kdpv - Reuters
Егер сіз серверді жалға алсаңыз, онда сіз оны толық басқара алмайсыз. Бұл кез келген уақытта арнайы дайындалған адамдар хосттерге келіп, кез келген деректеріңізді беруіңізді сұрай алады дегенді білдіреді. Ал егер талап заң бойынша ресімделсе, үй иесі оларды қайтарып береді.
Сіз шынымен веб-сервер журналдарының немесе пайдаланушы деректерінің басқа біреуге ағып кетуін қаламайсыз. Идеал қорғаныс құру мүмкін емес. Гипервизорға ие және виртуалды машинаны ұсынатын хосттерден өзіңізді қорғау мүмкін емес. Бірақ тәуекелдерді аздап азайтуға болатын шығар. Жалға берілетін көліктерді шифрлау бір қарағанда пайдасыз болып көрінетіндей пайдасыз емес. Сонымен бірге физикалық серверлерден деректерді алу қауіптерін қарастырайық.
Қауіп үлгісі
Әдетте, хостинг клиенттің мүддесін заң бойынша барынша қорғауға тырысады. Ресми органдардан келген хат тек кіру журналдарын сұраса, хосттер дерекқорлары бар барлық виртуалды машиналарыңыздың қоқыстарын қамтамасыз етпейді. Кем дегенде, олай болмауы керек. Егер олар барлық деректерді сұраса, хост барлық файлдармен виртуалды дискілерді көшіреді және сіз бұл туралы білмейсіз.
Сценарийге қарамастан, сіздің басты мақсатыңыз - шабуылды тым қиын және қымбатқа түсіру. Әдетте үш негізгі қауіп нұсқасы бар.
Ресми
Көбінесе, тиісті нормативтік құқықтық актілерге сәйкес қажетті деректерді беру талабымен хосттердің ресми кеңсесіне қағаз түрінде хат жіберіледі. Егер бәрі дұрыс орындалса, хосттер ресми органдарға қажетті кіру журналдарын және басқа деректерді береді. Әдетте олар сізге қажетті деректерді жіберуді сұрайды.
Анда-санда аса қажет болған жағдайда дата орталығына құқық қорғау органдарының өкілдері жеке келеді. Мысалы, өзіңіздің жеке серверіңіз болған кезде және сол жерден деректерді тек физикалық түрде алуға болады.
Барлық елдерде жеке меншікке қол жеткізу, тінту және басқа әрекеттерді жүргізу деректерде қылмысты тергеу үшін маңызды ақпаратты қамтуы мүмкін екенін дәлелдеуді талап етеді. Сонымен қатар, барлық ережелерге сәйкес ресімделген тінту туралы ордер қажет. Жергілікті заңнаманың ерекшеліктеріне қатысты нюанстар болуы мүмкін. Сіз түсінуіңіз керек ең бастысы, ресми жол дұрыс болса, дата орталығының өкілдері ешкімді кіреберістен өткізбейді.
Оның үстіне, көптеген елдерде жұмыс істеп тұрған жабдықты жай ғана шығара алмайсыз. Мысалы, Ресейде 2018 жылдың соңына дейін Ресей Федерациясының Қылмыстық-процестік кодексінің 183-бабының 3.1-тармағына сәйкес, тәркілеу кезінде электрондық сақтау құралдарын тәркілеу оның қатысуымен жүзеге асырылатынына кепілдік берілген. маманның. Алып қоюға қатысатын маман тәркіленген электрондық жеткізгіштің заңды иесінің немесе оларда қамтылған ақпарат иесінің талабы бойынша, куәлардың қатысуымен алынған электрондық сақтау тасымалдағышындағы мәліметтерді басқа электрондық сақтау құралына көшіреді.
Содан кейін, өкінішке орай, бұл тармақ мақаладан алынып тасталды.
Құпия және бейресми
Бұл қазірдің өзінде NSA, FBI, MI5 және басқа үш әріптік ұйымдардан арнайы дайындалған жолдастардың әрекет ету аймағы. Көбінесе елдердің заңнамасы мұндай құрылымдарға өте кең өкілеттіктер береді. Сонымен қатар, мұндай құқық қорғау органдарымен өзара әрекеттесу фактісін тікелей немесе жанама түрде ашуға әрқашан дерлік заңнамалық тыйым бар. Ресейде де осындайлар бар .
Деректеріңізге осындай қауіп төнген жағдайда олар міндетті түрде жойылады. Сонымен қатар, қарапайым басып алудан басқа, бэкдорлардың бүкіл бейресми арсеналын, нөлдік күндік осалдықтарды, виртуалды машинаңыздың жедел жадынан деректерді алуды және басқа қуаныштарды пайдалануға болады. Бұл жағдайда үй иесі құқық қорғау органдарының мамандарына мүмкіндігінше көмектесуге міндетті болады.
Адал емес қызметкер
Адамдардың бәрі бірдей жақсы емес. Деректер орталығының әкімшілерінің бірі қосымша ақша табуға және деректеріңізді сатуға шешім қабылдауы мүмкін. Әрі қарайғы даму оның өкілеттіктері мен қолжетімділігіне байланысты. Ең тітіркендіретін нәрсе - виртуалдандыру консоліне кіру мүмкіндігі бар әкімші сіздің машиналарыңызды толық басқарады. Сіз әрқашан жедел жадтың барлық мазмұнымен суретке түсіріп, содан кейін оны баяу зерттей аласыз.
VDS
Сонымен, сізде хосттар берген виртуалды машина бар. Өзіңізді қорғау үшін шифрлауды қалай енгізуге болады? Шын мәнінде, іс жүзінде ештеңе. Сонымен қатар, тіпті біреудің арнайы сервері қажетті құрылғылар енгізілген виртуалды машина болуы мүмкін.
Егер қашықтағы жүйенің міндеті деректерді сақтау ғана емес, кейбір есептеулерді орындау болса, онда сенімсіз машинамен жұмыс істеудің жалғыз нұсқасы іске асыру болады. . Бұл жағдайда жүйе нақты не істеп жатқанын түсіну мүмкіндігінсіз есептеулерді жүргізеді. Өкінішке орай, мұндай шифрлауды енгізуге кететін үстеме шығындар соншалықты жоғары, олардың практикалық қолданылуы қазіргі уақытта өте тар тапсырмалармен шектеледі.
Сонымен қатар, виртуалды машина жұмыс істеп тұрған және кейбір әрекеттерді орындаған кезде, барлық шифрланған томдар қол жетімді күйде, әйтпесе ОЖ олармен жұмыс істей алмайды. Бұл виртуализация консоліне қол жеткізе отырып, сіз әрқашан жұмыс істеп тұрған машинаның суретін түсіріп, жедел жадтан барлық кілттерді шығара аласыз дегенді білдіреді.
Көптеген өндірушілер жедел жадтың аппараттық шифрлауын ұйымдастыруға тырысты, сонда тіпті хосттер бұл деректерге қол жеткізе алмайды. Мысалы, виртуалды мекенжай кеңістігінде басқа процестер, соның ішінде операциялық жүйе ядросы арқылы оқу мен жазудан қорғалған аймақтарды ұйымдастыратын Intel Software Guard Extensions технологиясы. Өкінішке орай, сіз бұл технологияларға толығымен сене алмайсыз, өйткені сіз виртуалды машинамен шектелесіз. Сонымен қатар, дайын мысалдар қазірдің өзінде бар осы технология үшін. Дегенмен, виртуалды машиналарды шифрлау көрінетіндей мағынасыз емес.
Біз деректерді VDS жүйесінде шифрлаймыз
Төмендегі әрекеттеріміздің барлығы толыққанды қорғаныс болып табылмайтынын бірден ескертемін. Гипервизор сізге қажетті көшірмелерді қызметті тоқтатпай және сізді байқамай-ақ жасауға мүмкіндік береді.
- Егер сұрау бойынша хост сіздің виртуалды машинаңыздың «суық» кескінін тасымалдаса, сіз салыстырмалы түрде қауіпсізсіз. Бұл ең көп таралған сценарий.
- Егер хост сізге жұмыс істейтін машинаның толық суретін берсе, онда бәрі өте нашар. Барлық деректер жүйеде анық түрде орнатылады. Сонымен қатар, жеке кілттер мен ұқсас деректерді іздеу үшін ЖЖҚ арқылы іздеуге болады.
Әдепкі бойынша, егер сіз ОЖ-ны ванильді кескіннен орнатқан болсаңыз, хостте түбірлік қатынас болмайды. Тасымалдағышты әрқашан құтқару кескінімен орнатуға және виртуалды машина ортасын chroot арқылы түбірлік құпия сөзді өзгертуге болады. Бірақ бұл қайта жүктеуді қажет етеді, ол байқалады. Сонымен қатар, барлық орнатылған шифрланған бөлімдер жабылады.
Дегенмен, егер виртуалды машинаны орналастыру ванильді кескіннен емес, алдын ала дайындалған кескіннен болса, онда хостинг клиенттегі төтенше жағдайға көмектесу үшін жиі артықшылықты тіркелгіні қоса алады. Мысалы, ұмытылған түбірлік құпия сөзді өзгерту үшін.
Тіпті толық суретті түсірген жағдайда да бәрі соншалықты қайғылы емес. Егер сіз оларды басқа құрылғының қашықтағы файл жүйесінен орнатқан болсаңыз, шабуылдаушы шифрланған файлдарды алмайды. Иә, теориялық тұрғыдан сіз RAM қоқысын таңдап, шифрлау кілттерін сол жерден шығара аласыз. Бірақ іс жүзінде бұл өте тривиальды емес және бұл процестің қарапайым файлдарды тасымалдаудан асып кетуі екіталай.
Көлікке тапсырыс беріңіз
Сынақ мақсаттары үшін біз қарапайым машинаны аламыз . Бізге көп ресурстар қажет емес, сондықтан біз мегагерц пен нақты жұмсалған трафикті төлеу опциясын қабылдаймыз. Онымен ойнауға жеткілікті.
Бүкіл бөлімге арналған классикалық dm-crypt өшпеді. Әдепкі бойынша, диск бүкіл бөлім үшін түбірі бар бір бөлікте беріледі. Түбірге орнатылған ext4 бөлімін кішірейту файлдық жүйенің орнына іс жүзінде кепілдік берілген кірпіш болып табылады. Мен тырыстым) Домбыра көмектеспеді.
Криптографиялық контейнер жасау
Сондықтан біз бүкіл бөлімді шифрламаймыз, бірақ файлдық криптографиялық контейнерлерді, атап айтқанда тексерілген және сенімді VeraCrypt пайдаланамыз. Біздің мақсаттарымыз үшін бұл жеткілікті. Алдымен біз ресми веб-сайттан CLI нұсқасы бар пакетті шығарып, орнатамыз. Қолтаңбаны бір уақытта тексеруге болады.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Енді контейнерді үйіміздің бір жерінде жасаймыз, осылайша оны қайта жүктеген кезде қолмен орнатуға болады. Интерактивті опцияда контейнер өлшемін, құпия сөзді және шифрлау алгоритмдерін орнатыңыз. Сіз Grasshopper патриоттық шифрін және Stribog хэш функциясын таңдай аласыз.
veracrypt -t -c ~/my_super_secretЕнді nginx орнатып, контейнерді орнатып, оны құпия ақпаратпен толтырайық.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngҚажетті бетті алу үшін /var/www/html/index.nginx-debian.html сәл түзетейік және сіз оны тексере аласыз.
Қосылыңыз және тексеріңіз
Контейнер орнатылған, деректер қолжетімді және жіберіледі.
Міне, қайта жүктегеннен кейін құрылғы. Деректер ~/my_super_secret ішінде қауіпсіз сақталады.
Егер сізге бұл шынымен қажет болса және оның қатты болуын қаласаңыз, қайта жүктеген кезде ssh арқылы қосылуды және құпия сөзді енгізуді қажет ететіндей бүкіл ОЖ-ны шифрлай аласыз. Бұл жай ғана «суық деректерді» алып тастау сценарийінде де жеткілікті болады. Мұнда және қашықтағы дискіні шифрлау. VDS жағдайында бұл қиын және артық болса да.
Жалаңаш металл
Деректер орталығында өз серверіңізді орнату оңай емес. Басқа біреудің арнаулысы барлық құрылғылар тасымалданатын виртуалды машина болуы мүмкін. Бірақ сенімді физикалық серверді деректер орталығына орналастыру мүмкіндігі болған кезде қорғау тұрғысынан қызықты нәрсе басталады. Мұнда сіз дәстүрлі dm-crypt, VeraCrypt немесе өзіңіз таңдаған кез келген басқа шифрлауды толығымен пайдалана аласыз.
Толық шифрлау жүзеге асырылса, сервер қайта жүктелгеннен кейін өздігінен қалпына келмейтінін түсінуіңіз керек. Жергілікті IP-KVM, IPMI немесе басқа ұқсас интерфейске қосылымды көтеру қажет болады. Осыдан кейін біз негізгі кілтті қолмен енгіземіз. Схема үздіксіздік және ақауларға төзімділік тұрғысынан солай көрінеді, бірақ деректер соншалықты құнды болса, арнайы балама жоқ.
NCipher nShield F3 аппараттық қауіпсіздік модулі
Жұмсақ опция деректердің шифрланғанын және кілттің тікелей сервердің өзінде арнайы HSM (Аппараттық қауіпсіздік модулі) ішінде орналасқанын болжайды. Әдетте, бұл аппараттық криптографияны қамтамасыз етіп қана қоймай, сонымен қатар физикалық бұзу әрекеттерін анықтау механизмдері бар өте функционалды құрылғылар. Егер біреу сіздің серверіңізді бұрыштық тегістеуішпен айналдыра бастаса, тәуелсіз қуат көзі бар HSM жадында сақталатын кілттерді қалпына келтіреді. Шабуылдаушы шифрланған фаршты алады. Бұл жағдайда қайта жүктеу автоматты түрде болуы мүмкін.
Кілттерді алып тастау термиттік бомбаны немесе электромагниттік разрядтағышты белсендіруден гөрі әлдеқайда жылдам және адамгершілікке негізделген нұсқа болып табылады. Мұндай құрылғылар үшін деректер орталығындағы сөреде көршілеріңіз сізді өте ұзақ уақыт ұрып-соғады. Сонымен қатар, пайдалану жағдайында медианың өзінде шифрлау, сіз іс жүзінде ешқандай қосымша шығындарды көрмейсіз. Мұның бәрі ОЖ үшін ашық түрде болады. Рас, бұл жағдайда шартты Samsung-қа сену керек және оның XOR емес, адал AES256 бар деп үміттену керек.
Сонымен қатар, біз барлық қажет емес порттарды физикалық түрде өшіру немесе жай ғана қосылыспен толтыру керек екенін ұмытпауымыз керек. Әйтпесе, сіз шабуылдаушыларға орындауға мүмкіндік бересіз . Егер сізде PCI Express немесе Thunderbolt, соның ішінде қолдауы бар USB болса, сіз осалсыз. Шабуыл жасаушы осы порттар арқылы шабуыл жасап, кілттер арқылы жадқа тікелей қол жеткізе алады.
Өте күрделі нұсқада шабуылдаушы суық жүктеу шабуылын жасай алады. Сонымен қатар, ол жай ғана серверге сұйық азоттың жақсы бөлігін құйып, қатып қалған жад таяқшаларын шамамен алып тастайды және олардан барлық кілттермен бірге қоқыс алады. Шабуыл жасау үшін жиі әдеттегі салқындатқыш спрей және шамамен -50 градус температура жеткілікті. Сондай-ақ дәлірек нұсқа бар. Егер сіз сыртқы құрылғылардан жүктеуді өшірмеген болсаңыз, шабуылдаушының алгоритмі одан да қарапайым болады:
- Корпусты ашпай жад таяқшаларын қатырыңыз
- Жүктелетін USB флэш-дискісін қосыңыз
- Мұздатуға байланысты қайта жүктеуден аман қалған деректерді жедел жадтан жою үшін арнайы утилиталарды пайдаланыңыз.
Бөліңіз және жеңіңіз
Жарайды, бізде тек виртуалды машиналар бар, бірақ мен деректердің ағып кету қаупін азайтқым келеді.
Негізінде, архитектураны қайта қарауға және деректерді сақтау мен өңдеуді әртүрлі юрисдикцияларға таратуға болады. Мысалы, шифрлау кілттері бар фронтенд Чехиядағы хосттерден, ал шифрланған деректері бар сервер Ресейдің бір жерінде. Стандартты тәркілеу әрекеті болған жағдайда, құқық қорғау органдарының мұны әртүрлі юрисдикцияларда бір уақытта жүзеге асыруы екіталай. Сонымен қатар, бұл бізді суретке түсіру сценарийінен ішінара сақтандырады.
Немесе сіз толығымен таза опцияны қарастыра аласыз - End-to-End шифрлау. Әрине, бұл спецификацияның шеңберінен шығады және қашықтағы машинаның жағында есептеулерді орындауды білдірмейді. Дегенмен, бұл деректерді сақтау және синхрондауға қатысты өте қолайлы нұсқа. Мысалы, бұл Nextcloud бағдарламасында өте ыңғайлы түрде жүзеге асырылады. Сонымен қатар, синхрондау, нұсқалау және басқа серверлік пайдалы нәрселер жойылмайды.
Барлығы
Мінсіз қауіпсіз жүйелер жоқ. Мақсат - ықтимал пайдадан гөрі шабуылды қымбатқа түсіру.
Виртуалды сайттағы деректерге қол жеткізу тәуекелдерінің біршама төмендеуіне шифрлауды және бөлек сақтауды әртүрлі хосттермен біріктіру арқылы қол жеткізуге болады.
Азды-көпті сенімді нұсқа - өзіңіздің аппараттық серверіңізді пайдалану.
Бірақ иесіне бәрібір сену керек болады. Бүкіл сала осыған сүйенеді.
Ақпарат көзі: www.habr.com