É possível ter um servidor virtual privado virtual 100% seguro?

Estou curioso para saber se é possível ter um VPS com dados que não sejam legíveis pelo provedor de hospedagem, mas que ainda possam ser utilizados no VPS.

Obviamente, existem algumas coisas que você pode fazer para impedir que eles leiam qualquer coisa ...

1. Você pode alterar todas as senhas, incluindo raiz. Porém, eles ainda poderiam usar alguma inicialização alternativa para redefinir a senha ou apenas montar o disco de outra maneira.

2. Portanto, você pode criptografar o disco ou pelo menos parte do conteúdo do disco. Mas parece que, se você descriptografar o conteúdo, eles ainda poderão "ver" o que você está fazendo no console, porque, afinal, a plataforma de virtualização deve permitir isso.

3. E mesmo se você pudesse parar com isso, parece que eles poderiam apenas ler a RAM do VPS diretamente.

Obviamente, o VPS pode armazenar dados nele e, desde que a chave não esteja no VPS e os dados nunca sejam descriptografados lá, o host não poderá obter os dados.

Mas parece-me que, se algum ponto os dados no VPS forem descriptografados ... para uso no VPS ..., o provedor de hospedagem poderá obter os dados.

Então, minhas duas perguntas são:

1. Isso está correto? É verdade que não há como ver dados 100% seguros em um VPS de um host, mantendo-os acessíveis pelo VPS?

2. Se é possível torná-lo 100% seguro, como? Se não for possível, qual é o valor mais próximo possível para ocultar dados do host?

O host da máquina virtual pode ver e anular qualquer medida de segurança mencionada, incluindo a criptografia de arquivos ou discos virtuais no sistema de arquivos virtual. Pode não ser trivial fazê-lo, mas é muito mais fácil do que a maioria das pessoas pensa. Na verdade, você aludiu aos métodos comuns de fazer exatamente isso.

No mundo dos negócios, isso geralmente é tratado por meio de contratos e acordos de nível de serviço, especificando a conformidade com os padrões legais e do setor, e geralmente é considerado um problema, desde que o host seja realmente compatível com os padrões relevantes.

Se o seu caso de uso exigir segurança do host ou, mais provavelmente, do governo do host, considere a possibilidade de obter seu serviço em outro país.

Suas suposições estão corretas. Não há absolutamente nenhuma maneira de proteger um host se você não puder garantir a segurança física da máquina - alguém com acesso físico a um host poderá controlá-lo ou ler todos os seus dados , desde que ele possua o equipamento necessário (por exemplo, uma placa PCI hot-plugável pode ler a memória do host - incluindo chaves de criptografia e senhas mantidas ali).

Isso também é válido para máquinas virtuais, exceto que o acesso "físico" é substituído pela capacidade de controlar o hipervisor. À medida que o hypervisor executa (e é capaz de interceptar) qualquer instrução da VM e mantém todos os recursos (incluindo a RAM) em nome da VM, qualquer pessoa com privilégios suficientes no hypervisor pode exercer controle total sobre uma VM. Observe que o controle do hipervisor poupa o requisito de equipamento especial.

Além disso, há um consenso na comunidade de segurança há muito tempo, que é impossível alcançar uma segurança "100%". A tarefa de um engenheiro de segurança é avaliar possíveis vetores de ataque, o esforço necessário para explorá-los e comparar o custo previsto do ataque com o valor dos ativos afetados por ele para garantir que não haja incentivo financeiro para o ataque e a capacidade de realizar um ataque seria limitada a um pequeno círculo (idealmente de tamanho 0) de pessoas ou organizações não interessadas nos ativos que ele está tentando proteger. Mais sobre esse tópico: http://www.schneier.com/paper-attacktrees-ddj-ft.html

Sim.

Se você tiver acesso a um host seguro X, mas precisar acessar recursos de computação vastos, mas potencialmente inseguros, em Y, poderá usar a criptografia homomórfica nos dados.

Dessa forma, os cálculos podem ser realizados em Y, sem nunca vazar dados do X.