Честность, Конфиденциальность и VPS
Мне нужно где-то разместить чувствительное финансовое программное обеспечение. Учитывая, что у меня нет ресурсов для локального размещения программного обеспечения локально, я ориентируюсь на VPS или выделенный сервер.
Как я могу быть уверен, что хостинговая компания не украдет мой пароль SSH с помощью атаки Man In the Middle или 0day?
Есть ли какое-либо решение, гарантирующее целостность ваших данных в стороннем размещенном сервисе?
Может быть, я могу разместить машину локально и купить публичный прокси с защитой DDOS и мониторингом сети?
2 ответа
Если у вас нет прямого физического контроля над машиной, то вы никогда не будете уверены на 100%.
Не существует решения, гарантирующего безопасность данных, находящихся вне вашего контроля.
VPS может быть отражен вашим провайдером.
Им не нужны ваши SSH-ключи: они могут отбросить данные прямо с изображения.У физического сервера могут быть разорваны и клонированы диски.
Если это RAID, вы не увидите простоев, и даже если вы получили сигнал тревоги, данные уже заняты.Если вы заблокируете машину физически, ее можно извлечь из стойки.
Да, вы заметите, что это ушло, но данные исчезли.Ваши резервные копии зашифрованы?
Кража ленты является любимым способом получения данных.
Если вы выполняете резервное копирование по сети, могу ли я перехватить трафик и получить все это в открытом тексте?
Изложив сценарий кошмара, я могу дать следующие рекомендации:
- Беспокойство о наиболее вероятных векторах атаки.
- Генерация ключей SSH перед развертыванием сервера.
- Проверьте отпечаток пальца при подключении. Не подключайтесь, если он изменился.
- Убедитесь, что резервные копии зашифрованы, прежде чем они покидают машину
- Не храните ключи резервного копирования на машине. Желательно держать их вне сети.
- Убедитесь, что все другие соединения зашифрованы соответствующим образом.
- Просмотрите стандарты PCI, особенно PCI-DSS, и убедитесь, что вы реализуете те части, которые имеют смысл.