Если тебя беспокоит возможность кражи данных хостером то про vps забудь. Как минимум нужен физический сервер (хотя проверить что тебя не обманули и не подсунули vps - надёжно не получится), лучше - свой собственный, а ещё лучше - на своей (физически) территории.
Если же настолько не беспокоит что готов использовать vps, то по-моему незачем тратить силы на бесполезные шифрования.
Ну не совсем соглашусь. Да - если скрываться от хостера как организации в целом или сотрудника хостера который охотится лично за твоими данными - то да, смысла нет. Но вот от случайной утечки поможет.
скрывать от хостера ничего не получится, ибо ключ доступа должон там же у хостера гдето лежать для старта системы.
да и будучи хитрожопо лежащим отдельно и запрашиваемым при старте снаружи, один фих зависнет в памяти, ибо для работы нужон. а память впс хостеру доступна чуть больше чем полностью.
и от случайной утечки не спасет, ибо стечь может всё в том числе и ключ в дампе памяти.
т.е. смысла нет.
ибо ключ доступа должон там же у хостера гдето лежать для старта системы.
Зачем ему это?
В теории, насколько я поминаю, если держать шифрованную ФС с ручным вводом пароля, то хотя бы от «положил образ твоей вируталки в карман и унёс домой» должно же уберечь.
Есть еще одна квасика - пришел поработать на должность младшего уборщика, стащил что плохо лежит и уволился. Говоря о хостере вы тут имеете в виду каких-то мегаадминов которые будут дамп памяти выковыривать, дешитфровывать чего-то. Но осоновная массу утечек идет не через мегагуру а от всякой мелкой шушеры. И тут задача чтобы ваше просто плохо не лежало.
Это не сценарий а одна строчка из него, которая непонятно какое в целом отношение к делу имеет. Я имею ввиду полную историю со всеми подробностями - чем занят сервер, почему ты боишься утечек, какие утечки могут случиться (описание каждой утечки: такие-то данные таким-то образом попали к такому-то человеку, и он таким-то вредоносным способом их реализовал), как оцениваешь их шансы (у каждой), как борешься, какая именно утечка случилась, как тебе это навредило, какой процент шанса реализовался в описанных событиях.
И так вот, фразе «от случайной утечки поможет» я тут хоть сколько-то значимого места не вижу.
каждый раз будешь вводить ключ при старте впс ?? :) а они как обычно всегда происходят не вовремя.
ди в принципе пофих на это, хостер имеет неограниченный доступ к памяти впс, в которой находится ключ, ибо он нужен для доступа к зашифрованному носителю. хостер дампит память и вытаскивает оттуда ключ. скорей всего ты такое даже не заметишь. систему максимум остановят на долю секунды и все ок.
сейчас даже мелкая шушера имеет достаточные познания чтобы. я вот вообще не имею отношения к ИТ-специальностям, просто общаясь/играясь с линухой, попутно набрался всякого…
любой из того, что имеется в системе :)
впс ставят на паузу, значения xmm-регистров (хоть чего-либо еще) сливают, впс снимают с паузы…. профит - никто ни чего не заметит :)
хостер имеет абсолютный доступ к твоей впс, мальчик.
Я шифрую. Понятно что можно из ОЗУ задампить, но если кто сопрёт диск/сервер или попробует с хоста пошариться по содержимому контейнера, не прочитает - уже хорошо.
Такая мера наверно повышает сложность атаки, но по-моему тоже обходится при желании. Память можно не только дампить но и патчить, раз уж в эту сторону пошли.
Зависит от способа проведения этих действий. Чтобы надёжно закрыть все относительно простые способы - за пределами кристалла проца вообще не должно быть ничего незашифрованного ни в какой момент времени.
На мой взгляд, это имеет смысл, и в будущем будет стандартом де-факто, примерно как сейчас становится всё более популярным шифрование дисков ноутбуков и телефонов.
Соответственно, кому-то это не нужно вообще (экономия важнее), кому-то — «ну пусть будет», кому-то это — критическое требование.
Есть куча векторов атаки (на бэкапы, на данные на диске, на данные в памяти, на сеть, на данные в БД и т.д.). Какие-то облака от этого лучше защищены, какие-то хуже.
3. Доступность.
Если говорить именно о шифровании памяти, то оно существует и оно используется в AWS и Azure.
По идее, крупные российские облака вполне могут шифровать ОЗУ VM, но это надо проверять.
У меня был следующий опыт: у Selectel’a был (может и есть) кластер VmWare, и когда я к ним обратился с пожеланием получить защищённую VM, то мне отказали (типа да, функционал такой в VmWare есть, но мы его не используем).
в телеграме как я понимаю все основано на шифровании шифруются не только протоколы, но и диски понятно, что у них не впс-ки , а физические сервера никто и никогда не слышал об утечке данных из телеграма хотя у них сервера раскиданы по всему миру а в том же сигнале утечки случаются