Como podemos proteger dados em hosts gerenciados (vps, nuvem, etc)?

Navegue suas respostas
2

Estas instalações de alojamento tendem a ser excelentes, são baratas e funcionam bem em comparação com outras alternativas. Embora seja barato, há um compromisso a ser feito e quero saber se existe uma maneira de não fazer esse compromisso.

O compromisso de permitir acesso claro a dados possivelmente confidenciais que estão sendo hospedados por esse provedor, você está basicamente deixando código sensível, bancos de dados e outros arquivos nesses servidores para qualquer funcionário do host que tenha acesso para roubar ou roubar.

Existem proteções disponíveis para evitar que eles vejam tudo? Eu sei que alguns de vocês dirão, bem, você deve usar um anfitrião respeitável, que é um bom conselho, mas não importa quão bom eles pareçam, sempre pode haver alguém corrupto.

    
por Recursion 09.12.2010 / 06:23

3 respostas

2

Como diz o velho ditado - se alguém tiver acesso físico aos seus servidores, todas as apostas estão desativadas!

O mesmo se aplica à hospedagem em nuvem / máquina virtual. Dito isso, existem algumas etapas de atenuação que você pode seguir, dependendo dos tipos de dados que você deseja proteger. por exemplo,

  1. As senhas de usuário (e outros dados confidenciais) devem nunca ser armazenadas em branco. No caso de senhas, use sempre um hash semeado. Dessa forma, mesmo se alguém roubasse seu banco de dados de usuários, eles teriam dificuldade em calcular as senhas. Você deve fazer isso para qualquer informação usada para autenticação.
  2. Documentos confidenciais devem nunca ser armazenados sem criptografia. Use a mesma medida que você faria para proteger as comunicações por email. Se você precisar compartilhar documentos, use o PKI para criptografar as coisas antes da transmissão. Caso contrário, criptografe de qualquer maneira. Use criptografia de alto nível onde você puder.
    3. A criptografia
  3. On-the-fly também pode ser empregada.

Advertência : Lembre-se de que existem maneiras de extrair seus dados não criptografados da memória, em vez dos arquivos no disco. Há também maneiras de atacar os arquivos no disco.

    
por 09.12.2010 / 07:43
1

Dependendo do valor dos seus dados, ou seja, quanto você está disposto a gastar para protegê-los:

  • Como a TomTom diz, não se preocupe com isso; não vale a pena roubar.
  • Veja as práticas de segurança publicadas e as certificações do seu provedor. Muitas certificações incluem proteção contra ataques internos. (O EC2 acabou de validar o nível 1 do PCI-DSS, o que demonstra um grau bastante alto de confiança de que eles, incluindo seus funcionários, são confiáveis).
  • Negocie um contrato com o fornecedor, responsabilizando-o se seus funcionários, ou sua negligência, resultar em uma violação. É improvável que isso seja viável, a menos que você seja muito grande e de alto valor.
  • Gerencie mais da hospedagem por conta própria. Isso pode estar em qualquer lugar, desde o uso de servidores não gerenciados provisionados por uma empresa de hospedagem até o uso de seus próprios servidores / redes em uma colônia, até a construção de um data center e a contratação de forças internas de segurança.

Sempre que você está adquirindo, você confia na empresa de terceirização. Que nível de confiança é apropriado é um tradeoff econômico que você terá que fazer sozinho. E lembre-se, fazer algo em casa só lhe dá mais controle, não mais segurança. Você ainda precisa examinar seus próprios funcionários e confiar neles com seus dados.

    
por 09.12.2010 / 07:22
0

The compromise being allowing clear access to possibly sensitive data being hosted by that provider, you are basically leaving sensitive code, databases and other files on these servers for any employee of the host who has access to take or steal.

Sim, você faz. Como todos os compromissos. Quer ser barato, viver com isso.

Dito isso, tenho certeza de que seus dados sensitivos não valem nada. A maioria das pessoas tende a ter grandes ilusões sobre o que vale a pena. Você acha que os funcionários de um host gerenciado têm tempo para passar por dezenas de milhares de computadores bebendo para a lista de pequenos clientes de alguém? Sério?

Quais são os dados de alta segurança que você está tentando proteger? Registros financeiros do cliente? Dados financeiros legalmente protegidos valem dezenas de milhares de dólares porque você pagou por isso? Sistemas fazendo negociação financeira automática com algoritmos seguros? Registros de cartão de crédito do cliente? Na verdade, no último caso, você está em uma vaga direta de suas obrigações legais assinadas com as empresas de cartão de crédito e em todos os outros casos ... o risco ainda não existe.

Ou falamos de algumas coisas que simplesmente dizem que não têm valor real, exceto em sua imaginação?

Eu não tento ser muito negativo aqui, mas é um padrão que a maioria das pessoas pensa que suas ideias são únicas de uma startup (elas não são), que seus dados têm muito valor e que os funcionários nos hosts não têm mais nada para fazer do que passar pelo servidor sobre o servidor para roubar exatamente seus dados importantes .... enquanto isso é de pouco valor e o investimento de tempo seria muito alto.

Você tem alguma idéia de quantos servidores existem, por exemplo, no Amazon ec2? Você ficaria surpreso. Uma equipe de 10 pessoas trabalhando em tempo integral possivelmente levaria todo o seu tempo de trabalho para pesquisar dados antes de passar por todos os servidores.

No final do dia, você tem que confiar em uma empresa com reputação. E se você for muito valioso, não seja alguém muito barato para comprar um servidor.

    
por 09.12.2010 / 07:04

Tags

Use vários IPs no convidado KVM ServerAlias não está funcionando