È possibile avere un server privato virtuale sicuro al 100%?

Sono curioso di sapere se è possibile avere un VPS che contiene dati non leggibili dal provider di hosting, ma è comunque utilizzabile sul VPS.

Ovviamente ci sono alcune cose che potresti fare per impedire loro di leggere qualcosa ...

1. È possibile modificare tutte le password, incluso root. Ma poi, potrebbero ancora utilizzare un avvio alternativo per reimpostare la password, oppure potrebbero semplicemente montare il disco in un altro modo.

2. Quindi, è possibile crittografare il disco o almeno alcuni dei contenuti sul disco. Ma poi sembra che se decodificassi il contenuto, potrebbero comunque "scrutare" per vedere cosa stavi facendo sulla console, perché dopo tutto, la piattaforma di virtualizzazione dovrebbe consentire questo.

3. E anche se tu potessi fermarlo, sembra che possano semplicemente leggere direttamente la RAM del VPS.

Ovviamente, il VPS può archiviare i dati su di esso e finché la chiave non è sul VPS e i dati non vengono mai decodificati lì, quindi l'host non può ottenere i dati.

Ma mi sembra che se qualche punto i dati sul VPS vengono decrittografati ... per l'uso sul VPS ... allora il provider di hosting può ottenere i dati.

Quindi, le mie due domande sono:

1. È corretto? È vero che non è possibile al 100% proteggere i dati su un VPS da un host dal vederli, mantenendoli accessibili al VPS?

2. Se è possibile renderlo sicuro al 100%, allora come? Se ciò non è possibile, qual è il più vicino possibile per nascondere i dati dall'host web?

L'host della macchina virtuale può vedere e sconfiggere qualsiasi misura di sicurezza menzionata, inclusa la crittografia dei dischi o file virtuali all'interno del filesystem virtuale. Potrebbe non essere banale farlo, ma è molto più facile di quanto la maggior parte della gente pensi. In effetti, hai fatto allusione ai metodi comuni per fare esattamente questo.

Nel mondo degli affari, questo viene generalmente trattato tramite contratti e accordi sul livello di servizio, specificando la conformità agli standard legali e di settore, e quindi viene generalmente considerato un problema purché l'host sia effettivamente conforme agli standard pertinenti.

Se il tuo caso d'uso richiede sicurezza dall'host, o più probabilmente, dal governo dell'host, allora dovresti prendere in considerazione l'idea di ottenere il tuo servizio in un altro paese.

I tuoi presupposti sono corretti. Non è assolutamente possibile proteggere un host se non è possibile garantire la sicurezza fisica della macchina: qualcuno con accesso fisico a un host sarà in grado di controllarlo o leggere tutti i suoi dati , a condizione che disponga dell'attrezzatura necessaria (ad es. una scheda PCI inseribile a caldo è in grado di leggere la memoria dell'host, comprese le chiavi di crittografia e le passphrase conservate lì).

Ciò vale anche per le macchine virtuali, tranne per il fatto che l'accesso "fisico" è sostituito dalla possibilità di controllare l'hypervisor. Mentre l'hypervisor esegue (ed è in grado di intercettare) qualsiasi istruzione della VM e detiene tutte le risorse (inclusa la RAM) per conto della VM, chiunque abbia privilegi sufficienti sull'hypervisor è in grado di esercitare il pieno controllo su una VM. Notare che il controllo dell'hypervisor risparmia sui requisiti di attrezzature speciali.

A parte ciò, nella comunità della sicurezza esiste ormai da molto tempo un consenso sul fatto che la sicurezza "al 100%" è impossibile da raggiungere. Il compito di un ingegnere della sicurezza è di valutare i possibili vettori di attacco, lo sforzo necessario per sfruttarli e confrontare il costo previsto dell'attacco con il valore delle risorse interessate da esso per assicurarsi che non ci sarebbero incentivi finanziari per l'attacco e il la capacità di eseguire un attacco sarebbe limitata a una cerchia ristretta (idealmente di dimensioni 0) di persone o organizzazioni non interessate ai beni che sta cercando di proteggere. Maggiori informazioni su questo argomento: http://www.schneier.com/paper-attacktrees-ddj-ft.html

Sì.

Se hai accesso a un host X sicuro, ma devi accedere a vaste risorse informatiche, ma potenzialmente non sicure, su Y, puoi utilizzare la crittografia omomorfa sui dati.

In questo modo, i calcoli possono essere eseguiti su Y, senza mai perdere dati da X.