我在云提供商上运行 Linux 虚拟机。因此,实际上磁盘是一个 VHD 文件。机器会在磁盘上保存一些敏感信息,例如证书、密码……我想加密磁盘的某些部分(或全部),这样如果有人拿到 VHD 文件,他们就无法恢复私人信息。当然,由于云提供商可能会随时重新启动服务器(安全更新、迁移到不同的物理主机等),因此在启动时要求输入密码是不可能的。
如果可能的话,我该如何实现呢?
答案1
不。这是不可能的。物理安全总是胜过逻辑安全。通过托管云™您已经放弃了物理安全性,只能听天由命地依靠托管提供商的安全措施。您唯一能做的措施就是设置启动时密码(本质上就是将安全机制重新交还给您的物理控制)。
答案2
其中一个选项是将所有敏感信息放在加密分区(虚拟磁盘中)。显然,启动时不应挂载此分区。此外,不应启动需要该信息的任何服务。
即使重新启动,您也必须登录并安装加密分区。之后启动您需要的服务。
这可能不是最好的方法,但在某些情况下应该有效。