Назад | Перейти на главную страницу

Целостность, конфиденциальность и VPS

Мне нужно где-то разместить конфиденциальную финансовую программу. Учитывая, что у меня нет ресурсов для локального размещения программного обеспечения локально, я ориентируюсь на VPS или выделенный сервер.

Как я могу быть уверен, что хостинговая компания не украдет мой пароль SSH с помощью атаки Man In the Middle или 0day?

Есть ли решение для гарантии целостность ваших данных в сторонней службе?

Может быть, я смогу разместить машину локально и купить публичный прокси с защитой от DDOS и мониторингом сети?

Не существует решения, гарантирующего безопасность данных, которые физически не зависят от вас.

  • Ваш провайдер может зеркалировать VPS.
    Им не нужны ваши SSH-ключи: они могут забрать данные прямо с изображения.

  • Диски физического сервера могут быть извлечены и клонированы.
    Если это RAID, вы не увидите простоя, и даже если вы получили сигнал тревоги, данные уже приняты.

  • Если вы физически заблокируете машину, ее можно будет снять со стеллажа.
    Да, вы заметите, что он исчез, но данные исчезли.

  • Ваши резервные копии зашифрованы?
    Кража ленты - излюбленный способ получить данные.
    Если вы сделаете резервную копию по сети, могу ли я прослушать трафик и получить все в открытом виде?


Изложив кошмарный сценарий, могу дать следующие рекомендации:

  • Беспокойство о наиболее вероятных векторах атаки.
  • Перед развертыванием сервера сгенерируйте ключи SSH.
  • Проверяйте отпечаток пальца при подключении. Не подключайтесь, если он изменился.
  • Убедитесь, что резервные копии зашифрованы ДО того, как они покинут машину.
    • Не храните резервные ключи на машине. Желательно держать их подальше от сети.
  • Убедитесь, что все остальные соединения зашифрованы соответствующим образом.
  • Обзор Стандарты PCI, особенно PCI-DSS, и убедитесь, что вы реализуете те части, которые имеют смысл.

Если у вас нет прямого физического контроля над машиной, то вы никогда не сможете быть уверены на 100%.