100 % 안전한 가상 사설 서버를 가질 수 있습니까?

호스팅 제공 업체가 읽을 수 없지만 VPS에서 여전히 사용할 수있는 데이터가있는 VPS를 가질 수 있는지 궁금합니다.

분명히 그들이 아무것도 읽지 못하게 할 수있는 일이 있습니다 ...

1. 루트를 포함하여 모든 비밀번호를 변경할 수 있습니다. 그러나 여전히 대체 부팅을 사용하여 암호를 재설정하거나 다른 방법으로 디스크를 마운트 할 수 있습니다.

2. 따라서 디스크 또는 디스크의 일부 내용을 암호화 할 수 있습니다. 그러나 콘텐츠의 암호를 해독해도 콘솔에서 수행중인 작업을 확인하기 위해 "피어 인"할 수있는 것 같습니다. 결국 가상화 플랫폼에서이를 허용해야하기 때문입니다.

3. 그리고 그것을 막을 수 있다고해도 VPS의 RAM을 직접 읽을 수있는 것 같습니다.

물론 VPS는 데이터를 저장할 수 있으며 키가 VPS에없고 데이터가 해독되지 않는 한 호스트는 데이터를 가져올 수 없습니다.

그러나 VPS의 데이터가 해독되면 ... VPS에서 사용하기 위해 호스팅 공급자가 데이터를 얻을 수있는 것 같습니다.

그래서 두 가지 질문은 다음과 같습니다.

1. 이 올바른지? 호스트에서 VPS의 데이터를 100 % 보지 못하고 VPS에서 액세스 할 수있는 방법이 없다는 것이 사실입니까?

2. 100 % 안전하게 만들 수 있다면 어떻게해야합니까? 가능하지 않은 경우 웹 호스트에서 데이터를 숨기는 가장 가까운 것은 무엇입니까?

가상 시스템 호스트는 가상 파일 시스템 내의 가상 디스크 또는 파일의 암호화를 비롯하여 언급 한 모든 보안 조치를보고 무시할 수 있습니다. 아닐 수도 있습니다그렇게하는 쉽지 대부분의 사람들이 생각하는 것보다 훨씬 쉽습니다. 실제로, 당신은 정확히 그렇게하는 일반적인 방법을 암시했습니다.

비즈니스 세계에서는 일반적으로 계약 및 서비스 수준 계약을 통해 처리되며 법률 및 산업 표준 준수를 지정하므로 호스트가 실제로 관련 표준을 준수하는 한 일반적으로 문제가 아닌 것으로 간주됩니다.

유스 케이스에 호스트의 보안이 필요하거나 호스트 정부의 보안이 필요한 경우 다른 국가에서 서비스를받는 것을 고려해야합니다.

당신의 가정은 정확합니다. 머신의 물리적 보안을 보장 할 수없는 경우 호스트를 보호 할 수있는 방법은 절대 없습니다. 호스트 에 물리적으로 액세스 할 수있는 사람 은 필요한 장비가있는 경우 호스트를 제어하거나 모든 데이터를 읽을 수 있습니다 (예 : 핫 플러그 ​​가능 PCI 카드는 호스트의 메모리를 읽을 수 있습니다 (암호화 키 및 암호 문구 포함).

"실제"액세스가 하이퍼 바이저를 제어하는 ​​기능으로 대체된다는 점을 제외하고 가상 머신에서도 마찬가지입니다. 하이퍼 바이저가 VM의 명령을 실행하고 가로 챌 수 있으며 VM을 대신하여 모든 리소스 (RAM 포함)를 보유하므로 하이퍼 바이저에 대한 충분한 권한이있는 사람은 누구나 VM을 완전히 제어 할 수 있습니다. 하이퍼 바이저를 제어하면 특수 장비가 필요하지 않습니다.

그 외에도, 보안 커뮤니티에서는 "100 %"보안을 달성하기가 불가능하다는 컨센서스가 존재 해 왔습니다. 보안 엔지니어의 임무는 가능한 공격 경로를 평가하고이를 악용하는 데 필요한 노력과 공격에 대한 재정적 인센티브가 없는지 확인하기 위해 예상되는 공격 비용을 공격의 영향을받는 자산의 가치와 비교하는 것입니다. 공격을 수행 할 수있는 능력은 보호하려는 자산에 관심이없는 소규모 (이상적으로는 0 크기)의 사람들 또는 조직으로 제한됩니다. 해당 주제에 대한 추가 정보 : http://www.schneier.com/paper-attacktrees-ddj-ft.html

예.

보안 호스트 X에 액세스 할 수 있지만 Y에서 방대하지만 잠재적으로 안전하지 않은 컴퓨팅 리소스에 액세스해야하는 경우 데이터에서 동종 암호화 를 사용할 수 있습니다 .

이런 식으로 X에서 데이터를 유출하지 않고 Y에 대해 계산을 수행 할 수 있습니다.