Как параноику использовать VPS для конфиденциальных нужд?

Вопрос: Как сократить вовсе ограничить возможность доступа хост-провайдера к критичным данным?

Зашифровать том с данными. Пароль вводить по VNC при загрузке.

Никак, нужно продолжать держать на подкроватном локалхосте.

Пароль вводить по VNC при загрузке.

который смогут прочитать, имея физический доступ к железу

Самая лучшая защита от взлома - отсутствие взламываемых устройств.

«Прочитать» - в смысле перехватить?

Ну, так ничто не идеально :)

Это сарказм или серьёзно?

Как параноику использовать VPS для конфиденциальных нужд?

Параноику не стоит использовать VPS.

В контексте вопроса ТС — серьёзно.

Поддержу уже отписавшихся - никак. Если железо не под твоим физическим контролем - с ним могут относительно незаметно сделать что угодно. Но просто поставить сервер у себя недостаточно, надо ещё следить за тем чтобы в нём не было програмных дыр, а это уже история намного печальнее, если тщательно подходить к задаче.

Ну нет, есть конечно вариант: собираешь сервер в бронированном корпусе, с внутренним аккумулятором, с датчиками неавторизованного проникновения и автоматическим уничтожением внутренностей при их срабатывании или при критическом разряде аккума (после которого он не сможет питать систему безопасности). Тогда можно этот ящик дать на collocation какому-нить хостеру и надеяться что он в относительной безопасности (но лучше всё равно - в своём личном бункере).

VPS однозначно мимо.

Поставить сервер под кровать и ни в коем случае не подключать к сети.

Через VPS можно «прикрыть» свой сервер под кроватью… Или в гараже… Или в погребе… В общем, немного припрятать концы своего подкроватного сервера. Но не очень надежно. :)

А еще можно 2 vps у разных провайдеров, и ходить через хопы. :)

Я бы вместо модификации initramfs использовал lxc контейнер с [url=https://wiki.archlinux.org/title/Category:Data-at-rest_encryption]шифрованием его файловой системы[/url] или даже хранил бы его в RAM на VPS.

VPS следует арендовать, например, в стране без интерпола. Доступ к VPS можно организовать через публичный VPN сервис поддерживающий doubleVPN и проброс портов (AirVPN, CryptoStorm, Mullvad, WindScribe).

Но это будет дороже чем на pi, для которого можно дома организовать и UPS и failsave network access.

1. Работать с большими компаниями. Амазон, гугл, яндекс, цифровой океан.

2. Сделать шифрование диска. Пароль вводить через веб-консоль при загрузке.

3. Вылечить манию преследования.

который смогут прочитать, имея физический доступ к железу

А ещё могут подменить /boot (или кто там пароль спрашивает).

В общем тут нужен secure boot, шифрование памяти и всё это с возможностью удалённой аттестации. Сложные технологии и вряд ли оно у кого-то есть. Шифрование памяти знаю есть у AMD, но про остальное не слышал.

Хотя на самом деле деньги в этом есть. Если ты сможешь это сертифицировать нужным образом, какие-то клиенты потянутся. Скажем есть в Казахстане siloviki. У них есть свои серверы, на которых лежат свои данные. Свои сети, не связанные с интернетом. Но понятно, что siloviki в администрирование и прочее не очень умеют и всё это работает не идеально. Но пойти и захостить на яндексе просто так тебе никто не даст, думаю, очевидно, почему. А вот если яндекс сможет убедить, что в его дата центрах реализованы такие технологии, которые не смогут дать прочитать данные его админам, даже если Путин прикажет, вот тут могут и пойти. И получит яндекс толстого клиента.

Думаю, в будущем такое появится.

гомо морфное шифрование

Думаю, в будущем такое появится.

https://aws.amazon.com/ru/govcloud-us/

Вот для US что-то подобное

в случае VPS еще и элементарно просто: хост имеет полный доступ к содержимому RAM гостевой системы, и может, не напрягаясь, в онлайн т.е. полностью незаметно для гостя мониторить и сливать данные процессов.
ты для хоста как девица, прикрываюшаяся мокрой пеленкой…

Это не совсем то. Из шифрования там вроде только S3 и в этом ничего интересного нет. Там больше всякие бумажки. Оно, конечно, тоже важно. Безопасность административными методами это классика. Почему, кстати, я и рекомендую крупные сервисы, у них эти бумажки есть, а значит там проверили, что явной дичи вроде технической возможности физического доступа саппорта к виртуалкам нет, доступ есть только у серьёзных людей, к которым доверие есть.

Вопрос: Как сократить или вовсе ограничить возможность доступа хост-провайдера к критичным данным?

Никак, но можно арендовать VPS за monero и подключаться строго через тор.

Это не совсем то. Из шифрования там вроде только S3 и в этом ничего интересного нет.

там куча сервисов помимо s3

https://aws.amazon.com/ru/kms/features/

Сервис AWS KMS устроен таким образом, что никто, включая сотрудников AWS, не может извлечь из него ваши незашифрованные ключи. Этот сервис использует для защиты ключей аппаратные модули безопасности (HSM), проверенные или находящиеся в процессе проверки на соответствие стандарту FIPS 140‑2, чтобы гарантировать конфиденциальность и целостность ключей. Незашифрованные ключи никогда не записываются на диск и используются только в энергозависимой памяти HSM в течение времени, необходимого для выполнения запрошенной криптографической операции. Эти гарантии одинаково применимы к ключам, которые AWS KMS создает от вашего имени, которые вы импортируете в службу извне или самостоятельно создаете в кластере AWS CloudHSM с использованием пользовательского хранилища ключей. Ключи, созданные сервисом AWS KMS, могут использоваться только в том регионе AWS, где они были созданы, и никогда не передаются за его пределы. Обновление встроенного ПО модулей HSM в AWS KMS управляется системой многостороннего контроля доступа. За ее аудит и проверку на соответствие требованиям стандарта FIPS 140‑2 отвечает независимая группа в составе Amazon, а также лаборатория, прошедшая аккредитацию NIST.

Зашифровать том с данными. Пароль вводить по VNC при загрузке.

почему по vnc? ssh же

вылечить паранойю для начала.

Просто как один из удобных вариантов. ssh тоже поддерживаю.

Вопрос: Как сократить или вовсе ограничить возможность доступа хост-провайдера к критичным данным?

никак, это технически невозможно
зашифровать данные не поможет, так как хостер имеет доступ ко всей памяти сервера, и может из дампа памяти виртуалки очень легко вытащить ключ шифрования

Никак, нужно продолжать держать на подкроватном локалхосте.

В теории есть всякие trust zone, но доступно ли это рядовому человеку?

Никак, нужно продолжать держать на подкроватном локалхосте.

Множество ёмкостных датчиков между обкладкой конденсатора и корпуса?

впорос еще доступен ли трастзон множеству запущенных на машине VPS, их может быть и тыща…
ну и главное - смогет ли трастзон отличить запрос хоста от запроса гостя, учитывая что хостер может все впс на «оси» крутить во все стороны…

Если железо не у тебя - в нём ВСЁ могут подменить (предварительно реверснув имеющееся, если надо). Вопрос только в стоимости данной операции. Просто вытащить диск из сервера и прочитать открытые данные - почти бесплатно. Прочитать данные из спрятанной в залоченном SoC памяти - дорого, нужны высокие технологии, но тоже возможно.

TrustZone это чисто маркетинг. У софта нет шансов что бы то ни было защитить, если железо, на котором он исполняется, скомпрометировано. И если железо виртуальное - тоже.

смогет ли трастзон отличить запрос хоста от запроса гостя,

Ставь вопрос по-другому - сможет ли гость отличить настоящий trustzone от эмулятора, даже если хостовый (железный) проц обычный, а не специальный с бекдорами по экслюзивному заказу от богатой организации.

ты знал !! ты знал (с) анекдот.

Технически можно не передавать ключ на сервер.
Если требуется обрабатывать данные силами сервера, есть системы с полностью гомоморфным шифрованием.
Но практически применимо не везде.

доступ есть только у серьёзных людей, к которым доверие есть

Обожаю вот это обезличенное «доверие». Где можно посмотреть список с именами и фамилиями этих людей, и по какой причине _я_ могу этим людям доверять?

Нигде. Ты доверяешь компании целиком и тому, что она выстроила все процессы, как положено. Ну или не доверяешь. Дело твоё.

Правда непонятно, как ты вообще что-то хостить собрался. Разве что у себя под диваном. В датацентре у сотрудников есть физический доступ к твоим серверам. Всё только на доверии.

Ты доверяешь компании целиком

После того, как microsoft, google, yahoo зашкварились в prism, как можно в принципе доверять крупным компаниям?

Всё только на доверии.

Всё только на том, что неуловимый джо никому не интересен.

хоть крупным хоть мелким.
закон сша требует от американских компаний содействия американским гос.службам, хотя и оговаривает границы применения.

А у меня вопрос, что подразумевается под «критичными данными» и на сколько они критичны? К каким последствиям приведет их компрометация? Возможно это является ответом на вопрос ТС

границы применения

Святая наивность

хых, я ж сказал «оговаривает», а не постулирует.
закон как дышло - как захотел так и вышло.

хранить на впс пароли от банков, секретные документы, методы доступа к закрытым сервисам, да и ту же бухгалтерскую документацию и т.д.

Используй end-to-end шифрование чтобы VPS в принципе не мог расшифровать трафик. Ну и аутентификацию для защиты от mitm.

Как параноику использовать

Сходить к хорошему еврейскому доктору.

А как паранойя и евреи связаны?

Используй end-to-end шифрование чтобы VPS в принципе не мог расшифровать трафик

Ну ок, трафик он зашифрует, как это поможет от защиты данных хранимых уже на самом VPS? Единственный вариант использовать VPS только как хранилище криптоконтейнера. А работать с контейнером на локальной машине (скачал/синхронизировал -> расшифровал -> поработал с данными -> зашифровал -> закачал)

никак.

покупай дедик и накатывай патч ядра, чтобы ключ для люкса хранился в регистре, а не памяти

это минимальная адекватаная защита от любопытных (но от гос. служб не спасет)

Я тоже об этом подумал. Хочу я, например, иметь Zabbix на VPS. Получается провайдер будет иметь доступ к БД Zabbix-а и сможет видеть все хосты, которые я мониторю.

Я бы не был столь категоричным и сказал так - «Получается провайдер может получить доступ к БД Zabbix-а...», к тому же стоит помнить, что подобные действия со стороны провайдера без постановления соответствующих органов являются противозаконными.

шадоуноски + впн

и может из дампа памяти виртуалки очень легко вытащить ключ шифрования

А виртуалка может в регистрах CPU держать ключ шифрования?

по какой причине я могу этим людям доверять?

Им товмайор мозги протрахал.

У нас вся безопасность на доаерии к мозготраху.

А у них на технологиях и матмоделях дающих гарантии безопасности.

Они большие специалисты по обрезаниям, может и параною обрезывать умеют.