Las reglas son:
- no puede proteger una máquina de su administrador
- no puede proteger una máquina de alguien que tenga acceso físico a ella
Dependiendo del tipo de servicio en la nube (PaaS o IaaS), los administradores de la nube pueden ser administradores de la máquina virtual del cliente. Si lo son, no hay más preguntas: pueden leer todo desde la máquina cliente. Pero incluso si no lo son, siempre pueden tomar una instantánea de la máquina en funcionamiento y ponerla en sus manos. Como en una nube, se supone que la VM puede reiniciarse sin supervisión, cualquier secreto debe estar presente en forma invertible en la propia máquina, por lo que si el atacante es el servicio de alojamiento, solo puede usar técnicas de ofuscación, pero no un cifrado sólido.
TL / DR: Las respuestas para la pregunta 1 no son datos no son privados y sí, la nube puede leerlos. Para la pregunta 2, la respuesta sigue siendo no, no puede ocultar nada de manera segura en una máquina en la nube.
No es necesariamente relevante aquí, pero se agrega para completar:
Lo anterior supone que los datos deben usarse en la máquina virtual. Pero hay un caso de uso donde los datos en la nube se pueden ver como encriptados de manera segura: cuando la máquina virtual contiene datos encriptados y no la clave. Eso significa que los datos se deben cifrar en un sistema remoto y se envían en forma cifrada. Más tarde, se puede recuperar (aún encriptado) del mismo sistema u otro sabiendo una clave de descifrado. Los ejemplos son aplicaciones web que utilizan el cifrado del lado del cliente, o incluso más simple, el almacenamiento en bruto de un archivo o contenedor cifrado.