ruvds 29 дек 2020 в 16:23

Шифрование данных на виртуальном сервере

8 мин

17K

Блог компании RUVDS.comИнформационная безопасность*Серверное администрирование*Хранение данных*

+24

Комментарии 16

akhkmed 29 дек 2020 в 16:38

Спасибо за статью.
Шифрование диска — это важно,
но против virsh save/restore есть ли спасение?
Когда на руках дампы всей машины, её памяти, можно найти много интересного.

dartraiden 29 дек 2020 в 17:04

Ключ BitLocker, если память не изменяет, как раз легко выуживается из дампа оперативной памяти. Т.е. описанное в статье поможет, но только если противная сторона решила сначала "потушить" виртуальный сервер, а потом уже его исследовать.

Darkhon 30 дек 2020 в 15:08

И это аргумент в пользу Veracrypt — он умеет шифровать ключи в памяти.

thanxqap 29 дек 2020 в 17:17

Разве что гомоморфное шифрование

force 29 дек 2020 в 17:45

Ээх… думал будет рассказано, какие есть техники, чтобы после перезагрузки сервера не надо было танцевать с бубном, чтобы его завести. Особенно актуально для Windows, которая любит ставить апдейты и перегружаться.

dartraiden 29 дек 2020 в 18:30

Что-то типа habr.com/post/92022

НЛО прилетело и опубликовало эту надпись здесь

andreymal 29 дек 2020 в 20:07

Теперь, если кто-то получит физический доступ вашему компьютеру, то он не сможет подключиться к серверу, даже если зайдет на сайт провайдера под вашим логином. А если придет в ЦОД и подключится изнутри к вашему VPS, то все равно не сможет получить данные — они будут зашифрованы.

Зато сам VPS-провайдер тупо перехватит ввод ключа с клавиатуры через свою консоль, если захочет. Даже дампать память не придётся

cryptoz 30 дек 2020 в 07:54

Статья не полная, для Windows рассмотрено шифрование всего диска целиком вместе с самой системой, а для Linux только файл криптоконтейнер. Для Windows можно также использовать VeraCrypt — форк от TrueCrypt, который развивается и доверия к нему побольше, чем к BitLocker

abrwalk 30 дек 2020 в 12:59

Для Linux здесь просто перевод туториала с ДО www.digitalocean.com/community/tutorials/how-to-use-dm-crypt-to-create-an-encrypted-volume-on-an-ubuntu-vps

-1

abrwalk 1 янв 2021 в 16:34

Одна платформа виртуалок берет статью с сайта другой платформы виртуалок, и постит в своем рекламном блоге, без какой-либо аттрибуции.

Интересно, кто поставил минус…

Temmokan 30 дек 2020 в 13:13

Я правильно понимаю, что когда шифрованный том уже смонтирован, то доступ к VPS будет означать доступ и к дешифрованной версии тома?

Тут ещё как бы напрашивается пунктик о настройке способа дешифровки подобных Linux VPS по SSH (до расшифровки запускается вспомогательный SSH из какого-нибудь BusyBox, где и можно дать команду на дешифровку). Очень удобно.

potan 30 дек 2020 в 15:52

Где хранятся ключи во время работы? Если нет доступа к криптопроцессору, то придется их хранить в памяти виртуальной машины и доверять провайдеру, что к ней ни кто не получит доступ. Или есть другое решение?

realscorp 1 янв 2021 в 11:50

Shielded VM от Майкрософт, например.

realscorp 1 янв 2021 в 11:38

Если действительно нужна серьезная защита данных в виртуальных Windows-серверах, то нужно обустраивать инфраструктуру для Shielded VM
https://youtu.be/4TeDymxN_iU

ElvenSailor 3 авг 2022 в 11:21

Тээк. Вопрос "как пошифровать себе диск битлокером" - это самоочевидное, на мой взгляд, дело.

Не раскрыты нюансы. Например, хранение аварийных ключей.

Т.е. вы сохранили ключ себе же на диск. Оооокей. В случае, если пароль забыли, вы оказываетесь в ситуации "запасной ключ от сейфа лежит в сейфе" ^^.

Самое-то интересное как раз - хранение вот таких вот ключиков, способы не забыть, от чего какой, и способы недопустить их попадания не в те руки.

И ещё. понятно, что в случае шифрования системного диска, при ребуте сервера нужно вводить ему пароль. Опять же интересна процедура, как именно это организовано, и есть ли способ делать это не руками.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий