远程encryption虚拟服务器的硬盘驱动器(VPS,EC2等云服务器)是否可行? 这将有助于保护硬盘驱动器的内容免受主机监听或安全漏洞的影响,但有一些问题:
考虑到这些问题,是使用敏感数据encryption服务器,只需安全影院,还是可以通过未encryption的驱动器提供真正的安全性?
密码必须在启动时input。 远程,这甚至有可能吗?
当然,如果你有某种通过IP的控制台(例如Linode的控制台)。
当主机input密码时,主机是否可以窃听密码?
嗯,是。
VPS是否提供对本机的块级访问,或仅仅是文件级? encryption甚至可能吗?
操作系统需要块级访问,即使只是虚拟化。
主持人(或者一个法官/警察/用枪指着他们怎么做)最终是在控制硬件; 他们是否可以在机器运行时检查内存(类似于冷启动攻击,而不关机)?
当然。 将guest虚拟机暂停到磁盘,然后用hex编辑器挑选它是非常可行的。
考虑到这些问题,是使用敏感数据encryption服务器,只需安全影院,还是可以通过未encryption的驱动器提供真正的安全性?
如果你能控制硬件,这是有道理的。 当别人控制硬件的时候,除非你相信主机不是真的想要看它,否则就没什么意义了(因为如果真的想的话,他们可以很容易地买到适当的专业知识)。
当然是的,但是您需要足够的CPU配额来处理I / O,并且您将有大量的开销,并且您的RAM仍然可以从主机中转储。
如果你在那里寄存一些敏感信息,比如密钥,万一vps公司遭到黑客攻击,他们可以访问主机或者你的账户,他们可以转储镜像,但是无法挂载。 另外,为了卸载RAM,他们将不得不违反控制面板和图像访问之外的主机。
所以是的,encryption可以在一定程度上保护您的VPS /云镜像,如果控制面板被破坏,或者您的VPS账户被破坏,他们将无法访问您的数据。
在启动过程中,您仍然必须input密码,而且在某些情况下,您必须确保在此期间运行未修改的内核,因为它们可以挂载/ boot。 但是您仍然会注意到,因为机器必须过早closures,所以如果您正确处理创业公司,这应该不成问题。