Wenn ich einen VPS bei einem Remote-Anbieter, Betreiber wie Amazon oder Aruba usw. habe und dort Ubuntu verwende, ist mein Verzeichnis verschlüsselt, aber entschlüsselt gemountet, z. B. über encfs. (Booten, bei Shell anmelden, mit Passwort mounten, abmelden und laufen lassen). Und dieser gemountete Ordner, dieses Verzeichnis wird mir über Nginx oder einen FTP-Server freigegeben, sodass ich remote darauf zugreifen kann, ohne es entschlüsseln zu müssen. Aber da es auf diesem Remote-VPS entschlüsselt ist und sich der Schlüssel im Speicher des VPS-Rechners befindet, wie kann ich es schützen, wenn ein VPS-Unternehmen, Aruba oder ein Amazon-Mitarbeiter hineinschnüffeln möchte?
Antwort1
Es gibt keine technologische Möglichkeit, sicherzustellen, dass niemand, der physischen Zugriff auf den Server hat, auf Ihre Daten zugreifen kann, da er sowohl die verschlüsselten Daten als auch den Schlüssel besitzen würde. Sie müssenVertrauenFragen Sie hierzu Ihren Dienstleister. Ist der Dienstleister als Unternehmen nicht vertrauenswürdig, geben Sie ihm Ihre Daten nicht weiter, egal ob verschlüsselt oder unverschlüsselt!
Für einzelne Mitarbeiter haben die Unternehmen strenge Richtlinien, Hintergrundprüfungen und Auditmethoden. Ein so großes Unternehmen kann es sich nicht leisten, das Vertrauen der Kunden zu verlieren. Amazon beschreibt dies beispielsweise in seinemAWS-Sicherheits-Whitepaper, Kapitel AWS-Zugriff:
Das AWS-Produktionsnetzwerk ist vom Amazon-Unternehmensnetzwerk getrennt. Das AWS-Produktionsnetzwerk erfordert eine SSH-Public-Key-Authentifizierung über einen Bastion-Host.
AWS-Entwickler und -Administratoren im Amazon Corporate-Netzwerk, die auf AWS-Cloud-Komponenten zugreifen müssen, müssen den Zugriff explizit über das AWS-Zugriffsverwaltungssystem anfordern. Alle Anfragen werden vom entsprechenden Eigentümer oder Manager geprüft und genehmigt.
Wenn Sie etwas so Sensibles haben, dass dies nicht ausreicht, speichern Sie diese Daten nur selbst. (Und wenn esAlufolienhutpegelempfindlich, habe diese Maschine auch nicht mit dem Internet verbunden.)
Das hier macht mir dagegen große Angst:
Das Verzeichnis wird mir über Nginx oder einen FTP-Server zur Verfügung gestellt, sodass ich remote darauf zugreifen kann
Wenn Sie tatsächlich FTP oder einfachen HTTP-Verkehr verwenden, werden Ihre Daten jedem zwischen der AWS-Cloud und Ihnen zugänglich gemacht. Das ist etwas, worüber Sie sich wirklich Sorgen machen sollten!