kdpv - Reuters
Agar siz serverni ijaraga olgan bo'lsangiz, unda siz uni to'liq nazorat qila olmaysiz. Bu shuni anglatadiki, istalgan vaqtda maxsus o'qitilgan odamlar xostingga kelib, sizdan istalgan ma'lumotni taqdim etishingizni so'rashlari mumkin. Va agar talab qonunga muvofiq rasmiylashtirilgan bo'lsa, uy egasi ularni qaytarib beradi.
Siz haqiqatan ham veb-serveringiz jurnallari yoki foydalanuvchi ma'lumotlari boshqalarga oqib ketishini xohlamaysiz. Ideal himoyani qurish mumkin emas. O'zingizni gipervisorga ega bo'lgan va sizni virtual mashina bilan ta'minlaydigan hosterdan himoya qilish deyarli mumkin emas. Ammo, ehtimol, xavflarni biroz kamaytirish mumkin bo'ladi. Ijaraga olingan mashinalarni shifrlash birinchi qarashda ko'rinadigan darajada foydasiz emas. Shu bilan birga, jismoniy serverlardan ma'lumotlarni olish tahdidlarini ko'rib chiqaylik.
Tahdid modeli
Qoidaga ko'ra, mezbon mijozning manfaatlarini iloji boricha qonun bilan himoya qilishga harakat qiladi. Agar rasmiy organlarning xatida faqat kirish jurnallari talab qilingan bo'lsa, hoster sizning barcha virtual mashinalaringizni ma'lumotlar bazalari bilan ta'minlamaydi. Hech bo'lmaganda bunday bo'lmasligi kerak. Agar ular barcha ma'lumotlarni so'rasa, hoster virtual disklarni barcha fayllar bilan ko'chiradi va siz bu haqda bilmaysiz.
Stsenariydan qat'i nazar, sizning asosiy maqsadingiz hujumni juda qiyin va qimmat qilishdir. Odatda uchta asosiy tahdid varianti mavjud.
Rasmiy
Ko'pincha uy egasining rasmiy ofisiga tegishli nizomga muvofiq zarur ma'lumotlarni taqdim etish talabi bilan qog'oz xat yuboriladi. Har bir narsa to'g'ri bajarilgan bo'lsa, hoster rasmiy organlarga kerakli kirish jurnallari va boshqa ma'lumotlarni taqdim etadi. Odatda ular sizdan kerakli ma'lumotlarni yuborishingizni so'rashadi.
Vaqti-vaqti bilan, o'ta zarurat tug'ilganda, huquqni muhofaza qilish idoralari vakillari shaxsan ma'lumotlar markaziga kelishadi. Misol uchun, agar sizda o'zingizning maxsus serveringiz bo'lsa va u yerdan ma'lumotlar faqat jismoniy ravishda olinishi mumkin.
Barcha mamlakatlarda xususiy mulkka kirish, tintuv o‘tkazish va boshqa faoliyatlar uchun ma’lumotlar jinoyatni tergov qilish uchun muhim ma’lumotlarni o‘z ichiga olishi mumkinligini isbotlashni talab qiladi. Bundan tashqari, barcha qoidalarga muvofiq amalga oshirilgan qidiruv buyrug'i talab qilinadi. Mahalliy qonunchilikning o'ziga xos xususiyatlari bilan bog'liq nuanslar bo'lishi mumkin. Siz tushunishingiz kerak bo'lgan asosiy narsa, agar rasmiy yo'l to'g'ri bo'lsa, ma'lumotlar markazi vakillari hech kimga kirishga ruxsat bermaydi.
Bundan tashqari, ko'pgina mamlakatlarda siz ishlaydigan uskunani shunchaki tortib ololmaysiz. Masalan, Rossiyada 2018 yil oxirigacha Rossiya Federatsiyasi Jinoyat-protsessual kodeksining 183-moddasi 3.1-qismiga binoan, olib qo'yish paytida elektron saqlash vositalarini musodara qilish ishtirokida amalga oshirilganligi kafolatlangan. mutaxassisning. olib qo‘yilgan elektron saqlash tashuvchisining qonuniy egasi yoki ulardagi ma’lumotlar egasining iltimosiga binoan olib qo‘yishda ishtirok etuvchi mutaxassis xolislar ishtirokida olib qo‘yilgan elektron saqlash tashuvchisidan ma’lumotlarni boshqa elektron saqlash tashuvchisiga ko‘chiradi.
Keyin, afsuski, bu nuqta maqoladan olib tashlandi.
Yashirin va norasmiy
Bu allaqachon NSA, FBI, MI5 va boshqa uch harfli tashkilotlarning maxsus o'qitilgan o'rtoqlari faoliyati hududi. Ko'pincha mamlakatlar qonunchiligi bunday tuzilmalar uchun juda keng vakolatlarni beradi. Bundan tashqari, bunday huquqni muhofaza qilish organlari bilan hamkorlik qilish faktini to'g'ridan-to'g'ri yoki bilvosita oshkor qilish deyarli har doim qonunchilikda taqiqlangan. Rossiyada shunga o'xshashlar mavjud .
Sizning ma'lumotlaringizga bunday tahdid bo'lsa, ular deyarli olib tashlanadi. Bundan tashqari, oddiy tortib olishdan tashqari, orqa eshiklarning norasmiy arsenalidan, nol kunlik zaifliklardan, virtual mashinangizning operativ xotirasidan ma'lumotlarni olishdan va boshqa quvonchlardan foydalanish mumkin. Bunday holda, uy egasi huquqni muhofaza qilish organlari mutaxassislariga imkon qadar yordam berishga majbur bo'ladi.
Vijdonsiz xodim
Hamma odamlar bir xil darajada yaxshi emas. Ma'lumotlar markazi ma'murlaridan biri qo'shimcha pul ishlashga va ma'lumotlaringizni sotishga qaror qilishi mumkin. Keyingi rivojlanish uning vakolatlari va kirishiga bog'liq. Eng zerikarli tomoni shundaki, virtualizatsiya konsoliga kirish huquqiga ega bo'lgan administrator sizning mashinalaringizni to'liq nazorat qiladi. Siz har doim operativ xotiraning barcha mazmuni bilan birga suratga olishingiz va keyin uni asta-sekin o'rganishingiz mumkin.
Vdlar
Shunday qilib, sizda hoster bergan virtual mashinangiz bor. O'zingizni himoya qilish uchun shifrlashni qanday amalga oshirishingiz mumkin? Aslida, deyarli hech narsa. Bundan tashqari, hatto boshqa birovning maxsus serveri ham kerakli qurilmalar o'rnatilgan virtual mashinaga aylanishi mumkin.
Agar masofaviy tizimning vazifasi shunchaki ma'lumotlarni saqlash emas, balki ba'zi hisob-kitoblarni amalga oshirish bo'lsa, unda ishonchsiz mashina bilan ishlashning yagona varianti uni amalga oshirish bo'ladi. . Bunday holda, tizim aniq nima qilayotganini tushuna olmasdan hisob-kitoblarni amalga oshiradi. Afsuski, bunday shifrlashni amalga oshirish uchun qo'shimcha xarajatlar shunchalik yuqoriki, ulardan amaliy foydalanish hozirda juda tor vazifalar bilan cheklangan.
Bundan tashqari, virtual mashina ishlayotgan va ba'zi harakatlarni bajarayotgan paytda, barcha shifrlangan hajmlar mavjud holatda, aks holda OS ular bilan ishlay olmaydi. Bu shuni anglatadiki, virtualizatsiya konsoliga kirish imkoniga ega bo'lgan holda, siz har doim ishlaydigan mashinaning suratini olishingiz va barcha kalitlarni RAMdan chiqarib olishingiz mumkin.
Ko'pgina sotuvchilar hatto hoster ham ushbu ma'lumotlarga kirish imkoniga ega bo'lmasligi uchun RAMni apparat shifrlashni tashkil etishga harakat qilishdi. Masalan, virtual manzil maydonida boshqa jarayonlar, shu jumladan operatsion tizim yadrosi tomonidan ushbu hududdan tashqarida o'qish va yozishdan himoyalangan hududlarni tashkil qiluvchi Intel Software Guard Extensions texnologiyasi. Afsuski, siz ushbu texnologiyalarga to'liq ishona olmaysiz, chunki siz virtual mashinangiz bilan cheklanasiz. Bundan tashqari, tayyor misollar allaqachon mavjud ushbu texnologiya uchun. Shunga qaramay, virtual mashinalarni shifrlash ko'rinadigan darajada befoyda emas.
Biz VDS-da ma'lumotlarni shifrlaymiz
Darhol shuni ta'kidlab o'tishimga ijozat bering, quyida qilgan barcha harakatlarimiz to'liq himoyani anglatmaydi. Gipervisor sizga xizmatni to'xtatmasdan va sizga e'tibor bermasdan kerakli nusxalarni yaratishga imkon beradi.
- Agar so'rov bo'yicha hoster virtual mashinangizning "sovuq" tasvirini uzatsa, siz nisbatan xavfsizsiz. Bu eng keng tarqalgan stsenariy.
- Agar uy egasi ishlaydigan mashinaning to'liq suratini bersa, unda hamma narsa juda yomon. Barcha ma'lumotlar tizimga aniq shaklda o'rnatiladi. Bundan tashqari, shaxsiy kalitlarni va shunga o'xshash ma'lumotlarni qidirishda operativ xotirani sindirish mumkin bo'ladi.
Odatiy bo'lib, agar siz OSni vanil tasviridan o'rnatgan bo'lsangiz, hoster ildizga kirish huquqiga ega emas. Siz har doim qutqaruv tasviri bilan mediani o'rnatishingiz va virtual mashina muhitini chrootlash orqali ildiz parolini o'zgartirishingiz mumkin. Ammo bu qayta ishga tushirishni talab qiladi, bu seziladi. Bundan tashqari, barcha o'rnatilgan shifrlangan bo'limlar yopiladi.
Biroq, agar virtual mashinani joylashtirish vanil tasviridan emas, balki oldindan tayyorlanganidan kelib chiqsa, hoster tez-tez mijozda favqulodda vaziyatda yordam berish uchun imtiyozli hisob qaydnomasini qo'shishi mumkin. Masalan, unutilgan ildiz parolini o'zgartirish uchun.
To'liq suratga olingan taqdirda ham, hamma narsa juda achinarli emas. Agar siz ularni boshqa kompyuterning masofaviy fayl tizimidan o'rnatgan bo'lsangiz, tajovuzkor shifrlangan fayllarni olmaydi. Ha, nazariy jihatdan, siz RAM axlatini tanlashingiz va u erdan shifrlash kalitlarini olishingiz mumkin. Ammo amalda bu juda ahamiyatsiz emas va jarayon oddiy fayl uzatishdan tashqariga chiqishi ehtimoldan yiroq emas.
Avtomobilga buyurtma bering
Sinov maqsadlarimiz uchun biz oddiy mashinani olamiz . Bizga juda ko'p resurslar kerak emas, shuning uchun biz megahertz va haqiqatda sarflangan trafik uchun to'lash variantini tanlaymiz. U bilan o'ynash uchun etarli.
Butun bo'lim uchun klassik dm-crypt ishlamadi. Odatiy bo'lib, disk butun bo'lim uchun ildiz bilan bir qismda beriladi. Ildizga o'rnatilgan ext4 bo'limini qisqartirish fayl tizimi o'rniga amalda kafolatlangan g'ishtdir. Men harakat qildim) Tambur yordam bermadi.
Kripto konteynerini yaratish
Shuning uchun biz butun bo'limni shifrlamaymiz, lekin fayl kripto konteynerlaridan foydalanamiz, ya'ni tekshirilgan va ishonchli VeraCrypt. Bizning maqsadlarimiz uchun bu etarli. Birinchidan, biz rasmiy veb-saytdan CLI versiyasi bilan paketni chiqaramiz va o'rnatamiz. Siz bir vaqtning o'zida imzoni tekshirishingiz mumkin.
wget https://launchpad.net/veracrypt/trunk/1.24-update4/+download/veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
dpkg -i veracrypt-console-1.24-Update4-Ubuntu-18.04-amd64.deb
Endi biz konteynerni uyimizning biron bir joyida yaratamiz, shunda uni qayta ishga tushirgandan so'ng uni qo'lda o'rnatishimiz mumkin. Interaktiv variantda konteyner hajmini, parolni va shifrlash algoritmlarini o'rnating. Siz Grasshopper vatanparvarlik shifrini va Stribog xesh funksiyasini tanlashingiz mumkin.
veracrypt -t -c ~/my_super_secretEndi nginx-ni o'rnatamiz, konteynerni o'rnatamiz va uni maxfiy ma'lumotlar bilan to'ldiramiz.
mkdir /var/www/html/images
veracrypt ~/my_super_secret /var/www/html/images/
wget https://upload.wikimedia.org/wikipedia/ru/2/24/Lenna.pngKerakli sahifani olish uchun /var/www/html/index.nginx-debian.html ni biroz to'g'rilaymiz va uni tekshirishingiz mumkin.
Ulang va tekshiring
Konteyner o'rnatilgan, ma'lumotlarga kirish mumkin va yuboriladi.
Va bu erda qayta ishga tushirilgandan keyin mashina. Ma'lumotlar ~/my_super_secret-da xavfsiz tarzda saqlanadi.
Agar sizga haqiqatan ham kerak bo'lsa va uni qattiq bo'lishini istasangiz, unda siz butun OTni shifrlashingiz mumkin, shunda qayta ishga tushirilganda u ssh orqali ulanish va parolni kiritishni talab qiladi. Bu oddiygina "sovuq ma'lumotlar" ni olib tashlash stsenariysida ham etarli bo'ladi. Bu yerga va masofaviy diskni shifrlash. VDS holatida bu qiyin va ortiqcha bo'lsa-da.
Yalang'och metall
Ma'lumotlar markazida o'z serveringizni o'rnatish unchalik oson emas. Boshqa birovning bag'ishlangani barcha qurilmalar uzatiladigan virtual mashinaga aylanishi mumkin. Ammo himoya qilish nuqtai nazaridan qiziqarli narsa ishonchli jismoniy serveringizni ma'lumotlar markaziga joylashtirish imkoniga ega bo'lganda boshlanadi. Bu erda siz an'anaviy dm-crypt, VeraCrypt yoki o'zingiz xohlagan boshqa shifrlashdan to'liq foydalanishingiz mumkin.
Agar umumiy shifrlash amalga oshirilsa, server qayta ishga tushirilgandan so'ng o'z-o'zidan tiklana olmasligini tushunishingiz kerak. Mahalliy IP-KVM, IPMI yoki boshqa shunga o'xshash interfeysga ulanishni oshirish kerak bo'ladi. Shundan so'ng biz asosiy kalitni qo'lda kiritamiz. Sxema uzluksizlik va nosozliklarga chidamlilik nuqtai nazaridan shunday ko'rinadi, ammo ma'lumotlar juda qimmatli bo'lsa, maxsus alternativalar mavjud emas.
NCipher nShield F3 apparat xavfsizligi moduli
Yumshoqroq variant ma'lumotlar shifrlanganligini va kalit to'g'ridan-to'g'ri serverning o'zida maxsus HSM (Uskuna xavfsizligi moduli) da joylashganligini nazarda tutadi. Qoida tariqasida, bu juda funktsional qurilmalar bo'lib, ular nafaqat apparat kriptografiyasini ta'minlaydi, balki jismoniy xakerlik urinishlarini aniqlash mexanizmlariga ham ega. Agar kimdir sizning serveringizni burchak maydalagich bilan aylana boshlasa, mustaqil quvvat manbaiga ega HSM o'z xotirasida saqlaydigan kalitlarni qayta o'rnatadi. Tajovuzkor shifrlangan qiyma go'shtni oladi. Bunday holda, qayta ishga tushirish avtomatik ravishda sodir bo'lishi mumkin.
Kalitlarni olib tashlash termit bomba yoki elektromagnit to'xtatuvchini faollashtirishdan ko'ra tezroq va insoniyroq variantdir. Bunday qurilmalar uchun siz qo'shnilaringiz tomonidan ma'lumotlar markazidagi tokchada juda uzoq vaqt kaltaklanasiz. Bundan tashqari, foydalanish holatida medianing o'zida shifrlash, siz deyarli hech qanday yukni boshdan kechirmaysiz. Bularning barchasi OS uchun shaffof tarzda sodir bo'ladi. To'g'ri, bu holda siz shartli Samsung-ga ishonishingiz kerak va u oddiy XOR emas, balki halol AES256-ga ega deb umid qilishingiz kerak.
Shu bilan birga, barcha keraksiz portlarni jismonan o'chirib qo'yish yoki oddiygina birikma bilan to'ldirish kerakligini unutmasligimiz kerak. Aks holda, siz hujumchilarga amalga oshirish imkoniyatini berasiz . Agar sizda PCI Express yoki Thunderbolt, shu jumladan USB-ni qo'llab-quvvatlasa, siz himoyasizsiz. Buzg'unchi ushbu portlar orqali hujumni amalga oshirishi va kalitlar yordamida xotiraga to'g'ridan-to'g'ri kirish imkoniyatiga ega bo'ladi.
Juda murakkab versiyada tajovuzkor sovuq yuklash hujumini amalga oshirishi mumkin bo'ladi. Shu bilan birga, u serveringizga suyuq azotning yaxshi qismini quyib yuboradi, muzlatilgan xotira tayoqlarini deyarli olib tashlaydi va barcha kalitlar bilan ulardan dumping oladi. Ko'pincha, muntazam sovutish spreyi va taxminan -50 daraja harorat hujumni amalga oshirish uchun etarli. Bundan tashqari, aniqroq variant mavjud. Agar siz tashqi qurilmalardan yuklashni o'chirmagan bo'lsangiz, tajovuzkorning algoritmi yanada sodda bo'ladi:
- Xotira kartalarini korpusni ochmasdan muzlatib qo'ying
- Yuklanadigan USB flesh-diskini ulang
- Muzlatish tufayli qayta yuklashdan omon qolgan ma'lumotlarni RAMdan olib tashlash uchun maxsus yordamchi dasturlardan foydalaning.
Bo'ling va hukmronlik qiling
OK, bizda faqat virtual mashinalar bor, lekin men qandaydir tarzda ma'lumotlarning sizib chiqishi xavfini kamaytirmoqchiman.
Siz, qoida tariqasida, arxitekturani qayta ko'rib chiqishga harakat qilishingiz va ma'lumotlarni saqlash va qayta ishlashni turli yurisdiktsiyalarda tarqatishingiz mumkin. Masalan, shifrlash kalitlari bo'lgan frontend Chexiyadagi hosterdan, shifrlangan ma'lumotlarga ega bo'lgan backend esa Rossiyaning biron bir joyida. Oddiy olib qo'yishga urinish bo'lsa, huquqni muhofaza qilish idoralari buni turli yurisdiktsiyalarda bir vaqtning o'zida amalga oshirishi dargumon. Bundan tashqari, bu bizni suratga olish stsenariysidan qisman sug'urta qiladi.
Xo'sh, yoki siz butunlay sof variantni ko'rib chiqishingiz mumkin - End-to-End shifrlash. Albatta, bu spetsifikatsiya doirasidan tashqariga chiqadi va masofaviy mashinaning yon tomonida hisob-kitoblarni amalga oshirishni nazarda tutmaydi. Biroq, bu ma'lumotlarni saqlash va sinxronlashtirish haqida gap ketganda, bu juda maqbul variant. Masalan, bu Nextcloud-da juda qulay tarzda amalga oshiriladi. Shu bilan birga, sinxronizatsiya, versiyalar va boshqa server tomonidagi yaxshiliklar yo'qolmaydi.
jami
Mukammal xavfsiz tizimlar mavjud emas. Maqsad shunchaki hujumni potentsial daromaddan ko'ra qimmatroq qilishdir.
Virtual saytdagi ma'lumotlarga kirish xavfini biroz kamaytirishga shifrlash va alohida saqlashni turli xostlar bilan birlashtirish orqali erishish mumkin.
Ko'proq yoki kamroq ishonchli variant - o'zingizning apparat serveringizdan foydalanish.
Ammo mezbonga u yoki bu tarzda ishonish kerak bo'ladi. Butun sanoat bunga tayanadi.
Manba: www.habr.com