リモート プロバイダー、Amazon や Aruba などのオペレーターに VPS があり、Ubuntu 上で使用している場合、ディレクトリは暗号化されていますが、encfs などを使用して復号化された状態でマウントされています (起動し、シェルにログインし、パスワードを使用してマウントし、ログオフして実行したままにします)。また、このマウントされたフォルダー、ディレクトリは nginx または ftp サーバーを介して共有されているため、復号化する必要なくリモートでアクセスできます。ただし、このリモート VPS で復号化され、キーは VPS マシン メモリ内にあるため、VPS 会社、Aruba、または Amazon の従業員がそれをスニッフィングしたい場合、どのように保護できますか?
答え1
サーバーに物理的にアクセスできる人が暗号化されたデータと鍵の両方を持っているため、データにアクセスできないようにする技術的な方法はありません。信頼この点についてはサービス プロバイダーに確認してください。サービス プロバイダーが企業として信頼できない場合は、暗号化されているかどうかに関係なく、データを渡さないでください。
個々の従業員に対して、企業は厳格なポリシー、身元調査、監査方法を持っています。これほど大きな会社では、顧客の信頼を失うわけにはいきません。例えば、Amazonは、このことを自社のポリシーで説明しています。AWS セキュリティホワイトペーパー、章 AWS アクセス:
AWS プロダクション ネットワークは Amazon 企業ネットワークから分離されており、AWS プロダクション ネットワークでは要塞ホストを介した SSH 公開鍵認証が必要です。
AWS クラウド コンポーネントにアクセスする必要がある Amazon 企業ネットワーク上の AWS 開発者および管理者は、AWS アクセス管理システムを通じて明示的にアクセスをリクエストする必要があります。すべてのリクエストは、適切な所有者またはマネージャーによって確認および承認されます。
機密性が高く、これだけでは不十分な場合は、このデータのみを自分で保管してください。(そして、アルミホイルの帽子レベルに敏感なので、このマシンをインターネットに接続しないでください。
一方、これは本当に私を怖がらせます:
ディレクトリはnginxまたはftpサーバーを介して共有されているため、リモートでアクセスできます。
実際に FTP またはプレーン HTTP トラフィックを使用する場合、AWS クラウドとユーザーの間にいるすべてのユーザーにデータが公開されます。これは実際に心配すべきことです。