クラウドやプロバイダーのサーバー、あるいは自分のサーバーに保存されているデータは、覗き見から安全ですか?

残念ですが、おそらくそうではありません。

国際的な密輸カルテルを運営している場合、ラトベリアで自由のために戦っている場合、または独自の AES 復号化アルゴリズムを秘密にしようとしている場合は、さまざまなレベルのホスティングでどのような保護が受けられるかを知っておく必要があります。

そこに行く前に、すべてのジュニア システム管理者があなたのファイルを調べているだろうと想定してパニックにならないでください。

まず、彼らはおそらくそれほど興味を持っていないはずです。次に、ITコミュニティには強いプライバシー倫理があり、誰かの個人データに踏み込むことは、一般的なシステム管理者にとっては非常に不快な行為です。さらに、プロバイダーは悪い評判が音速で広がることを知っています。誰かがこのような行為をしているのが発覚した瞬間、そのニュースはインターネット中に広まり、プロバイダーの評判は地に落ちます。そして最後に、プロバイダーはこのような行為を行う際に法的リスクを負うため、これもまた抑止力となります。

もちろん、政府機関が令状を持って介入してくる場合は状況が異なります。プロバイダーは法的に従う義務があり、拒否した場合は強制的に従わされる可能性があります。

実用面を見ていきましょう。以下のすべての例外は、サーバーではなくオフサイトで暗号化し、その後サーバーにコピーしたデータです。このデータは暗号化と同等の安全性があります。

共有ホスティング（cPanel、DirectAdminなど）

ここには何の保護もありません。プロバイダーはサーバーにログインしてあなたのアカウントのディレクトリに移動するだけで、あなたが設定した権限に関係なく、すべてを見ることができます。

OpenVZ VPS

プロバイダーが行う必要があるのは、

 vzctl enter <コンテナID>

そして彼らはあなたのVMにroot権限で入ります。その時点で彼らはあなたのVMにあるもの全てを見ることができます。

KVM VPS

「すぐにrootとしてログイン」コマンドはありませんが、それでも実質的な保護は実現できません。プロバイダーがVPSのクローンを作成し、起動してrootパスワードをリセットし、ログインすることが可能です。

パーティションを暗号化するために暗号化 (LUKS など) を使用できますが、プロバイダーがハイパーバイザーを制御するため、VM のメモリから暗号化キーを抽出し、簡単に復号化できます。

専用サーバー

これで少しは安全になります。ただし、BIOS、ファームウェア、サーバーに提供されるISOイメージ、コンソールなどを制御できないことに注意してください。カスタムBIOSを導入したり、ログイン情報を盗むための偽のコンソールセッションを作成したりするのは、かなり手間がかかります。つまり、「午前2時に退屈している若手システム管理者」のような状況からは安全ですが、3文字のセキュリティ機関からは安全ではありません。

結局のところ

オンラインで保存・交換する必要があるデータがある場合は、管理下から離れる前に暗号化してください。クラウドに保存したデータが盗み見から安全だと思い込まないでください。専用サーバーがあれば、「本当に心配なのは政府だけ」という段階に到達できます。これ以上のことは不可能です。

この 25230 スレッドでさらに議論しましょう。