kdpv - Ройтерс
Хэрэв та сервер түрээслэх юм бол түүнийг бүрэн хянах боломжгүй болно. Энэ нь ямар ч үед тусгайлан бэлтгэгдсэн хүмүүс хост дээр ирж, танаас хүссэн мэдээллээ өгөхийг хүсч болно гэсэн үг юм. Мөн хуулийн дагуу шаардлагаа албан ёсоор болговол эзэн нь буцааж өгнө.
Та өөрийн вэб серверийн бүртгэл эсвэл хэрэглэгчийн мэдээлэл хэн нэгэнд алдагдахыг үнэхээр хүсэхгүй байна. Хамгийн тохиромжтой хамгаалалтыг бий болгох боломжгүй юм. Гипервизорыг эзэмшдэг, танд виртуал машин өгдөг хостоос өөрийгөө хамгаалах нь бараг боломжгүй юм. Гэхдээ магадгүй эрсдэлийг бага зэрэг бууруулах боломжтой байх. Түрээсийн машиныг шифрлэх нь эхлээд харахад тийм ч хэрэггүй зүйл биш юм. Үүний зэрэгцээ, физик серверээс өгөгдөл олборлох аюул заналхийллийг харцгаая.
Аюул заналхийллийн загвар
Дүрмээр бол эзэн нь үйлчлүүлэгчийн эрх ашгийг хуулиар аль болох хамгаалахыг хичээх болно. Хэрэв албан ёсны эрх бүхий байгууллагаас ирсэн захидалд зөвхөн нэвтрэх бүртгэлийг хүссэн бол хост нь таны бүх виртуал машиныг мэдээллийн сантай болгохгүй. Ядаж тэгэх ёсгүй. Хэрэв тэд бүх өгөгдлийг асуувал хост нь виртуал дискийг бүх файлын хамт хуулах бөгөөд та энэ талаар мэдэхгүй.
Ямар ч хувилбараас үл хамааран таны гол зорилго бол довтолгоог хэтэрхий хүнд, үнэтэй болгох явдал юм. Ихэвчлэн аюулын гурван үндсэн сонголт байдаг.
Албан ёсны
Ихэнх тохиолдолд зохих журмын дагуу шаардлагатай мэдээллийг өгөхийг шаардсан цаасан захидал хүлээн авагчийн албан ёсны оффис руу илгээгддэг. Хэрэв бүх зүйл зөв хийгдсэн бол хост нь шаардлагатай нэвтрэх бүртгэл болон бусад мэдээллийг албан ёсны эрх бүхий байгууллагад өгнө. Ихэвчлэн тэд танаас шаардлагатай өгөгдлийг илгээхийг л хүсдэг.
Хааяа онцын шаардлага гарвал хууль хяналтын байгууллагын төлөөлөл биечлэн ирж дата төвд ирдэг. Жишээлбэл, та өөрийн тусгай сервертэй бол тэндээс өгөгдлийг зөвхөн физик байдлаар авах боломжтой.
Бүх улс оронд хувийн өмчид нэвтрэх, нэгжлэг хийх болон бусад үйл ажиллагаа явуулахад тухайн мэдээлэл нь гэмт хэргийн мөрдөн байцаалтад чухал мэдээлэл агуулсан байж болохыг нотлох баримт шаарддаг. Үүнээс гадна бүх дүрэм журмын дагуу гүйцэтгэсэн нэгжлэг хийх шаардлагатай. Орон нутгийн хууль тогтоомжийн онцлогтой холбоотой нюансууд байж болно. Таны ойлгох ёстой гол зүйл бол албан ёсны зам зөв бол дата төвийн төлөөлөгчид орцны хажуугаар хэнийг ч явуулахгүй.
Түүгээр ч зогсохгүй ихэнх улс оронд ажиллаж байгаа тоног төхөөрөмжийг зүгээр л сугалж чадахгүй. Жишээлбэл, ОХУ-д 2018 оныг дуустал ОХУ-ын Эрүүгийн байцаан шийтгэх хуулийн 183 дугаар зүйлийн 3.1-д заасны дагуу хураан авах явцад цахим мэдээллийн хэрэгслийг хураан авах ажиллагааг түүний оролцоотойгоор хийсэн болохыг баталгаажуулсан. мэргэжилтний. Хураагдсан цахим мэдээллийн хэрэгслийн хууль ёсны эзэмшигч, эсхүл тэдгээрт агуулагдсан мэдээллийн эзэмшигчийн хүсэлтээр хураан авах ажиллагаанд оролцож буй мэргэжилтэн гэрчүүдийг байлцуулан хураан авсан цахим мэдээллийн хэрэгслээс мэдээллийг бусад цахим мэдээллийн хэрэгсэлд хуулбарлана.
Дараа нь харамсалтай нь энэ зүйлийг нийтлэлээс хасав.
Нууц, албан бус
Энэ бол NSA, FBI, MI5 болон бусад гурван үсэгтэй байгууллагуудын тусгайлан бэлтгэгдсэн нөхдүүдийн үйл ажиллагааны нутаг дэвсгэр юм. Ихэнх тохиолдолд улс орнуудын хууль тогтоомжид ийм бүтцэд маш өргөн эрх мэдэл олгодог. Түүгээр ч барахгүй хууль сахиулах байгууллагуудтай хамтран ажиллаж байсан баримтыг шууд болон шууд бусаар ил болгохыг хууль тогтоомжоор бараг үргэлж хориглодог. Орос улсад үүнтэй төстэй зүйлүүд байдаг .
Таны өгөгдөлд ийм аюул заналхийлсэн тохиолдолд тэдгээрийг бараг л устгах болно. Түүнээс гадна энгийн хураан авахаас гадна арын хаалганы албан бус арсенал, тэг өдрийн эмзэг байдал, виртуал машины RAM-аас өгөгдөл олборлох болон бусад баяр баясгаланг ашиглаж болно. Энэ тохиолдолд эзэн нь хууль сахиулах мэргэжилтнүүдэд аль болох туслах үүрэгтэй.
Шударга бус ажилтан
Бүх хүмүүс адилхан сайн байдаггүй. Дата төвийн администраторуудын аль нэг нь нэмэлт мөнгө хийж, таны өгөгдлийг зарахаар шийдэж магадгүй юм. Цаашдын хөгжил нь түүний эрх мэдэл, хүртээмжээс хамаарна. Хамгийн ядаргаатай зүйл бол виртуалчлалын консол руу нэвтрэх эрхтэй администратор таны машинуудыг бүрэн хянах боломжтой байдаг. Та үргэлж RAM-ийн бүх агуулгын хамт агшин зуурын зургийг авч, дараа нь аажмаар судалж болно.
VDS
Тиймээс танд хостын өгсөн виртуал машин байна. Та өөрийгөө хамгаалахын тулд шифрлэлтийг хэрхэн хэрэгжүүлэх вэ? Үнэндээ бараг юу ч биш. Түүгээр ч зогсохгүй өөр хэн нэгний зориулалтын сервер хүртэл шаардлагатай төхөөрөмжүүдийг оруулсан виртуал машин болж хувирдаг.
Хэрэв алсын системийн даалгавар нь зөвхөн өгөгдөл хадгалах биш, харин зарим тооцоолол хийх явдал юм бол найдвартай машинтай ажиллах цорын ганц сонголт бол үүнийг хэрэгжүүлэх явдал юм. . Энэ тохиолдолд систем нь яг юу хийж байгаагаа ойлгох чадваргүйгээр тооцоо хийх болно. Харамсалтай нь ийм шифрлэлтийг хэрэгжүүлэхэд гарах зардал маш өндөр тул практик хэрэглээ нь одоогоор маш нарийн даалгавраар хязгаарлагдаж байна.
Нэмж дурдахад, виртуал машин ажиллаж, зарим үйлдэл хийж байх үед бүх шифрлэгдсэн хэмжээ нь хандах боломжтой байдалд байгаа бөгөөд эс тэгвээс үйлдлийн систем нь тэдэнтэй ажиллах боломжгүй болно. Энэ нь виртуалчлалын консол руу нэвтрэх боломжтой бол та үргэлж ажиллаж байгаа машины агшин зуурын зургийг авч, RAM-аас бүх түлхүүрүүдийг гаргаж авах боломжтой гэсэн үг юм.
Олон үйлдвэрлэгчид RAM-ийн техник хангамжийн шифрлэлтийг зохион байгуулахыг оролдсон бөгөөд ингэснээр хост нь энэ өгөгдөлд хандах эрхгүй болно. Жишээлбэл, үйлдлийн системийн цөм зэрэг бусад процессоор энэ талбараас гадуур унших, бичихээс хамгаалагдсан виртуал хаягийн орон зай дахь хэсгүүдийг зохион байгуулдаг Intel Software Guard Extensions технологи. Харамсалтай нь та виртуал машинаараа хязгаарлагдах тул эдгээр технологид бүрэн итгэх боломжгүй болно. Үүнээс гадна бэлэн жишээнүүд аль хэдийн бий энэ технологийн хувьд. Гэсэн хэдий ч виртуал машиныг шифрлэх нь санагдсан шиг утгагүй зүйл биш юм.
Бид VDS дээр өгөгдлийг шифрлэдэг
Бидний доор хийж байгаа бүх зүйл нь бүрэн хамгаалалт болж чадахгүй гэдгийг би даруй сануулъя. Гипервизор нь үйлчилгээгээ зогсоохгүйгээр, танд мэдэгдэхгүйгээр шаардлагатай хуулбарыг хийх боломжийг танд олгоно.
- Хүсэлтийн дагуу эзэн таны виртуал машины "хүйтэн" зургийг шилжүүлбэл та харьцангуй аюулгүй байна. Энэ бол хамгийн түгээмэл хувилбар юм.
- Хэрэв эзэн танд ажиллаж байгаа машины бүрэн агшин зургийг өгвөл бүх зүйл маш муу байна. Бүх өгөгдлийг системд тодорхой хэлбэрээр суулгана. Нэмж дурдахад хувийн түлхүүрүүд болон үүнтэй төстэй өгөгдлийг хайж олохын тулд RAM-г хайх боломжтой болно.
Анхдагч байдлаар, хэрэв та OS-г ванилийн дүрсээс суулгасан бол хост руу root хандалт байхгүй. Та үргэлж аврах дүрс бүхий медиаг холбож, виртуал машины орчныг chroot хийх замаар root нууц үгийг өөрчлөх боломжтой. Гэхдээ энэ нь дахин ачаалах шаардлагатай бөгөөд үүнийг анзаарах болно. Дээрээс нь бүх холбогдсон шифрлэгдсэн хуваалтууд хаагдах болно.
Гэсэн хэдий ч, хэрэв виртуал машиныг байрлуулах нь ванилийн зураг биш, харин урьдчилан бэлтгэсэн зурагнаас гаралтай бол хост нь үйлчлүүлэгчид яаралтай тусламж үзүүлэхийн тулд давуу эрхтэй данс нэмж болно. Жишээлбэл, мартагдсан root нууц үгийг өөрчлөх.
Бүрэн хормын хувилбарын хувьд ч гэсэн бүх зүйл тийм ч гунигтай байдаггүй. Хэрэв та өөр машины алсын файлын системээс холбосон бол халдагч шифрлэгдсэн файлуудыг хүлээн авахгүй. Тийм ээ, онолын хувьд та RAM-ийн хаягдлыг сонгож, тэндээс шифрлэлтийн түлхүүрүүдийг гаргаж авах боломжтой. Гэвч бодит байдал дээр энэ нь тийм ч энгийн зүйл биш бөгөөд энэ процесс нь энгийн файл дамжуулахаас цааш явах магадлал багатай юм.
Машин захиалах
Туршилтын зорилгоор бид энгийн машин авдаг . Бидэнд маш их нөөц хэрэггүй, тиймээс бид зарцуулсан мегагерц болон траффикийн төлбөрийг төлөх сонголтыг хийх болно. Зүгээр л тоглоход хангалттай.
Бүхэл бүтэн хуваалтын сонгодог dm-crypt нь салаагүй. Анхдагч байдлаар, дискийг бүхэлд нь хуваалтын үндэстэй нэг хэсэг болгон өгдөг. Root дээр суурилуулсан ext4 хуваалтыг багасгах нь файлын системийн оронд бараг баталгаатай тоосго юм. Би оролдсон) Хэнгэрэг тус болсонгүй.
Крипто савыг бий болгох
Тиймээс бид хуваалтыг бүхэлд нь шифрлэхгүй, харин аудитлагдсан, найдвартай VeraCrypt файлын крипто контейнер ашиглах болно. Бидний хувьд энэ нь хангалттай. Эхлээд бид CLI хувилбар бүхий багцыг албан ёсны вэбсайтаас гаргаж аваад суулгана. Та нэгэн зэрэг гарын үсгийг шалгаж болно.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Одоо бид гэрийнхээ хаа нэгтээ савыг өөрөө үүсгэж, дахин ачаалсны дараа гараар холбох боломжтой болно. Интерактив сонголтод савны хэмжээ, нууц үг, шифрлэлтийн алгоритмыг тохируулна уу. Та эх оронч Царцаа шифр болон Stribog хэш функцийг сонгож болно.
veracrypt -t -c ~/my_super_secretОдоо nginx-ийг суулгаж, контейнерийг суулгаж, нууц мэдээллээр дүүргэцгээе.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngХүссэн хуудсыг авахын тулд /var/www/html/index.nginx-debian.html-г бага зэрэг засаад үзээрэй, та үүнийг шалгаж болно.
Холболт хийгээд шалгана уу
Савыг суурилуулсан, өгөгдөлд хандах боломжтой, илгээгдсэн.
Дахин ачаалсны дараа машин энд байна. Мэдээллийг ~/my_super_secret-д найдвартай хадгалдаг.
Хэрэв танд үнэхээр хэрэгтэй бөгөөд хатуу байхыг хүсч байвал үйлдлийн системээ бүхэлд нь шифрлэх боломжтой бөгөөд ингэснээр дахин ачаалах үед ssh-ээр холбогдож, нууц үг оруулах шаардлагатай болно. Энэ нь "хүйтэн өгөгдөл" -ийг зүгээр л татах хувилбарт хангалттай байх болно. Энд болон алсын дискний шифрлэлт. Хэдийгээр VDS-ийн хувьд энэ нь хэцүү бөгөөд илүүдэлтэй байдаг.
Нүцгэн металл
Дата төвд өөрийн серверийг суулгах нь тийм ч хялбар биш юм. Өөр хэн нэгний зориулалт нь бүх төхөөрөмжийг шилжүүлдэг виртуал машин болж хувирч магадгүй юм. Гэхдээ найдвартай физик серверээ дата төвд байрлуулах боломж олдвол хамгаалалтын хувьд сонирхолтой зүйл эхэлнэ. Энд та уламжлалт dm-crypt, VeraCrypt эсвэл өөрийн сонгосон бусад шифрлэлтийг аль хэдийн бүрэн ашиглаж болно.
Хэрэв нийт шифрлэлт хийгдсэн бол дахин ачаалсны дараа сервер өөрөө сэргээгдэх боломжгүй гэдгийг та ойлгох хэрэгтэй. Орон нутгийн IP-KVM, IPMI эсвэл бусад ижил төстэй интерфейстэй холболтыг нэмэгдүүлэх шаардлагатай болно. Үүний дараа бид мастер түлхүүрийг гараар оруулна. Тасралтгүй байдал, алдааг тэсвэрлэх чадварын хувьд уг схем нь тийм ч их харагддаг боловч өгөгдөл нь маш үнэ цэнэтэй тохиолдолд тусгай хувилбар байхгүй.
NCipher nShield F3 техник хангамжийн аюулгүй байдлын модуль
Илүү зөөлөн сонголт нь өгөгдлийг шифрлэсэн бөгөөд түлхүүр нь сервер дээр шууд тусгай HSM (Тоног төхөөрөмжийн аюулгүй байдлын модуль) дээр байрладаг гэж үздэг. Дүрмээр бол эдгээр нь зөвхөн техник хангамжийн криптографийг хангаад зогсохгүй физик хакердах оролдлогыг илрүүлэх механизмтай маш ажиллагаатай төхөөрөмжүүд юм. Хэрэв хэн нэгэн таны серверийг өнцгийн нунтаглагчаар тойрч эхэлбэл бие даасан тэжээлийн хангамж бүхий HSM нь санах ойд хадгалсан түлхүүрүүдийг дахин тохируулах болно. Халдагч нь шифрлэгдсэн татсан махыг авах болно. Энэ тохиолдолд автоматаар дахин ачаалах боломжтой.
Түлхүүрийг арилгах нь термитийн бөмбөг эсвэл цахилгаан соронзон баривчлагчийг идэвхжүүлэхээс хамаагүй хурдан бөгөөд илүү хүмүүнлэг сонголт юм. Ийм төхөөрөмжүүдийн хувьд та дата төвийн тавиур дээр хөршүүддээ маш удаан хугацаагаар зодох болно. Үүнээс гадна, ашиглах тохиолдолд хэвлэл мэдээллийн хэрэгслээр шифрлэхэд танд бараг ямар ч зардал гарахгүй. Энэ бүхэн үйлдлийн системд ил тод болдог. Үнэн бол энэ тохиолдолд та нөхцөлт Samsung-д итгэх хэрэгтэй бөгөөд энэ нь энгийн XOR биш харин шударга AES256-тай гэдэгт найдаж байна.
Үүний зэрэгцээ, бүх шаардлагагүй портууд нь бие махбодийн хувьд идэвхгүй болсон эсвэл зүгээр л нэгдэлээр дүүргэгдсэн байх ёстой гэдгийг мартаж болохгүй. Үгүй бол та халдагчдад хийх боломжийг олгоно . Хэрэв танд PCI Express эсвэл Thunderbolt, түүний дотор USB дэмжлэгтэй байгаа бол та эмзэг болно. Халдагчид эдгээр портуудаар дамжуулан халдлага үйлдэж, санах ой руу түлхүүрээр шууд хандах боломжтой болно.
Маш боловсронгуй хувилбарт халдагч нь хүйтэн ачаалах халдлага хийх боломжтой болно. Үүний зэрэгцээ, энэ нь зүгээр л таны серверт шингэн азотын сайн хэсгийг асгаж, хөлдөөсөн санах ойн зөөгчийг бараг л салгаж, бүх түлхүүрүүдтэй хамт устгадаг. Ихэнхдээ довтолгоонд тогтмол хөргөх шүршигч, -50 градусын температур хангалттай байдаг. Илүү нарийвчлалтай сонголт бас бий. Хэрэв та гадны төхөөрөмжөөс ачаалахыг хаагаагүй бол халдагчийн алгоритм бүр ч хялбар байх болно.
- Хэргийг нээхгүйгээр санах ойн зөөгчийг хөлдөө
- Ачаалах боломжтой USB флаш дискээ холбоно уу
- Хөлдөлтийн улмаас дахин ачаалсны дараа RAM-аас өгөгдлийг устгахын тулд тусгай хэрэгслийг ашиглана уу.
Хувааж, эзлэн авна
За, бид зөвхөн виртуал машинтай, гэхдээ би ямар нэгэн байдлаар өгөгдөл алдагдах эрсдлийг бууруулахыг хүсч байна.
Та зарчмын хувьд архитектурыг шинэчилж, мэдээллийн хадгалалт, боловсруулалтыг өөр өөр хууль эрх зүйн хүрээнд түгээхийг оролдож болно. Жишээлбэл, шифрлэлтийн түлхүүр бүхий урд тал нь Чех улсын хостоос, шифрлэгдсэн өгөгдөлтэй арын хэсэг нь Оросын хаа нэгтээ байдаг. Стандарт хураан авах оролдлогын хувьд хууль сахиулах байгууллагууд өөр өөр харьяалалд нэгэн зэрэг хийх боломжгүй юм. Нэмж дурдахад энэ нь биднийг агшин зуурын зураг авах хувилбараас хэсэгчлэн даатгадаг.
За, эсвэл та бүрэн цэвэр сонголтыг авч үзэж болно - End-to-End шифрлэлт. Мэдээжийн хэрэг, энэ нь техникийн үзүүлэлтээс хэтэрсэн бөгөөд алсын машины хажуу талд тооцоолол хийх гэсэн үг биш юм. Гэсэн хэдий ч энэ нь өгөгдлийг хадгалах, синхрончлоход тохиромжтой сонголт юм. Жишээлбэл, энэ нь Nextcloud дээр маш тохиромжтой хэрэгждэг. Үүний зэрэгцээ синхрончлол, хувилбар болон бусад сервер талын сайн зүйлс алга болохгүй.
Нийт
Төгс аюулгүй систем гэж байдаггүй. Зорилго нь довтолгоог боломжит ашигаас илүү үнэ цэнэтэй болгох явдал юм.
Виртуал сайт дээрх өгөгдөлд хандах эрсдлийг тодорхой хэмжээгээр бууруулж, шифрлэлт болон тусдаа хадгалалтыг өөр өөр хостертой хослуулан хийж болно.
Илүү их эсвэл бага найдвартай сонголт бол өөрийн техник хангамжийн серверийг ашиглах явдал юм.
Гэхдээ эзэн нь нэг талаараа итгэх ёстой хэвээр байх болно. Бүхэл бүтэн салбар үүнд тулгуурладаг.
Эх сурвалж: www.habr.com