kdpv - Reuters
Агар шумо серверро иҷора гиред, пас шумо назорати пурраи онро надоред. Ин маънои онро дорад, ки дар ҳар вақт одамони махсус таълимдида метавонанд ба hoster омада, аз шумо хоҳиш кунанд, ки ягон маълумоти шуморо пешниҳод кунед. Ва соҳибхона онҳоро бармегардонад, агар талабот тибқи қонун ба расмият дароварда шавад.
Шумо аслан намехоҳед, ки гузоришҳои веб-сервери шумо ё маълумоти корбари шумо ба ягон каси дигар гузарад. Мудофиаи идеалиро сохтан мумкин нест. Муҳофизати худро аз хосте, ки соҳиби гипервизор аст ва ба шумо мошини виртуалӣ медиҳад, қариб ғайриимкон аст. Аммо шояд каме кам кардани хатарҳо имконпазир бошад. Рамзгузории мошинҳои иҷора он қадар бефоида нест, ки дар назари аввал ба назар мерасад. Дар баробари ин, биёед ба таҳдидҳои истихроҷи маълумот аз серверҳои физикӣ назар кунем.
Модели таҳдид
Чун қоида, соҳибхона кӯшиш мекунад, ки манфиатҳои муштариро то ҳадди имкон аз рӯи қонун ҳимоя кунад. Агар мактуби мақомоти расмӣ танҳо сабтҳои дастрасиро талаб карда бошад, пас хостер партовҳои ҳамаи мошинҳои виртуалии шуморо бо пойгоҳи додаҳо таъмин намекунад. Ақаллан набояд ин тавр бошад. Агар онҳо ҳама маълумотро талаб кунанд, мизбон дискҳои виртуалиро бо ҳама файлҳо нусхабардорӣ мекунад ва шумо дар ин бора намедонед.
Новобаста аз сенария, ҳадафи асосии шумо ин аст, ки ҳамларо хеле душвор ва гарон кунад. Одатан се варианти асосии таҳдид вуҷуд дорад.
Расмӣ
Аксар вақт, мактуби коғазӣ ба дафтари расмии соҳибхона бо талаби пешниҳоди маълумоти зарурӣ тибқи муқаррароти дахлдор фиристода мешавад. Агар ҳама чиз дуруст анҷом дода шуда бошад, мизбон ба мақомоти расмӣ сабтҳои зарурии дастрасӣ ва дигар маълумотро пешниҳод мекунад. Одатан, онҳо танҳо аз шумо хоҳиш мекунанд, ки маълумоти заруриро фиристед.
Баъзан дар мавриди зарурат намояндагони мақомоти ҳифзи ҳуқуқ шахсан ба маркази маълумот меоянд. Масалан, вақте ки шумо сервери бахшидашудаи худро доред ва маълумотро аз он ҷо танҳо аз ҷиҳати ҷисмонӣ гирифтан мумкин аст.
Дар ҳама кишварҳо, дастрасӣ ба моликияти хусусӣ, гузаронидани кофтуков ва дигар фаъолиятҳо далелҳоро талаб мекунад, ки маълумот метавонад маълумоти муҳимро барои тафтиши ҷиноят дар бар гирад. Илова бар ин, фармоиши кофтукови мувофиқи ҳама қоидаҳо иҷро карда мешавад. Мумкин аст нозукиҳои марбут ба вижагиҳои қонунгузории маҳаллӣ вуҷуд дошта бошанд. Чизи асосие, ки шумо бояд фаҳмед, ин аст, ки агар роҳи расмӣ дуруст бошад, намояндагони маркази маълумот ҳеҷ касро аз даромадгоҳ намегузоранд.
Илова бар ин, дар аксари кишварҳо шумо наметавонед танҳо таҷҳизоти коркунандаро берун кашед. Масалан, дар Русия то охири соли 2018 тибқи моддаи 183-и Кодекси мурофиавии ҷиноятии Федератсияи Русия, қисми 3.1 кафолат дода шудааст, ки ҳангоми мусодира мусодираи воситаҳои нигоҳдории электронӣ бо иштироки он сурат мегирад. аз мутахассис. Мутахассиси дар ҳабс гирифташуда бо талаби соҳиби қонунии муҳитҳои нигоҳдории электронии ҳабсшуда ё соҳиби маълумоти дар онҳо мавҷудбуда дар ҳузури шоҳидон маълумотро аз муҳитҳои нигоҳдории электронии гирифташуда ба дигар муҳитҳои нигоҳдории электронӣ нусхабардорӣ мекунад.
Баъд, мутаассифона, ин нукта аз макола дур карда шуд.
Махфӣ ва ғайрирасмӣ
Ин аллакай ҳудуди фаъолияти рафиқони махсус омодашуда аз NSA, FBI, MI5 ва дигар ташкилотҳои се-номавӣ мебошад. Аксар вақт қонунгузории кишварҳо барои чунин сохторҳо ваколатҳои ниҳоят васеъ пешбинӣ шудааст. Гузашта аз ин, қариб ҳамеша қонунгузорӣ барои ҳама гуна ифшои мустақим ё ғайримустақими худи далели ҳамкорӣ бо чунин мақомоти ҳифзи ҳуқуқ манъ аст. Дар Русия низ чунинҳо вуҷуд доранд .
Дар сурати чунин таҳдид ба маълумоти шумо, онҳо қариб ҳатман хориҷ карда мешаванд. Ғайр аз он, ба ғайр аз мусодираи оддӣ, тамоми арсенали ғайрирасмии пушти дарҳо, осебпазирии сифрӣ, истихроҷи маълумот аз RAM-и мошини виртуалии шумо ва дигар шодӣ метавонад истифода шавад. Дар ин ҳолат, соҳибхона вазифадор мешавад, ки то ҳадди имкон ба мутахассисони мақомоти ҳифзи ҳуқуқ кумак расонад.
Корманди бевиҷдон
На ҳама одамон баробар хубанд. Яке аз маъмурони маркази додаҳо метавонад қарор кунад, ки пули иловагӣ ба даст орад ва маълумоти шуморо фурӯшад. Рушди минбаъда аз ваколатҳо ва дастрасии ӯ вобаста аст. Аз ҳама дилгиркунанда он аст, ки маъмуре, ки ба консоли виртуализатсия дастрасӣ дорад, мошинҳои шуморо пурра назорат мекунад. Шумо ҳамеша метавонед бо тамоми мундариҷаи RAM акс гиред ва сипас оҳиста онро омӯзед.
ВДС
Пас шумо як мошини маҷозӣ доред, ки мизбон ба шумо додааст. Чӣ тавр шумо метавонед рамзгузориро барои муҳофизати худ татбиқ кунед? Дар асл, амалан ҳеҷ чиз. Ғайр аз он, ҳатто сервери бахшидашудаи ягон каси дигар метавонад як мошини маҷозӣ бошад, ки дар он дастгоҳҳои зарурӣ ҷойгир карда мешаванд.
Агар вазифаи системаи дурдаст на танҳо нигоҳ доштани маълумот, балки иҷрои баъзе ҳисобҳо бошад, пас ягона имкони кор бо мошини беэътимод амалӣ кардани . Дар ин ҳолат, система бидуни қобилияти фаҳмидани он ки маҳз чӣ кор карда истодааст, ҳисобҳо анҷом медиҳад. Мутаассифона, хароҷоти изофӣ барои татбиқи чунин рамзгузорӣ чунон баланд аст, ки истифодаи амалии онҳо дар айни замон бо вазифаҳои хеле танг маҳдуд аст.
Илова бар ин, дар айни замон, ки мошини виртуалӣ кор мекунад ва баъзе амалҳоро иҷро мекунад, ҳама ҳаҷмҳои рамзгузорӣ дар ҳолати дастрас мебошанд, вагарна ОС бо онҳо кор карда наметавонад. Ин маънои онро дорад, ки шумо метавонед ба консоли виртуализатсия дастрасӣ дошта бошед, шумо ҳамеша метавонед акси як мошини коркунандаро гиред ва ҳамаи калидҳоро аз RAM истихроҷ кунед.
Бисёре аз фурӯшандагон кӯшиш карданд, ки рамзгузории сахтафзори RAM-ро ташкил кунанд, то ҳатто хостгор ба ин маълумот дастрасӣ надошта бошад. Масалан, технологияи Intel Software Guard Extensions, ки минтақаҳоро дар фазои суроғаи виртуалӣ ташкил мекунад, ки аз хондан ва навиштан аз берун аз ин минтақа тавассути равандҳои дигар, аз ҷумла ядрои системаи амалиётӣ муҳофизат карда мешаванд. Мутаассифона, шумо ба ин технологияҳо комилан эътимод карда наметавонед, зеро шумо танҳо бо мошини виртуалии худ маҳдуд хоҳед шуд. Илова бар ин, намунаҳои тайёр аллакай вуҷуд доранд барои ин технология. Бо вуҷуди ин, рамзгузории мошинҳои виртуалӣ он қадар бемаънӣ нест, ки ба назар мерасад.
Мо маълумотро дар VDS рамзгузорӣ мекунем
Иҷозат диҳед фавран қайд кунам, ки ҳама чизе, ки мо дар зер анҷом медиҳем, муҳофизати комил нест. Гипервизор ба шумо имкон медиҳад, ки нусхаҳои заруриро бидуни қатъи хидмат ва бидуни огоҳии шумо созед.
- Агар тибқи дархост, мизбон тасвири "сард"-и мошини виртуалии шуморо интиқол диҳад, пас шумо нисбатан бехатар ҳастед. Ин сенарияи маъмултарин аст.
- Агар мизбон тасвири пурраи мошини коркунандаро диҳад, пас ҳама чиз хеле бад аст. Ҳама маълумотҳо дар система дар шакли равшан ҷойгир карда мешаванд. Илова бар ин, дар ҷустуҷӯи калидҳои хусусӣ ва маълумоти шабеҳ тавассути хотираи RAM имконпазир хоҳад буд.
Бо нобаёнӣ, агар шумо OS-ро аз тасвири ванилӣ ҷойгир карда бошед, hoster дастрасии реша надорад. Шумо ҳамеша метавонед васоити ахбори оммаро бо тасвири наҷотдиҳӣ насб кунед ва пароли решаро тавассути chrooting муҳити мошини виртуалӣ иваз кунед. Аммо ин бозсозӣ талаб мекунад, ки пайхас хоҳад шуд. Илова бар ин, ҳама қисмҳои рамзгузоришудаи насбшуда баста мешаванд.
Аммо, агар ҷойгиркунии мошини виртуалӣ на аз тасвири ванилӣ, балки аз тасвири пешакӣ омодашуда ба вуҷуд ояд, пас мизбон аксар вақт метавонад ҳисоби имтиёзнокро барои кӯмак дар вазъияти фавқулодда дар муштарӣ илова кунад. Масалан, барои тағир додани пароли решаи фаромӯшшуда.
Ҳатто дар сурати пурраи аксбардорӣ, на ҳама чиз он қадар ғамгин аст. Агар шумо онҳоро аз системаи файлии дурдасти мошини дигар насб карда бошед, ҳамлакунанда файлҳои рамзшударо қабул намекунад. Бале, дар назария, шумо метавонед партови RAM-ро интихоб кунед ва калидҳои рамзгузориро аз он ҷо истихроҷ кунед. Аммо дар амал ин чандон ночиз нест ва аз эҳтимол дур нест, ки ин раванд аз интиқоли оддии файл берун ояд.
Мошин фармоиш диҳед
Барои мақсадҳои санҷиши мо, мо як мошини оддӣ мегирем . Мо ба захираҳои зиёд эҳтиёҷ надорем, аз ин рӯ мо имкони пардохти мегагерц ва трафики воқеан сарфшударо мегирем. Танҳо барои бозӣ кардан кофӣ аст.
Дм-крипти классикй барои тамоми бахш канда нашуд. Бо нобаёнӣ, диск дар як порча бо реша барои тамоми қисм дода мешавад. Коҳиш додани қисмати ext4 дар қисмати ба реша насбшуда амалан хишти кафолатдодашуда ба ҷои системаи файлист. Ман кушиш кардам) Даф кумак накард.
Эҷоди як контейнери криптографӣ
Аз ин рӯ, мо тамоми қисматро рамзгузорӣ намекунем, балки контейнерҳои криптографии файлро истифода хоҳем бурд, яъне VeraCrypt аз санҷиш ва боэътимод. Барои максадхои мо ин кифоя аст. Аввалан, мо бастаро бо версияи CLI аз вебсайти расмӣ мебарорем ва насб мекунем. Шумо метавонед дар як вақт имзоро тафтиш кунед.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Ҳоло мо худи контейнерро дар ҷое дар хонаи худ месозем, то онро ҳангоми бозоғозӣ дастӣ насб кунем. Дар варианти интерактивӣ андозаи контейнер, парол ва алгоритмҳои рамзгузориро таъин кунед. Шумо метавонед рамзи ватандӯстии Grasshopper ва функсияи hash Stribog -ро интихоб кунед.
veracrypt -t -c ~/my_super_secretАкнун биёед nginx-ро насб кунем, контейнерро насб кунем ва онро бо маълумоти махфӣ пур кунем.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngБиёед каме ислоҳ кунем /var/www/html/index.nginx-debian.html барои ба даст овардани саҳифаи дилхоҳ ва шумо метавонед онро тафтиш кунед.
Пайваст кунед ва тафтиш кунед
Контейнер насб карда шудааст, маълумот дастрас ва фиристода мешавад.
Ва дар ин ҷо мошин пас аз бозоғозӣ аст. Маълумот дар ~/my_super_secret бехатар нигоҳ дошта мешавад.
Агар шумо воқеан ба он ниёз доред ва мехоҳед, ки он сахтгир бошад, пас шумо метавонед тамоми ОС-ро рамзгузорӣ кунед, то вақте ки шумо аз нав оғоз мекунед, пайвастшавӣ тавассути ssh ва ворид кардани паролро талаб кунад. Ин инчунин дар сенарияи танҳо гирифтани "маълумоти сард" кофӣ хоҳад буд. Ин ҷо ва рамзгузории диски дурдаст. Ҳарчанд дар мавриди VDS он мушкил ва зиёдатист.
Металли урён
Дар маркази додаҳо насб кардани сервери худ он қадар осон нест. Каси дигаре метавонад як мошини маҷозӣ шавад, ки ба он ҳама дастгоҳҳо интиқол дода мешаванд. Аммо чизи ҷолиб аз ҷиҳати муҳофизат вақте оғоз мешавад, ки шумо имкони ҷойгир кардани сервери физикии боэътимоди худро дар маркази додаҳо доред. Дар ин ҷо шумо метавонед аллакай пурра истифода баред dm-crypt анъанавӣ, VeraCrypt ё ягон рамзгузории дигар интихоб кунед.
Шумо бояд фаҳмед, ки агар рамзгузории умумӣ амалӣ карда шавад, сервер пас аз бозоғозӣ мустақилона барқарор карда наметавонад. Барои баланд бардоштани пайвастшавӣ ба IP-KVM маҳаллӣ, IPMI ё дигар интерфейси шабеҳ зарур аст. Пас аз он мо калиди усторо дастӣ ворид мекунем. Нақша аз нигоҳи давомнокӣ ва таҳаммулпазирии хатоҳо чунин ба назар мерасад, аммо алтернативаҳои махсус вуҷуд надоранд, агар маълумот ин қадар арзишманд бошад.
Модули амнияти сахтафзор NCipher nShield F3
Варианти нармтар тахмин мекунад, ки маълумот рамзгузорӣ шудааст ва калид бевосита дар худи сервер дар HSM (Модули Амнияти Сахтафзор) ҷойгир аст. Чун қоида, инҳо дастгоҳҳои хеле функсионалӣ мебошанд, ки на танҳо криптографияи сахтафзорро таъмин мекунанд, балки инчунин механизмҳои ошкор кардани кӯшишҳои ҳакерии ҷисмонӣ доранд. Агар касе дар атрофи сервери шумо бо суфтакунандаи кунҷ сар занад, HSM бо таъминоти мустақили барқ калидҳоеро, ки дар хотираи худ нигоҳ медорад, аз нав танзим мекунад. Ҳамлагар гӯшти майдашудаи рамзшударо мегирад. Дар ин ҳолат, бозсозӣ метавонад ба таври худкор сурат гирад.
Хориҷ кардани калидҳо назар ба фаъол кардани бомбаи термитӣ ё боздошткунандаи электромагнитӣ як варианти тезтар ва инсондӯсттар аст. Барои чунин дастгоҳҳо, шуморо ҳамсояҳоятон дар рахи маркази додаҳо муддати тӯлонӣ латукӯб мекунанд. Илова бар ин, дар мавриди истифода рамзгузорӣ дар худи васоити ахбори омма, шумо амалан ҳеҷ гуна сарбориро эҳсос намекунед. Ҳамаи ин ба таври шаффоф ба OS рӯй медиҳад. Дуруст аст, ки дар ин ҳолат шумо бояд ба Samsung-и шартӣ бовар кунед ва умедворед, ки он дорои AES256-и ростқавл аст, на XOR-и баналӣ.
Дар айни замон, мо набояд фаромӯш кунем, ки ҳама портҳои нолозим бояд аз ҷиҳати ҷисмонӣ ғайрифаъол бошанд ё танҳо бо мураккаб пур карда шаванд. Дар акси ҳол, шумо ба ҳамлагарон имконият медиҳед, ки анҷом диҳанд . Агар шумо PCI Express ё Thunderbolt дошта бошед, аз ҷумла USB бо дастгирии он, шумо осебпазир ҳастед. Ҳамлагар метавонад тавассути ин портҳо ҳамла анҷом диҳад ва бо калидҳо ба хотира дастрасии мустақим пайдо кунад.
Дар версияи хеле мураккаб, ҳамлакунанда метавонад ҳамлаи сардро анҷом диҳад. Ҳамзамон, он танҳо як қисми хуби нитрогени моеъро ба сервери шумо мерезад, чӯбҳои хотираи яхкардашударо тақрибан нест мекунад ва аз онҳо бо ҳама калидҳо партовҳоро мегирад. Аксар вақт, як пошидани хунуккунии муқаррарӣ ва ҳарорати тақрибан -50 дараҷа барои ҳамла кофӣ аст. Варианти дақиқтар низ вуҷуд дорад. Агар шумо боркуниро аз дастгоҳҳои беруна ғайрифаъол накарда бошед, алгоритми ҳамлакунанда боз ҳам соддатар мешавад:
- Бе кушодани парванда чӯбҳои хотираро ях кунед
- Флеши USB-и пурборшавандаи худро пайваст кунед
- Барои тоза кардани маълумот аз хотираи оперативӣ, ки дар натиҷаи яхкунӣ аз бозсозӣ наҷот ёфтанд, утилитаҳои махсусро истифода баред.
Тақсим кунед ва ҳукмронӣ кунед
Хуб, мо танҳо мошинҳои виртуалӣ дорем, аммо ман мехоҳам, ки бо кадом роҳ хатари ихроҷи маълумотро кам кунам.
Шумо метавонед, аслан, кӯшиш кунед, ки меъмориро аз нав дида бароед ва нигоҳдорӣ ва коркарди маълумотро дар қаламравҳои гуногун паҳн кунед. Масалан, интерфейс бо калидҳои рамзгузорӣ аз hoster дар Ҷумҳурии Чех аст ва пуштибонии дорои маълумоти рамзгузорӣ дар ҷое дар Русия аст. Дар сурати кӯшиши мусодираи муқаррарӣ, аз эҳтимол дур нест, ки мақомоти ҳифзи ҳуқуқ инро дар як вақт дар қаламравҳои гуногун иҷро кунанд. Ғайр аз он, ин моро қисман аз сенарияи гирифтани аксбардорӣ суғурта мекунад.
Хуб, ё шумо метавонед як варианти комилан покро баррасӣ кунед - рамзгузории End-to-End. Албатта, ин аз доираи мушаххасот берун меравад ва маънои иҷрои ҳисобҳоро дар паҳлӯи мошини дурдаст надорад. Аммо, ин як варианти комилан қобили қабул аст, вақте ки сухан дар бораи нигоҳдорӣ ва ҳамоҳангсозии маълумот меравад. Масалан, ин дар Nextcloud хеле қулай амалӣ карда мешавад. Ҳамзамон, ҳамоҳангсозӣ, нусхабардорӣ ва дигар чизҳои хуби сервер аз байн нахоҳанд рафт.
Ҳамагӣ
Системаҳои комилан бехатар вуҷуд надоранд. Ҳадаф танҳо он аст, ки ҳамла аз фоидаи эҳтимолӣ бештар арзиш дорад.
Як андоза коҳиш додани хатари дастрасӣ ба маълумот дар сайти виртуалӣ метавонад тавассути омезиши рамзгузорӣ ва нигаҳдории алоҳида бо хостҳои гуногун ба даст оварда шавад.
Варианти бештар ё камтар боэътимод ин истифодаи сервери сахтафзори шахсии шумост.
Аммо ба соҳибхона ба ҳар ҳол бояд ба ин ё он роҳ эътимод дошта бошад. Тамоми саноат ба ин такья мекунад.
Манбаъ: will.com