Se eu tiver vps em algum provedor remoto, operador como amazon ou aruba etc, e no ubuntu lá, tenho o diretório criptografado, mas montado como descriptografado, por exemplo, através de encfs. (Boot, faça login no shell, monte com senha, faça logoff e deixe rodando). E esta pasta montada, diretório é compartilhado comigo através do servidor nginx ou ftp, então eu tenho acesso a ela remotamente sem precisar descriptografar. Mas como ele é descriptografado neste vps remoto e a chave está na memória da máquina vps, como posso protegê-lo se a empresa vps, aruba ou funcionário da Amazon quiserem cheirá-lo?
Responder1
Não existe nenhuma maneira tecnológica de garantir que ninguém com acesso físico ao servidor possa acessar seus dados, pois ele possuiria os dados criptografados e a chave. Você tem queconfiarseu provedor de serviços sobre isso. Se o prestador de serviços como empresa não for confiável, não forneça seus dados a eles, criptografados ou não!
Para funcionários individuais, as empresas poderiam ter políticas rígidas, verificações de antecedentes e métodos de auditoria. Uma empresa deste porte não pode se dar ao luxo de perder a confiança do cliente. Por exemplo, a Amazon descreve isso em seuArtigo de segurança da AWS, capítulo AWS Access:
A rede de produção da AWS é segregada da rede corporativa da Amazon – a rede de produção da AWS requer autenticação de chave pública SSH por meio de um host bastião.
Os desenvolvedores e administradores da AWS na rede corporativa da Amazon que precisam acessar os componentes da nuvem AWS devem solicitar explicitamente o acesso por meio do sistema de gerenciamento de acesso da AWS. Todas as solicitações são analisadas e aprovadas pelo proprietário ou gerente apropriado.
Se você tiver algo tão sensível que não seja suficiente, armazene esses dados sozinho. (E se forchapéu de papel alumíniosensível ao nível, também não tenha esta máquina na Internet.)
Por outro lado, isso realmente me assusta:
o diretório é compartilhado comigo através do servidor nginx ou ftp, então eu tenho acesso a ele remotamente
Se você realmente usa FTP ou tráfego HTTP simples, seus dados serão revelados a qualquer pessoa entre você e a nuvem AWS. Isso é algo com que você realmente deveria se preocupar!