¿Con qué problemas de seguridad me enfrentaré con un servidor VPS subcontratado?

Navega tus respuestas
0

Nuestra pequeña empresa quiere lanzar un servicio de pago, alojado en el servidor de VPS subcontratado. El riesgo obvio es que la máquina no está físicamente en nuestra oficina y que, posiblemente, la base de datos puede ser visitada por el servidor. ¿Hay algún problema de seguridad obvio con VPS que deba considerar? La segunda pregunta sería: ¿Cómo proteger la base de datos en el servidor VPS para poder estar seguro de que el host no leerá los datos allí? Gracias

    
pregunta Thamk 22.05.2014 - 09:14
fuente

3 respuestas

3

Como ha dicho, el personal de alojamiento podrá acceder a cualquier VPS. También debe tener en cuenta que no todos los proveedores de VPS alojarán físicamente sus propios servidores, por lo que puede haber un segundo grupo de personal que pueda acceder. Por eso es importante elegir un proveedor de VPS en el que confíe y probar sus procesos y entenderlos bien.

Por supuesto, su principal controlador para usar un VPS tendrá un costo y cuanto menor sea el costo, menos serán los procesos y las certificaciones de seguridad que mantendrán.

Dependiendo del tipo de host de VPS, puede haber un nivel de recursos compartidos que también debe ser pensado.

Sin embargo, en general, esto rara vez es un problema a menos que esté trabajando en un área regulada como salud o finanzas. En tales casos, es poco probable que se salga con la suya con el uso de un VPS y necesita buscar alternativas al menos para parte de su solución. Por ejemplo, es típico cuando los pagos se transfieren a un servicio de pagos seguros para el pago real (por ejemplo, PayPal o Worldpay).

Cuando utilice una base de datos con un front-end web, tendrá que insertar el ID y la contraseña en algún lugar del sistema para que una persona con conocimiento del acceso al hardware pueda acceder si lo desea.

    
respondido por el Julian Knight 22.05.2014 - 10:27
fuente
1

Estos son los elementos de los que tuvimos que ocuparnos cuando tomamos el mismo camino:

Los primeros aspectos son los mismos si se trata de alojamiento físico o virtual:

  • Recuerde que hay un aspecto legal en esto: en algunos casos, existen requisitos estrictos con respecto a dónde y por quién pueden hospedarse sus datos (en nuestro caso, tuvimos que mantenerlos en suelo nacional). Si está intentando lograr o mantener algún tipo de estándar, deberá asegurarse de que su proveedor haya sido auditado (PCI, ISO 27001, etc.)
  • Calcule un contrato detallado con su proveedor de alojamiento sobre lo que necesita que haga, cuál es el procedimiento para otorgar acceso a un servidor de datos, etc.
  • Ejecute su plan de recuperación de desastres por ellos. Una vez que lo hayas elaborado en teoría, ¡PRUEBA!

Y algunos elementos son más específicos (aunque no completamente) para el alojamiento virtual:

  • Cifrar la comunicación interna, de servidor a servidor. Esto es importante porque ya no puede confiar en que la red local sea local y, como está compartiendo la infraestructura, debe asegurarse de que incluso si su infraestructura virtual
  • Por la misma razón, use el cifrado de disco completo en todos los lugares que pueda. Sin embargo, hacerlo de forma segura en una infraestructura virtual puede ser difícil, por lo que es posible que deba limitar el alcance del cifrado de datos en reposo a sus bases de datos (aunque deberá recordar que el sistema operativo generalmente contiene todos los datos necesarios para descifre la base de datos: depende de usted encontrar una solución segura para eso, incluyendo mantener las claves de descifrado en su propia infraestructura).
  • Investigue y manténgase actualizado sobre la infraestructura virtual utilizada. Eso es importante para comprender el desafío específico que plantean las herramientas que va a utilizar. Por ejemplo, un amigo mío tuvo que realizar una autopsia en una máquina virtual alojada y se sorprendió al encontrar los datos de otros clientes en el sector libre de la imagen del disco duro. Los detalles sobre cómo se obtuvo no estaban claros porque nadie sabía cómo se diseñó exactamente la solución.
  • Investigue y revise la seguridad de la infraestructura de administración utilizada. No tiene sentido usar la autenticación de 2 factores en su aplicación, por ejemplo, si la interfaz de administración no implementa al menos un nivel de seguridad similar.
  • Tenga implementado un procedimiento detallado sobre cómo se debe reciclar una máquina virtual. Lo ideal es que usted ponga a cero los discos duros virtuales (todos ellos) antes de liberarlos.
respondido por el Stephane 22.05.2014 - 11:08
fuente
0

Será extremadamente difícil: el proveedor tendrá acceso físico a la máquina y usted no. Peor aún, su sistema será virtualizado por alguien que no sea usted, lo que significa que si está paranoico, ni siquiera puede confiar en su sistema operativo.

Incluso con el cifrado completo del disco, tendrá dificultades para evitar que alguien del personal acceda a sus datos (a menos que nunca los descifre, lo que anularía el punto).

Básicamente, si no confías en el personal de la empresa de alojamiento, no te molestes en intentar bloquearlos. Usted no lo hará Elija una empresa diferente en su lugar. Y si no confía a nadie sus datos, busque en el alojamiento interno.

Aparte de eso, los servidores VPS no son tan diferentes de los servidores dedicados, en cuanto a seguridad. Solo asegúrese de eliminar las posibles claves SSH autorizadas preconfiguradas que algunas empresas de alojamiento agregan a sus plantillas de VM para fines de mantenimiento, y cierre la casilla como bloquearía cualquier máquina Linux sensible.

Los tutoriales de Linode son un buen lugar para comenzar si no estás seguro de qué hacer.

    
respondido por el executifs 22.05.2014 - 09:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo demostrar a los usuarios del software que los binarios que publico coinciden con el código fuente que fue inspeccionado y verificado por un tercero? [duplicar] ¿Mi operador de red GSM puede averiguar el nombre del punto de acceso Wi-Fi al que estoy conectado?