kdpv - Reuters
Kung nagrenta ka ng server, wala kang ganap na kontrol dito. Nangangahulugan ito na anumang oras ang mga espesyal na sinanay na tao ay maaaring pumunta sa hoster at hilingin sa iyo na ibigay ang alinman sa iyong data. At ibabalik sila ng hoster kung ang demand ay pormal na ayon sa batas.
Talagang ayaw mong tumagas ang iyong mga web server log o data ng user sa sinumang iba pa. Imposibleng bumuo ng isang perpektong depensa. Halos imposibleng protektahan ang iyong sarili mula sa isang hoster na nagmamay-ari ng hypervisor at nagbibigay sa iyo ng isang virtual machine. Ngunit marahil posible na bawasan nang kaunti ang mga panganib. Ang pag-encrypt ng mga rental car ay hindi kasing walang silbi na tila sa unang tingin. Kasabay nito, tingnan natin ang mga banta ng pagkuha ng data mula sa mga pisikal na server.
Modelo ng pananakot
Bilang isang patakaran, susubukan ng hoster na protektahan ang mga interes ng kliyente hangga't maaari ayon sa batas. Kung ang liham mula sa mga opisyal na awtoridad ay humiling lamang ng mga log ng pag-access, ang hoster ay hindi magbibigay ng mga dump ng lahat ng iyong virtual machine na may mga database. Hindi man lang dapat. Kung hihilingin nila ang lahat ng data, kokopyahin ng hoster ang mga virtual na disk kasama ang lahat ng mga file at hindi mo malalaman ang tungkol dito.
Anuman ang senaryo, ang iyong pangunahing layunin ay gawing masyadong mahirap at mahal ang pag-atake. Karaniwang mayroong tatlong pangunahing pagpipilian sa pagbabanta.
Opisiyal
Kadalasan, ang isang papel na liham ay ipinadala sa opisyal na opisina ng hoster na may pangangailangan na magbigay ng kinakailangang data alinsunod sa nauugnay na regulasyon. Kung ang lahat ay tapos na nang tama, ang hoster ay nagbibigay ng mga kinakailangang access log at iba pang data sa mga opisyal na awtoridad. Kadalasan hinihiling lang nila sa iyo na ipadala ang kinakailangang data.
Paminsan-minsan, kung talagang kinakailangan, ang mga kinatawan ng mga ahensyang nagpapatupad ng batas ay personal na pumupunta sa data center. Halimbawa, kapag mayroon kang sariling dedikadong server at ang data mula doon ay maaari lamang kunin nang pisikal.
Sa lahat ng bansa, ang pagkakaroon ng access sa pribadong pag-aari, pagsasagawa ng mga paghahanap at iba pang aktibidad ay nangangailangan ng ebidensya na ang data ay maaaring maglaman ng mahalagang impormasyon para sa pagsisiyasat ng isang krimen. Bilang karagdagan, ang isang search warrant na ipinatupad alinsunod sa lahat ng mga regulasyon ay kinakailangan. Maaaring may mga nuances na nauugnay sa mga kakaiba ng lokal na batas. Ang pangunahing bagay na kailangan mong maunawaan ay kung tama ang opisyal na landas, hindi papayagan ng mga kinatawan ng data center ang sinuman na makalampas sa pasukan.
Bukod dito, sa karamihan ng mga bansa ay hindi mo basta-basta mabubunot ang tumatakbong kagamitan. Halimbawa, sa Russia, hanggang sa katapusan ng 2018, ayon sa Artikulo 183 ng Code of Criminal Procedure ng Russian Federation, bahagi 3.1, ginagarantiyahan na sa panahon ng isang pag-agaw, ang pag-agaw ng electronic storage media ay isinagawa kasama ang pakikilahok. ng isang espesyalista. Sa kahilingan ng legal na may-ari ng nasamsam na electronic storage media o ng may-ari ng impormasyong nakapaloob sa kanila, ang espesyalista na kalahok sa pag-agaw, sa pagkakaroon ng mga saksi, ay kinokopya ang impormasyon mula sa nasamsam na electronic storage media sa iba pang electronic storage media.
Pagkatapos, sa kasamaang-palad, ang puntong ito ay inalis mula sa artikulo.
Lihim at hindi opisyal
Ito na ang teritoryo ng aktibidad ng mga espesyal na sinanay na kasama mula sa NSA, FBI, MI5 at iba pang tatlong-titik na organisasyon. Kadalasan, ang batas ng mga bansa ay nagbibigay ng napakalawak na kapangyarihan para sa gayong mga istruktura. Higit pa rito, halos palaging may pambatasang pagbabawal sa anumang direkta o hindi direktang pagsisiwalat ng mismong katotohanan ng pakikipagtulungan sa naturang mga ahensyang nagpapatupad ng batas. Mayroong mga katulad sa Russia .
Kung sakaling magkaroon ng ganitong banta sa iyong data, halos tiyak na aalisin sila. Bukod dito, bilang karagdagan sa simpleng pag-agaw, ang buong hindi opisyal na arsenal ng mga backdoors, zero-day vulnerabilities, data extraction mula sa RAM ng iyong virtual machine, at iba pang mga kagalakan ay maaaring gamitin. Sa kasong ito, obligado ang hoster na tulungan ang mga espesyalista sa pagpapatupad ng batas hangga't maaari.
Walang prinsipyong empleyado
Hindi lahat ng tao ay pare-parehong mabuti. Maaaring magpasya ang isa sa mga administrator ng data center na kumita ng dagdag na pera at ibenta ang iyong data. Ang karagdagang mga pag-unlad ay nakasalalay sa kanyang mga kapangyarihan at pag-access. Ang pinakanakakainis na bagay ay ang isang administrator na may access sa virtualization console ay may kumpletong kontrol sa iyong mga makina. Maaari kang palaging kumuha ng snapshot kasama ang lahat ng nilalaman ng RAM at pagkatapos ay dahan-dahang pag-aralan ito.
VDS
Kaya mayroon kang virtual machine na ibinigay sa iyo ng hoster. Paano mo maipapatupad ang pag-encrypt upang maprotektahan ang iyong sarili? Sa katunayan, halos wala. Bukod dito, kahit na ang dedikadong server ng ibang tao ay maaaring maging isang virtual machine kung saan ipinasok ang mga kinakailangang device.
Kung ang gawain ng malayuang sistema ay hindi lamang mag-imbak ng data, ngunit magsagawa ng ilang mga kalkulasyon, kung gayon ang tanging pagpipilian para sa pagtatrabaho sa isang hindi pinagkakatiwalaang makina ay ang ipatupad . Sa kasong ito, magsasagawa ang system ng mga kalkulasyon nang walang kakayahang maunawaan kung ano ang eksaktong ginagawa nito. Sa kasamaang palad, ang mga gastos sa overhead para sa pagpapatupad ng naturang pag-encrypt ay napakataas na ang kanilang praktikal na paggamit ay kasalukuyang limitado sa napakakitid na mga gawain.
Dagdag pa, sa sandaling ang virtual machine ay tumatakbo at nagsasagawa ng ilang mga aksyon, ang lahat ng mga naka-encrypt na volume ay nasa isang naa-access na estado, kung hindi, ang OS ay hindi magagawang gumana sa kanila. Nangangahulugan ito na ang pagkakaroon ng access sa virtualization console, maaari kang palaging kumuha ng snapshot ng isang tumatakbong makina at kunin ang lahat ng mga key mula sa RAM.
Sinubukan ng maraming vendor na ayusin ang pag-encrypt ng hardware ng RAM upang maging ang hoster ay walang access sa data na ito. Halimbawa, teknolohiya ng Intel Software Guard Extensions, na nag-aayos ng mga lugar sa virtual address space na protektado mula sa pagbabasa at pagsusulat mula sa labas ng lugar na ito ng ibang mga proseso, kabilang ang kernel ng operating system. Sa kasamaang palad, hindi mo lubos na mapagkakatiwalaan ang mga teknolohiyang ito, dahil limitado ka sa iyong virtual machine. Bilang karagdagan, mayroon nang mga yari na halimbawa para sa teknolohiyang ito. Gayunpaman, ang pag-encrypt ng mga virtual machine ay hindi kasing walang kabuluhan gaya ng tila.
Ine-encrypt namin ang data sa VDS
Hayaan akong magpareserba kaagad na ang lahat ng ginagawa namin sa ibaba ay hindi katumbas ng ganap na proteksyon. Papayagan ka ng hypervisor na gumawa ng mga kinakailangang kopya nang hindi humihinto sa serbisyo at nang hindi mo napapansin.
- Kung, kapag hiniling, inilipat ng hoster ang isang "malamig" na imahe ng iyong virtual machine, kung gayon ikaw ay medyo ligtas. Ito ang pinakakaraniwang senaryo.
- Kung bibigyan ka ng hoster ng buong snapshot ng tumatakbong makina, kung gayon ang lahat ay medyo masama. Ang lahat ng data ay mai-mount sa system sa malinaw na anyo. Bilang karagdagan, magiging posible na maghalungkat sa RAM sa paghahanap ng mga pribadong key at katulad na data.
Bilang default, kung na-deploy mo ang OS mula sa isang vanilla image, walang root access ang hoster. Maaari mong palaging i-mount ang media gamit ang rescue image at baguhin ang root password sa pamamagitan ng pag-chroot sa kapaligiran ng virtual machine. Ngunit ito ay mangangailangan ng pag-reboot, na mapapansin. Dagdag pa, isasara ang lahat ng naka-mount na naka-encrypt na partisyon.
Gayunpaman, kung ang deployment ng isang virtual machine ay hindi nagmula sa isang vanilla na imahe, ngunit mula sa isang paunang inihanda, kung gayon ang hoster ay maaaring madalas na magdagdag ng isang privileged account upang tumulong sa isang emergency na sitwasyon sa kliyente. Halimbawa, upang baguhin ang isang nakalimutang root password.
Kahit na sa kaso ng isang kumpletong snapshot, hindi lahat ay napakalungkot. Ang isang attacker ay hindi makakatanggap ng mga naka-encrypt na file kung ini-mount mo ang mga ito mula sa remote file system ng isa pang makina. Oo, sa teorya, maaari mong piliin ang RAM dump at kunin ang mga encryption key mula doon. Ngunit sa pagsasagawa ito ay hindi masyadong maliit at ito ay napaka-malamang na ang proseso ay lalampas sa simpleng paglilipat ng file.
Umorder ng kotse
Para sa aming mga layunin ng pagsubok, kumuha kami ng isang simpleng makina . Hindi namin kailangan ng maraming mapagkukunan, kaya gagawin namin ang opsyon na magbayad para sa megahertz at aktwal na ginastos sa trapiko. Sapat lang para paglaruan.
Ang klasikong dm-crypt para sa buong partisyon ay hindi nag-alis. Bilang default, ang disk ay ibinibigay sa isang piraso, na may ugat para sa buong partisyon. Ang pag-urong ng ext4 partition sa root-mounted ay halos isang garantisadong brick sa halip na isang filesystem. Sinubukan ko) Hindi nakatulong ang tamburin.
Paglikha ng isang lalagyan ng crypto
Samakatuwid, hindi namin ie-encrypt ang buong partition, ngunit gagamit ng mga file crypto container, katulad ng audited at maaasahang VeraCrypt. Para sa aming mga layunin ito ay sapat na. Una, hinugot namin at i-install ang package na may bersyon ng CLI mula sa opisyal na website. Maaari mong suriin ang pirma sa parehong oras.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Ngayon ay gagawin namin ang mismong lalagyan sa isang lugar sa aming tahanan upang mai-mount namin ito nang manu-mano sa pag-reboot. Sa interactive na opsyon, itakda ang laki ng container, password at mga algorithm ng pag-encrypt. Maaari mong piliin ang makabayang cipher Grasshopper at ang Stribog hash function.
veracrypt -t -c ~/my_super_secretNgayon ay i-install natin ang nginx, i-mount ang lalagyan at punan ito ng lihim na impormasyon.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngBahagyang iwasto natin ang /var/www/html/index.nginx-debian.html upang makuha ang nais na pahina at maaari mo itong suriin.
Kumonekta at suriin
Ang lalagyan ay naka-mount, ang data ay naa-access at naipadala.
At narito ang makina pagkatapos ng pag-reboot. Ang data ay ligtas na nakaimbak sa ~/my_super_secret.
Kung talagang kailangan mo ito at gusto mo itong hardcore, maaari mong i-encrypt ang buong OS upang kapag nag-reboot ka nangangailangan ito ng pagkonekta sa pamamagitan ng ssh at pagpasok ng isang password. Magiging sapat din ito sa senaryo ng simpleng pag-withdraw ng "cold data". Dito at remote disk encryption. Bagaman sa kaso ng VDS ito ay mahirap at kalabisan.
Hubad na metal
Hindi ganoon kadali ang pag-install ng iyong sariling server sa isang data center. Ang dedikasyon ng ibang tao ay maaaring maging isang virtual machine kung saan inililipat ang lahat ng device. Ngunit ang isang bagay na kawili-wili sa mga tuntunin ng proteksyon ay nagsisimula kapag mayroon kang pagkakataon na ilagay ang iyong pinagkakatiwalaang pisikal na server sa isang data center. Dito maaari mo nang ganap na gamitin ang tradisyonal na dm-crypt, VeraCrypt o anumang iba pang encryption na iyong pinili.
Kailangan mong maunawaan na kung ang kabuuang pag-encrypt ay ipinatupad, ang server ay hindi makakabawi nang mag-isa pagkatapos ng pag-reboot. Kakailanganin na itaas ang koneksyon sa lokal na IP-KVM, IPMI o iba pang katulad na interface. Pagkatapos nito ay manu-mano naming ipasok ang master key. Ang scheme ay mukhang kaya-kaya sa mga tuntunin ng pagpapatuloy at fault tolerance, ngunit walang mga espesyal na alternatibo kung ang data ay napakahalaga.
NCipher nShield F3 Hardware Security Module
Ipinapalagay ng isang mas malambot na opsyon na ang data ay naka-encrypt at ang susi ay direktang matatagpuan sa server mismo sa isang espesyal na HSM (Hardware Security Module). Bilang isang patakaran, ang mga ito ay napaka-functional na mga aparato na hindi lamang nagbibigay ng hardware cryptography, ngunit mayroon ding mga mekanismo para sa pag-detect ng mga pisikal na pagtatangka sa pag-hack. Kung ang isang tao ay nagsimulang sundutin ang iyong server gamit ang isang angle grinder, ang HSM na may independiyenteng power supply ay magre-reset ng mga key na iniimbak nito sa memorya nito. Makukuha ng attacker ang naka-encrypt na mincemeat. Sa kasong ito, ang pag-reboot ay maaaring awtomatikong mangyari.
Ang pag-alis ng mga susi ay isang mas mabilis at mas makataong opsyon kaysa sa pag-activate ng thermite bomb o electromagnetic arrester. Para sa mga ganoong device, ikaw ay matatalo ng napakatagal na panahon ng iyong mga kapitbahay sa rack sa data center. Bukod dito, sa kaso ng paggamit pag-encrypt sa media mismo, halos wala kang nararanasan na overhead. Ang lahat ng ito ay malinaw na nangyayari sa OS. Totoo, sa kasong ito kailangan mong magtiwala sa kondisyong Samsung at umaasa na mayroon itong tapat na AES256, at hindi ang banal na XOR.
Kasabay nito, hindi natin dapat kalimutan na ang lahat ng hindi kinakailangang mga port ay dapat na pisikal na hindi pinagana o simpleng puno ng tambalan. Kung hindi, binibigyan mo ang mga umaatake ng pagkakataon na isagawa . Kung mayroon kang PCI Express o Thunderbolt na lumalabas, kasama ang USB na may suporta nito, ikaw ay mahina. Magagawa ng isang attacker na magsagawa ng pag-atake sa pamamagitan ng mga port na ito at makakuha ng direktang access sa memory gamit ang mga key.
Sa isang napaka-sopistikadong bersyon, magagawa ng umaatake ang isang cold boot attack. Kasabay nito, nagbubuhos lang ito ng magandang bahagi ng likidong nitrogen sa iyong server, halos tinatanggal ang mga nakapirming memory stick at tinatanggal ang mga ito gamit ang lahat ng mga susi. Kadalasan, ang isang regular na cooling spray at isang temperatura na humigit-kumulang -50 degrees ay sapat na upang magsagawa ng isang pag-atake. Mayroon ding mas tumpak na opsyon. Kung hindi mo na-disable ang pag-load mula sa mga external na device, magiging mas simple ang algorithm ng attacker:
- I-freeze ang mga memory stick nang hindi binubuksan ang case
- Ikonekta ang iyong bootable USB flash drive
- Gumamit ng mga espesyal na utility upang alisin ang data mula sa RAM na nakaligtas sa pag-reboot dahil sa pagyeyelo.
Hatiin at tuntunin
Ok, mayroon lang kaming mga virtual machine, ngunit gusto kong kahit papaano ay bawasan ang mga panganib ng pagtagas ng data.
Maaari mong, sa prinsipyo, subukang baguhin ang arkitektura at ipamahagi ang imbakan at pagproseso ng data sa iba't ibang hurisdiksyon. Halimbawa, ang frontend na may mga encryption key ay mula sa hoster sa Czech Republic, at ang backend na may naka-encrypt na data ay nasa isang lugar sa Russia. Sa kaso ng isang karaniwang pagtatangka sa pag-agaw, napakalamang na ang mga ahensyang nagpapatupad ng batas ay magagawang isagawa ito nang sabay-sabay sa iba't ibang hurisdiksyon. Dagdag pa, ito ay bahagyang sinisiguro sa amin laban sa senaryo ng pagkuha ng snapshot.
Well, o maaari mong isaalang-alang ang isang ganap na purong opsyon - End-to-End encryption. Siyempre, lumampas ito sa saklaw ng detalye at hindi nagpapahiwatig ng pagsasagawa ng mga kalkulasyon sa gilid ng remote na makina. Gayunpaman, ito ay isang perpektong katanggap-tanggap na opsyon pagdating sa pag-iimbak at pag-synchronize ng data. Halimbawa, ito ay napaka-maginhawang ipinatupad sa Nextcloud. Kasabay nito, ang pag-synchronize, pag-bersyon at iba pang mga bagay sa panig ng server ay hindi mawawala.
Sa kabuuan
Walang perpektong secure na mga sistema. Ang layunin ay para lang gawing mas mahalaga ang pag-atake kaysa sa potensyal na pakinabang.
Ang ilang pagbawas sa mga panganib ng pag-access ng data sa isang virtual na site ay maaaring makamit sa pamamagitan ng pagsasama-sama ng pag-encrypt at hiwalay na imbakan sa iba't ibang mga hoster.
Ang isang mas marami o hindi gaanong maaasahang opsyon ay ang paggamit ng iyong sariling hardware server.
Ngunit ang hoster ay kailangan pa ring pagkatiwalaan sa isang paraan o iba pa. Ang buong industriya ay nakasalalay dito.
Pinagmulan: www.habr.com