我需要在某处托管一个敏感的财务软件。鉴于我没有资源在本地托管该软件,我倾向于使用 VPS 或专用服务器。
我如何确保托管公司不会通过中间人或零日攻击窃取我的 SSH 密码?
有什么解决方案可以保证正直您的数据是否存储在第三方托管服务中?
也许我可以在本地托管机器,并购买具有 DDOS 保护和网络监控的公共代理?
答案1
如果您不能直接物理控制机器,那么您就不可能 100% 确定。
答案2
没有任何解决方案可以保证您无法物理控制的数据的安全。
您的提供商可以镜像 VPS。
他们不需要您的 SSH 密钥:他们可以直接从镜像中获取数据。物理服务器的磁盘可能会被拆除并克隆。
如果是 RAID,则不会出现停机,即使收到警报,数据也已被盗取。如果你物理上锁定了机器,它就可以从机架上取下来。
是的,你会注意到它不见了,但数据不见了。您的备份是否加密?
窃取磁带是获取数据的一种常见方式。
如果您通过网络备份,我可以嗅探流量并以明文形式获取所有内容吗?
概述了噩梦般的情景后,我可以提出以下建议:
- 担心最有可能的攻击媒介。
- 在部署服务器之前生成 SSH 密钥。
- 连接时检查指纹。如果指纹发生变化,请勿连接。
- 确保备份在离开机器之前已加密
- 不要将备份密钥存储在机器上。最好将它们放在网络之外。
- 确保所有其他连接都经过适当加密。
- 审查PCI 标准,尤其是 PCI-DSS,并确保您实施了有意义的部分。