我正在尋找一種儘可能在不可信主機上保護我的虛擬機的方法。在不可信主機上保護虛擬機
這是我的情況: 我有一個ssh訪問我不信任的遠程主機。我將上傳並運行虛擬機。 VM包含具有敏感數據的加密分區,此分區將在VM啓動後裝入。我應該採取哪些措施來保護主機訪問此虛擬機?
我知道如果遠程機器所有者可以訪問該機器上的物理內存,它可能永遠不會100%安全。我只想盡可能地讓這個虛擬機存取。我的想法之一是設置觸發器,以便在未經授權嘗試訪問VM的情況下自動卸載加密分區。這是個好主意嗎?有一些解決方案來完成這項工作嗎?我還有什麼其他選擇?
訪問物理內存將允許它們將加密分區掛載到VM。自動卸載加密可以防止那些通過虛擬機訪問的人的幫助。
除了分區加密,您還可以對分區上的重要文件或文件夾進行二次加密。當有人正在訪問分區時,還可能設置發送電子郵件以提醒您。如果您感覺不安全,可能會讓您將其遠程擦除。
如果真的很重要的自動擦除加密可能是可能的,但是如果你沒有物理訪問,它總是非常困難。
目前最好的選擇是簡單地使用受信任的強大的分區加密軟件,如http://www.truecrypt.org/
上的虛擬機的前提下進行加密,是他們彼此主機和從這樣一個虛擬存儲器讀取隔離攻擊應該是VW軟件問題。
關於虛擬磁盤,可以複製這個虛擬磁盤,在這種情況下,最好的解決方案是具有強大算法的密碼文件系統。
但是,重要的是要注意,運行在此虛擬機上的應用程序和服務可能容易受到攻擊,並且可能是攻擊者的主要入口點。我建議你只公開必要的端口並檢查這些端口/服務是否沒有任何漏洞。
這是一個非常有趣的問題,現在正受到安全社區的很多關注。目前,強大的加密技術是您的最佳選擇,但是如果解密後進行處理,仍然存在從內存中讀取數據的危險。我相信未來這個話題將會有很多工作要做。這是一篇我簡要介紹過的有趣的[研究論文](https://www.cs.purdue.edu/homes/bb/cs590/papers/secure_vm.pdf) - 目前沒有任何內容正在製作,但有一些有趣的想法。 – akirilov