Может ли хостер прочитать диск моего VPS?

Сегодня на почту пришло письмо от подписчика. Вадим, спасибо большое за замечательный вопрос!

«Здравствуйте, Дмитрий! Вы много пишете про VPS, но не упомянули вопросы конфиденциальности. Могут ли сотрудники хостинга прочитать файлы на моём VPS? Поможет ли шифрование или нужно купить отдельный сервер?»

Признаюсь, я мало задумывался об этом, считая, что работа на чужом, физически удалённом оборудовании никогда не даст стопроцентной приватности. Чтобы разобраться в вопросе, пришлось основательно погуглить.

Краткий ответ — да, получить доступ можно. И ничего поделать с этим нельзя, шифрование раздела только усложнит задачу любопытствующим.

Дело в том, что покупатель VPS лишь арендует часть ресурсов на чужой аппаратуре. Физически владельцем сервером остаётся другой человек или организация. А значит, надо априори считать, что доступ так или иначе получить можно, будь то виртуальный сервер или физический.

Системы виртуализации вносят существенную лепту из-за принципа работы. Пока виртуальная машина работает и диск не зашифрован, прочитать файлы достаточно легко. KVM, OpenVZ и другие системы могут надёжно изолировать сервера друг от друга, но от суперпользователя, управляющего сервером на уровне гипервизора, закрыться не получится. Шифрование разделов лишь усложнит доступ, но всегда можно вытащить ключи из памяти запущенного сервера или снизить энтропию, делая расшифровку выполнимой в приемлемое время задачей.

В процессорах от Intel и AMD есть функции аппаратного уровня для создания так называемых «безопасных анклавов» — областей памяти, которые гипервизор увидеть не сможет. Но, во-первых, нет гарантии, что не всплывёт очередная уязвимость уровня Spectre и Meltdown и ваши данные не будут прочитаны, во-вторых, нет гарантии, что хостинг будет использовать эту технологию без внедрения собственных закладок.

Но так ли нужно наглухо закрывать VPS от доступа извне? Безопасность — палка о двух концах. Если вы забросите сервер, перестав обновлять софт, и случится заражение, хостеру придётся обратить на него внимание. Сотрудникам будут до лампочки ваши секреты, их задача — посмотреть, что пожирает ресурсы на серверах или рассылает спам, и уничтожить заразу (если это действительно вредонос). Это нормальная ситуация, прописанная в пользовательских соглашениях многих хостинговых компаний.

Помните: когда есть физический доступ, всегда можно найти способ прочесть данные. Поэтому приобретать выделенный сервер вместо виртуального только ради защиты данных будет пустой тратой денег. Лучший способ сохранить секреты — держать их под рукой на собственном, не арендуемом у посторонних, оборудовании. Или, на крайний случай, шифровать файлы до загрузки на сервер.