Комментарии 16
Шифрование диска — это важно,
но против virsh save/restore есть ли спасение?
Когда на руках дампы всей машины, её памяти, можно найти много интересного.
Ключ BitLocker, если память не изменяет, как раз легко выуживается из дампа оперативной памяти. Т.е. описанное в статье поможет, но только если противная сторона решила сначала "потушить" виртуальный сервер, а потом уже его исследовать.
Теперь, если кто-то получит физический доступ вашему компьютеру, то он не сможет подключиться к серверу, даже если зайдет на сайт провайдера под вашим логином. А если придет в ЦОД и подключится изнутри к вашему VPS, то все равно не сможет получить данные — они будут зашифрованы.
Зато сам VPS-провайдер тупо перехватит ввод ключа с клавиатуры через свою консоль, если захочет. Даже дампать память не придётся
Тут ещё как бы напрашивается пунктик о настройке способа дешифровки подобных Linux VPS по SSH (до расшифровки запускается вспомогательный SSH из какого-нибудь BusyBox, где и можно дать команду на дешифровку). Очень удобно.
Если действительно нужна серьезная защита данных в виртуальных Windows-серверах, то нужно обустраивать инфраструктуру для Shielded VM
https://youtu.be/4TeDymxN_iU
Тээк. Вопрос "как пошифровать себе диск битлокером" - это самоочевидное, на мой взгляд, дело.
Не раскрыты нюансы. Например, хранение аварийных ключей.
Т.е. вы сохранили ключ себе же на диск. Оооокей. В случае, если пароль забыли, вы оказываетесь в ситуации "запасной ключ от сейфа лежит в сейфе" ^^.
Самое-то интересное как раз - хранение вот таких вот ключиков, способы не забыть, от чего какой, и способы недопустить их попадания не в те руки.
И ещё. понятно, что в случае шифрования системного диска, при ребуте сервера нужно вводить ему пароль. Опять же интересна процедура, как именно это организовано, и есть ли способ делать это не руками.
Шифрование данных на виртуальном сервере