kdpv - Reuters
Upami anjeun nyéwa server, maka anjeun henteu gaduh kontrol pinuh. Ieu ngandung harti yén iraha waé jalma anu dilatih khusus tiasa sumping ka hoster sareng naroskeun anjeun nyayogikeun data anjeun. Sarta hoster bakal masihan aranjeunna deui lamun paménta ieu formalized nurutkeun hukum.
Anjeun leres-leres henteu hoyong log pangladén wéb anjeun atanapi data pangguna bocor ka saha waé. Teu mungkin pikeun ngawangun pertahanan idéal. Ampir teu mungkin ngajaga diri tina hoster anu gaduh hypervisor sareng nyayogikeun anjeun mesin virtual. Tapi sigana bakal tiasa ngirangan résiko sakedik. Encrypting mobil rental teu sakumaha gunana sakumaha sigana di glance kahiji. Dina waktos anu sami, hayu urang tingali ancaman ékstraksi data tina server fisik.
Modél ancaman
Sakumaha aturan, hoster bakal nyobian ngajaga kapentingan klien saloba mungkin ku hukum. Lamun surat ti otoritas resmi ngan dipénta aksés log, hoster moal nyadiakeun dumps sadaya mesin virtual anjeun kalawan database. Sahenteuna henteu kedah. Upami aranjeunna naroskeun sadaya data, hoster bakal nyalin disk virtual sareng sadaya file sareng anjeun moal terang ngeunaan éta.
Henteu paduli skénario, tujuan utama anjeun nyaéta ngajantenkeun serangan éta sesah sareng mahal. Biasana aya tilu pilihan ancaman utama.
resmi
Seringna, surat kertas dikirim ka kantor resmi hoster kalayan sarat pikeun nyayogikeun data anu diperyogikeun saluyu sareng peraturan anu aya. Upami sadayana dilakukeun leres, hoster nyayogikeun log aksés anu diperyogikeun sareng data sanésna ka otoritas resmi. Biasana aranjeunna ngan naroskeun anjeun ngirim data anu diperyogikeun.
Aya kalana, upami mutlak diperlukeun, wawakil agénsi penegak hukum datang ka puseur data pribadi. Salaku conto, nalika anjeun gaduh server khusus sareng data ti dinya ngan ukur tiasa dicandak sacara fisik.
Di sadaya nagara, meunangkeun aksés ka milik pribadi, ngalakonan pilarian jeung kagiatan sejenna merlukeun bukti yen data bisa ngandung informasi penting pikeun panalungtikan kajahatan. Sajaba ti éta, hiji nawaran pilarian dieksekusi luyu jeung sagala peraturan diperlukeun. Meureun aya nuansa patali jeung peculiarities panerapan lokal. Hal utama anu anjeun kedah ngartos nyaéta upami jalur resmi leres, wawakil pusat data moal ngantep saha waé anu ngalangkungan lawang.
Leuwih ti éta, di sabagéan ageung nagara anjeun teu bisa ngan saukur narik kaluar parabot ngajalankeun. Contona, di Rusia, nepi ka ahir 2018, nurutkeun Pasal 183 tina Code of Prosedur Pidana of Féderasi Rusia, bagian 3.1, éta dijamin yén salila rebutan, rebutan média panyimpen éléktronik dilaksanakeun kalawan partisipasi. ti spesialis. Dina pamundut ti nu boga légal tina média panyimpen éléktronik anu nyita atanapi anu gaduh inpormasi anu aya dina éta, spesialis anu milu dina rebutan, ku ayana saksi, nyalin inpormasi tina média panyimpen éléktronik anu direbut ka média panyimpen éléktronik anu sanés.
Lajeng, hanjakalna, titik ieu dihapus tina artikel.
Rusiah jeung teu resmi
Ieu geus wewengkon aktivitas comrades husus dilatih ti NSA, FBI, MI5 jeung organisasi tilu-hurup lianna. Paling sering, panerapan nagara nyadiakeun kakuatan pisan lega pikeun struktur misalna. Leuwih ti éta, ampir sok aya larangan législatif dina sagala panyingkepan langsung atawa teu langsung kanyataan pisan gawé babarengan jeung agénsi penegak hukum misalna. Aya nu sarupa di Rusia .
Upami anceman sapertos kitu ka data anjeun, aranjeunna ampir pasti bakal dikaluarkeun. Leuwih ti éta, salian rebutan basajan, sakabéh arsenal teu resmi backdoors, kerentanan enol poé, ékstraksi data tina RAM mesin virtual anjeun, sarta joys séjén bisa dipaké. Dina hal ieu, hoster bakal wajib pikeun mantuan spesialis penegak hukum saloba mungkin.
Pagawe anu teu merhatikeun
Henteu sakabéh jalma sarua alus. Salah sahiji pangurus pusat data tiasa mutuskeun ngadamel artos tambahan sareng ngajual data anjeun. Perkembangan salajengna gumantung kana kakawasaan sareng aksésna. Hal anu paling ngaganggu nyaéta yén administrator anu gaduh aksés kana konsol virtualisasi gaduh kontrol lengkep dina mesin anjeun. Anjeun salawasna tiasa nyandak snapshot sareng sadaya eusi RAM teras diajar lalaunan.
VDS
Janten anjeun gaduh mesin virtual anu masihan hoster anjeun. Kumaha anjeun tiasa nerapkeun enkripsi pikeun ngajaga diri? Kanyataanna, praktis nanaon. Leuwih ti éta, malah server dedicated batur bisa jadi hiji mesin virtual dimana alat-alat nu diperlukeun diselapkeun.
Upami tugas sistem jauh henteu ngan ukur nyimpen data, tapi pikeun ngalakukeun sababaraha itungan, maka hiji-hijina pilihan pikeun damel sareng mesin anu teu dipercaya nyaéta ngalaksanakeun. . Dina hal ieu, sistem bakal ngalakukeun itungan tanpa kamampuhan pikeun ngarti naon kahayang eta ngalakukeun. Hanjakalna, biaya overhead pikeun ngalaksanakeun enkripsi sapertos kitu luhur pisan sahingga panggunaan praktisna ayeuna dugi ka tugas anu sempit pisan.
Tambih Deui, dina momen nalika mesin virtual dijalankeun sareng ngalakukeun sababaraha tindakan, sadaya jilid énkripsi aya dina kaayaan anu tiasa diaksés, upami henteu, OS ngan saukur moal tiasa damel sareng aranjeunna. Ieu ngandung harti yén ngabogaan aksés ka konsol virtualization, anjeun salawasna bisa nyandak snapshot tina mesin ngajalankeun sarta nimba sagala kenop ti RAM.
Seueur anu ngical paralatan nyobian ngatur enkripsi hardware RAM supados bahkan hoster henteu ngagaduhan aksés kana data ieu. Contona, Intel Software Guard Extensions téhnologi, nu organizes wewengkon dina spasi alamat maya nu ditangtayungan tina maca jeung nulis ti luar wewengkon ieu ku prosés séjén, kaasup kernel sistem operasi. Hanjakalna, anjeun moal tiasa percanten pinuh kana téknologi ieu, sabab anjeun bakal dugi ka mesin virtual anjeun. Sajaba ti éta, conto siap-dijieun geus aya pikeun téhnologi ieu. Leungit, énkripsi mesin virtual henteu aya gunana sapertos sigana.
Urang énkripsi data dina VDS
Hayu atuh nyieun reservasi langsung yén sagalana urang ngalakukeun di handap teu jumlah panyalindungan full-fledged. Hypervisor bakal ngamungkinkeun anjeun ngadamel salinan anu diperyogikeun tanpa ngeureunkeun jasa sareng tanpa perhatikeun anjeun.
- Upami, upami dipénta, hoster mindahkeun gambar "tiis" tina mesin virtual anjeun, maka anjeun kawilang aman. Ieu skenario paling umum.
- Lamun hoster méré Anjeun snapshot pinuh ku mesin ngajalankeun, lajeng sagalana geulis goréng. Sadaya data bakal dipasang dina sistem dina bentuk anu jelas. Sajaba ti éta, bakal mungkin mun rummage ngaliwatan RAM dina pilarian konci swasta jeung data sarupa.
Sacara standar, upami anjeun nyebarkeun OS tina gambar vanili, hoster henteu ngagaduhan aksés root. Anjeun salawasna bisa Gunung média jeung gambar nyalametkeun sarta ngarobah sandi root ku chrooting lingkungan mesin virtual. Tapi ieu ngabutuhkeun reboot, anu bakal diperhatoskeun. Tambih Deui, sadaya partisi énkripsi anu dipasang bakal ditutup.
Nanging, upami panyebaran mesin virtual henteu asalna tina gambar vanili, tapi tina anu tos disiapkeun, teras hoster sering tiasa nambihan akun anu istimewa pikeun ngabantosan dina kaayaan darurat di klien. Contona, pikeun ngarobah hiji kecap akses root poho.
Malah dina kasus snapshot lengkep, teu sagalana jadi hanjelu. Panyerang moal nampi file énkripsi upami anjeun dipasang tina sistem file jauh tina mesin sanés. Leres, dina tiori, anjeun tiasa milih dump RAM sareng nimba konci enkripsi ti dinya. Tapi dina prakna ieu teu pisan trivial sarta eta pisan saperti teu mirip prosés bakal balik saluareun mindahkeun file basajan.
Mesen mobil
Pikeun tujuan uji kami, kami nyandak mesin anu sederhana . Kami henteu peryogi seueur sumber, janten kami bakal nyandak pilihan pikeun mayar megahertz sareng lalu lintas anu leres-leres dikaluarkeun. Cukup pikeun ulin-ulinan.
The dm-crypt Palasik pikeun sakabéh partisi teu take off. Sacara standar, disk dirumuskeun dina hiji sapotong, kalayan akar pikeun sakabéh partisi. Nyusut partisi ext4 dina partisi anu dipasang dina akar praktis mangrupikeun bata anu dijamin tibatan sistem file. Kuring diusahakeun) Rebana teu mantuan.
Nyieun wadah crypto
Kituna, urang moal encrypt sakabéh partisi, tapi bakal ngagunakeun peti crypto file, nyaéta VeraCrypt diaudit sarta dipercaya. Pikeun tujuan urang ieu cukup. Mimiti, urang tarik kaluar sareng pasang pakét nganggo versi CLI tina situs wéb resmi. Anjeun tiasa pariksa tanda tangan dina waktos anu sami.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Ayeuna urang bakal nyiptakeun wadahna sorangan dimana waé di bumi urang supados urang tiasa dipasang sacara manual nalika reboot. Dina pilihan interaktif, setel ukuran wadahna, kecap akses sareng algoritma enkripsi. Anjeun tiasa milih cipher Grasshopper patriotik sareng fungsi hash Stribog.
veracrypt -t -c ~/my_super_secretAyeuna hayu urang pasang nginx, pasang wadahna sareng eusian inpormasi rahasia.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngHayu urang rada bener /var/www/html/index.nginx-debian.html pikeun meunangkeun kaca nu dipikahoyong tur Anjeun bisa pariksa deui.
Sambungkeun jeung pariksa
Wadahna dipasang, datana tiasa diaksés sareng dikirim.
Sareng ieu mangrupikeun mesin saatos reboot. Data disimpen sacara aman dina ~/my_super_secret.
Upami anjeun leres-leres peryogina sareng hoyong hardcore, maka anjeun tiasa énkripsi sadayana OS supados nalika anjeun reboot peryogi nyambungkeun via ssh sareng ngalebetkeun kecap konci. Ieu ogé bakal cukup dina skenario saukur withdrawing "data tiis". Ieuh jeung énkripsi disk jauh. Sanajan dina kasus VDS hese jeung kaleuleuwihan.
logam bulistir
Teu jadi gampang masang server sorangan dina puseur data. Anu dikhususkeun ku batur tiasa janten mesin virtual dimana sadaya alat ditransfer. Tapi hal anu pikaresepeun dina hal panyalindungan dimimitian nalika anjeun ngagaduhan kasempetan pikeun nempatkeun server fisik anu dipercaya dina pusat data. Di dieu anjeun parantos tiasa nganggo dm-crypt tradisional, VeraCrypt atanapi énkripsi sanés anu anjeun pikahoyong.
Anjeun kedah ngartos yén upami total enkripsi dilaksanakeun, server moal tiasa pulih nyalira saatos reboot. Perlu ningkatkeun sambungan kana IP-KVM lokal, IPMI atanapi antarmuka anu sami. Saatos éta kami sacara manual ngalebetkeun konci master. Skéma éta katingalina kitu-kitu dina hal kontinuitas sareng kasabaran kasalahan, tapi henteu aya alternatif khusus upami datana berharga.
NCipher nShield F3 Hardware Module Kaamanan
Hiji pilihan lemes nganggap yén data énkripsi sarta konci lokasina langsung dina server sorangan dina HSM husus (Hardware Kaamanan Module). Sakumaha aturan, ieu mangrupikeun alat anu fungsional anu henteu ngan ukur nyayogikeun kriptografi hardware, tapi ogé gaduh mékanisme pikeun ngadeteksi usaha hacking fisik. Lamun batur mimiti poking sabudeureun server anjeun kalawan coét sudut, HSM kalawan catu daya bebas bakal ngareset kenop nu eta nyimpen dina mémori na. Panyerang bakal nampi mincemeat énkripsi. Dina hal ieu, reboot bisa lumangsung otomatis.
Ngahapus konci mangrupikeun pilihan anu langkung gancang sareng langkung manusiawi tibatan ngaktifkeun bom thermite atanapi arrester éléktromagnétik. Pikeun alat sapertos kitu, anjeun bakal keok lila pisan ku tatangga anjeun dina rak di puseur data. Leuwih ti éta, dina kasus ngagunakeun enkripsi dina média sorangan, Anjeun ngalaman ampir euweuh overhead. Sadaya ieu lumangsung sacara transparan pikeun OS. Leres, dina hal ieu anjeun kedah percanten ka Samsung kondisional sareng ngaharepkeun yén éta ngagaduhan AES256 anu jujur, sareng sanés XOR banal.
Dina waktos anu sami, urang henteu kedah hilap yén sadaya palabuhan anu teu dipikabutuh kedah ditumpurkeun sacara fisik atanapi ngan saukur ngeusi sanyawa. Upami teu kitu, anjeun masihan panyerang kasempetan pikeun ngalaksanakeun . Upami Anjeun gaduh PCI Express atanapi Thunderbolt nempel kaluar, kaasup USB kalayan rojongan na, anjeun rentan. Panyerang bakal tiasa ngalakukeun serangan ngaliwatan palabuhan ieu sareng kéngingkeun aksés langsung kana mémori nganggo konci.
Dina versi anu canggih pisan, panyerang bakal tiasa ngalaksanakeun serangan boot tiis. Dina waktos anu sami, éta ngan saukur tuang sabagian anu hadé tina nitrogén cair kana server anjeun, kira-kira ngaleungitkeun stik mémori anu beku sareng nyandak dump ti aranjeunna sareng sadaya konci. Seringna, semprot penyejukan biasa sareng suhu sakitar -50 derajat cekap pikeun ngalaksanakeun serangan. Aya ogé pilihan anu langkung akurat. Upami anjeun henteu nganonaktipkeun ngamuat tina alat éksternal, maka algoritma panyerang bakal langkung saderhana:
- Freeze stik memori tanpa muka wadahna
- Sambungkeun USB flash drive bootable Anjeun
- Anggo utilitas khusus pikeun ngahapus data tina RAM anu salamet reboot kusabab katirisan.
Dibagi sareng nalukkeun
Ok, urang ngan boga mesin virtual, tapi Abdi hoyong kumaha bae ngurangan résiko leakage data.
Anjeun tiasa, prinsipna, nyobian ngarévisi arsitéktur sareng ngadistribusikaeun panyimpen data sareng pamrosésan ka sadaya yurisdiksi anu béda. Contona, frontend kalawan konci enkripsi nyaeta ti hoster di Républik Céko, sarta backend kalawan data énkripsi aya wae di Rusia. Dina kasus usaha rebutan standar, éta pisan saperti teu mirip yén agénsi penegak hukum bakal tiasa ngalaksanakeun ieu sakaligus dina yurisdiksi béda. Tambih Deui, ieu sawaréh insures kami ngalawan skenario nyokot snapshot a.
Nya, atanapi anjeun tiasa mertimbangkeun pilihan anu murni - enkripsi End-to-End. Tangtosna, ieu saluareun ruang lingkup spésifikasi sareng henteu hartosna ngalaksanakeun itungan dina sisi mesin jauh. Sanajan kitu, ieu téh pilihan sampurna ditarima lamun datang ka nyimpen jeung nyingkronkeun data. Contona, ieu pisan merenah dilaksanakeun dina Nextcloud. Dina waktos anu sami, singkronisasi, vérsi sareng barang-barang sanés dina sisi server moal dileungitkeun.
dina total
Henteu aya sistem anu sampurna aman. Tujuanana nyaéta ngan ukur ngajantenkeun serangan langkung ageung tibatan poténsial kauntungan.
Sababaraha réduksi dina resiko ngakses data dina situs virtual bisa dihontal ku ngagabungkeun enkripsi jeung neundeun misah jeung hosters béda.
Pilihan anu langkung atanapi kirang dipercaya nyaéta ngagunakeun server hardware anjeun nyalira.
Tapi hoster tetep kedah dipercanten hiji cara atanapi anu sanés. Sakabeh industri rests on ieu.
sumber: www.habr.com