beti egin dezakezu argazki bat RAMaren eduki guztiekin batera eta gero poliki-poliki aztertu.
VDS
Beraz, ostalariak eman dizun makina birtual bat duzu. Nola ezar dezakezu enkriptatzea zeure burua babesteko? Izan ere, ia ezer ez. Gainera, beste norbaiten zerbitzari dedikatua ere makina birtual bat izan daiteke beharrezko gailuak txertatzen diren.
Urruneko sistemaren zeregina datuak gordetzea besterik ez bada, kalkulu batzuk egitea baizik, orduan konfiantzarik gabeko makina batekin lan egiteko aukera bakarra ezartzea izango litzateke. . Kasu honetan, sistemak kalkuluak egingo ditu zehazki zer egiten ari den ulertzeko gaitasunik gabe. Zoritxarrez, enkriptazio hori ezartzeko gastu orokorrak hain dira altuak, non gaur egun haien erabilera praktikoa zeregin oso estuetara mugatzen da.
Gainera, makina birtuala exekutatzen ari den eta ekintza batzuk egiten ari den unean, enkriptatutako bolumen guztiak egoera eskuragarrian daude, bestela OSak ezin izango du haiekin lan egin. Horrek esan nahi du birtualizazio kontsolarako sarbidea izanez gero, beti egin dezakezula martxan dagoen makina baten argazki bat eta RAMetik gako guztiak atera ditzakezula.
Saltzaile asko RAMaren hardware-enkriptatzea antolatzen saiatu dira, ostalariak ere datu horietarako sarbidea izan ez dezan. Adibidez, Intel Software Guard Extensions teknologia, beste prozesu batzuek, sistema eragilearen nukleoa barne, eremu horretatik kanpo irakurtzetik eta idaztetik babestuta dauden helbide birtualeko eremuak antolatzen dituena. Zoritxarrez, ezin izango zara teknologia hauek guztiz fidatu, zure makina birtualera mugatuko zarelako. Horrez gain, prest dauden adibideak ere badaude teknologia honetarako. Hala ere, makina birtualak enkriptatzea ez da dirudien bezain alferrikakoa.
VDS-n datuak enkriptatzen ditugu
Utzidazu erreserba bat egin behean egiten dugun guztia ez dela erabateko babesik. Hipervisoreak beharrezkoak diren kopiak egiteko aukera emango dizu zerbitzua gelditu gabe eta konturatu gabe.
- Ostalariak eskatuta zure makina birtualaren irudi "hotza" transferitzen badu, nahiko seguru zaude. Hau da eszenatokirik ohikoena.
- Ostalariak martxan dagoen makina baten argazki osoa ematen badizu, orduan dena nahiko txarra da. Datu guztiak forma argian muntatuko dira sisteman. Horrez gain, RAM bidez arakatu ahal izango da gako pribatuen eta antzeko datuen bila.
Lehenespenez, OSa bainila irudi batetik zabaldu baduzu, ostalariak ez du root sarbiderik. Erreskate-irudiarekin euskarria munta dezakezu beti eta erroko pasahitza alda dezakezu makina birtualaren ingurunea chrooteatuz. Baina honek berrabiarazi beharko du, eta hori nabarituko da. Gainera, muntatutako enkriptatutako partizio guztiak itxi egingo dira.
Hala ere, makina birtual baten hedapena ez badator bainila irudi batetik, aurrez prestatutako batetik baizik, orduan ostalariak sarritan gehi dezake kontu pribilegiatu bat bezeroaren larrialdi egoeran laguntzeko. Adibidez, ahaztutako root pasahitza aldatzeko.
Erabateko argazki baten kasuan ere, dena ez da hain tristea. Erasotzaileak ez ditu enkriptatutako fitxategiak jasoko beste makina bateko urruneko fitxategi-sistematik muntatu badituzu. Bai, teorian, RAM zabortegia hauta dezakezu eta handik enkriptatzeko gakoak atera ditzakezu. Baina praktikan hori ez da oso hutsala eta oso zaila da prozesua fitxategien transferentzia soiletik harago joango denik.
Eskatu auto bat
Gure proba egiteko, makina sinple bat hartzen dugu . Ez dugu baliabide asko behar, beraz, benetan gastatutako megahertz eta trafikoa ordaintzeko aukera hartuko dugu. Jolastzeko nahikoa.
Partizio osorako dm-crypt klasikoa ez zen atera. Berez, diskoa pieza bakarrean ematen da, partizio osorako rootarekin. Ext4 partizio bat erro-muntatutako batean txikitzea ia adreilu bermatua da fitxategi-sistema baten ordez. Saiatu naiz) Panderoak ez zuen lagundu.
Kripto-edukiontzi bat sortzea
Hori dela eta, ez dugu partizio osoa enkriptatuko, baina fitxategi kripto-edukiontziak erabiliko ditugu, hots, VeraCrypt ikuskatua eta fidagarria. Gure helburuetarako nahikoa da. Lehenik eta behin, CLI bertsioarekin paketea atera eta instalatzen dugu webgune ofizialetik. Sinadura egiazta dezakezu aldi berean.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Orain edukiontzia bera sortuko dugu gure etxean nonbait, berrabiarazi ondoren eskuz muntatu ahal izateko. Aukera interaktiboan, ezarri edukiontziaren tamaina, pasahitza eta enkriptazio algoritmoak. Grasshopper zifra abertzalea eta Stribog hash funtzioa aukeratu ditzakezu.
veracrypt -t -c ~/my_super_secretOrain instala dezagun nginx, munta dezagun edukiontzia eta bete informazio sekretuarekin.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngZuzen dezagun apur bat /var/www/html/index.nginx-debian.html nahi duzun orria lortzeko eta egiaztatu dezakezu.
Konektatu eta egiaztatu
Edukiontzia muntatuta dago, datuak eskuragarri daude eta bidaltzen dira.
Eta hemen dago makina berrabiarazi ondoren. Datuak modu seguruan gordetzen dira ~/my_super_secret-en.
Benetan behar baduzu eta hardcore nahi baduzu, orduan OS osoa enkriptatu dezakezu, berrabiarazten duzunean ssh bidez konektatu eta pasahitza sartu behar izateko. Hori nahikoa izango da "datu hotzak" besterik gabe kentzeko eszenatokian ere. Hemen eta urruneko disko enkriptatzea. VDSen kasuan zaila eta erredundantea den arren.
Bare metala
Ez da hain erraza zure zerbitzaria datu-zentro batean instalatzea. Beste norbaitek eskainitakoa gailu guztiak transferitzen diren makina birtual bat izan daiteke. Baina babesari dagokionez zerbait interesgarria zure zerbitzari fisiko fidagarria datu-zentro batean jartzeko aukera duzunean hasten da. Hemen dagoeneko guztiz erabil dezakezu dm-crypt tradizionala, VeraCrypt edo nahi duzun beste edozein enkriptatzea.
Ulertu behar duzu zifratze osoa ezartzen bada, zerbitzariak ezingo duela bere kabuz berreskuratu berrabiarazi ondoren. Beharrezkoa izango da tokiko IP-KVM, IPMI edo antzeko beste interfaze batera konexioa igotzea. Horren ondoren, eskuz sartuko dugu gako nagusia. Eskemak horrela itxura du jarraikortasunari eta akatsen tolerantziari dagokionez, baina ez dago alternatiba berezirik datuak hain baliotsuak badira.
NCipher nShield F3 Hardwarearen segurtasun-modulua
Aukera leunagoak suposatzen du datuak enkriptatuta daudela eta gakoa zerbitzarian bertan dagoela zuzenean HSM (Hardware Security Module) berezi batean. Oro har, gailu oso funtzionalak dira, hardware-kriptografia eskaintzeaz gain, hacking saiakera fisikoak detektatzeko mekanismoak ere badituzte. Norbait zure zerbitzarian angelu-artezgailu batekin sartzen hasten bada, elikadura-iturri independentea duen HSMak bere memorian gordetzen dituen giltzak berrezarriko ditu. Erasotzaileak enkriptatutako haragi xehatua lortuko du. Kasu honetan, berrabiaraztea automatikoki gerta daiteke.
Giltzak kentzea askoz ere aukera azkarragoa eta gizatiarragoa da bonba termita edo atxilogailu elektromagnetikoa aktibatzea baino. Horrelako gailuetarako, oso denbora luzez jipoituko zaituzte auzokideek datu-zentroko rack-ean. Gainera, erabiltzearen kasuan enkriptatzea komunikabideetan bertan, ez duzu ia gainkosturik. Hori guztia gardentasunez gertatzen da OS sistemari. Egia da, kasu honetan Samsung baldintzatua fidatu behar duzu eta AES256 zintzoa duela espero behar duzu, eta ez XOR hutsala.
Aldi berean, ez dugu ahaztu behar alferrikako ataka guztiak fisikoki desgaitu behar direla edo, besterik gabe, konposatuz bete behar direla. Bestela, erasotzaileei gauzatzeko aukera ematen diezu . PCI Express edo Thunderbolt kanpoan baduzu, USBa barne, bere laguntzarekin, zaurgarria zara. Erasotzaile batek ataka hauen bidez eraso bat egin ahal izango du eta gakoekin memoriara zuzenean sartzeko aukera izango du.
Bertsio oso sofistikatu batean, erasotzaileak abio hotz-eraso bat egiteko gai izango da. Aldi berean, nitrogeno likido zati on bat zure zerbitzarian isurtzen du, gutxi gorabehera izoztutako memoria-txartelak kentzen ditu eta haietatik zabortegi bat hartzen du giltza guztiekin. Askotan, hozte-spray erregularra eta -50 gradu inguruko tenperatura nahikoa dira eraso bat egiteko. Aukera zehatzagoa ere badago. Kanpoko gailuetatik kargatzea desgaitu ez baduzu, erasotzailearen algoritmoa are sinpleagoa izango da:
- Izoztu memoria-stickak kaxa ireki gabe
- Konektatu abiarazteko USB flash drive
- Erabili utilitate bereziak izoztearen ondorioz berrabiaraztetik bizirik iraun zuten RAMetik datuak kentzeko.
Banatu eta konkistatu
Ados, makina birtualak baino ez ditugu, baina datuen ihes arriskuak nolabait murriztu nahiko nituzke.
Printzipioz, saia zaitezke arkitektura berrikusten eta datu biltegiratzea eta prozesatzea jurisdikzio ezberdinetan banatzen. Esate baterako, enkriptatutako gakoak dituen frontend-a Txekiar Errepublikako ostalariarena da, eta enkriptatutako datuak dituen backend-a Errusiako nonbait. Bahiketa saiakera estandar baten kasuan, oso zaila da legea betearazteko agentziek hori aldi berean gauzatu ahal izatea jurisdikzio desberdinetan. Gainera, honek partzialki ziurtatzen gaitu argazki bat ateratzeko eszenatokiaren aurka.
Beno, edo guztiz hutsa den aukera bat kontuan hartu dezakezu - End-to-End enkriptatzea. Jakina, horrek zehaztapenaren esparrutik haratago doa eta ez du esan nahi urruneko makinaren alboan kalkuluak egitea. Hala ere, aukera guztiz onargarria da datuak gordetzeko eta sinkronizatzeko orduan. Adibidez, hau oso eroso inplementatzen da Nextcloud-en. Aldi berean, sinkronizazioa, bertsioa eta zerbitzariaren aldeko beste onak ez dira desagertuko.
Guztira
Ez dago sistema guztiz segururik. Helburua erasoak balizko irabaziak baino gehiago balio izatea da.
Gune birtualeko datuak sartzeko arriskuak murriztea lor daiteke enkriptatzea eta biltegiratze bereizia ostalari desberdinekin konbinatuz.
Aukera gehiago edo gutxiago fidagarria zure hardware zerbitzaria erabiltzea da.
Baina ostalariari nola edo hala fidatu beharko da oraindik. Industria osoa horretan oinarritzen da.
Iturria: www.habr.com