Защита данных на vdi...
30 views
Skip to first unread message
WellWisher
Nov 15, 2012, 7:01:34 AM11/15/12
to xen-h...@googlegroups.com
Всем доброго дня,
У меня возник простой вопрос, он косвенно относится к xen но наверное преимущественно к безопасности при создании фермы.
Вопрос такой, как защитить пользовательские данные на СХД?
Фактически все диски представляют собой .vhd файлы, и в случае уязвимости СХД - злоумышленник получает доступ ко всем виртуальным дискам. А можно ли как-то защитить данные VM? (был вариант шифрования home директорий, но если есть весь диск с системой - то это не будет препятствием)
Спасибо.
У меня возник простой вопрос, он косвенно относится к xen но наверное преимущественно к безопасности при создании фермы.
Вопрос такой, как защитить пользовательские данные на СХД?
Фактически все диски представляют собой .vhd файлы, и в случае уязвимости СХД - злоумышленник получает доступ ко всем виртуальным дискам. А можно ли как-то защитить данные VM? (был вариант шифрования home директорий, но если есть весь диск с системой - то это не будет препятствием)
Спасибо.
George Shuklin
Nov 15, 2012, 10:00:25 AM11/15/12
to xen-h...@googlegroups.com
Не открывать доступ к СХД.
У нас она вообще стоят stand-alone, связь только с хостами виртуализации
и хранилищами.
15.11.2012 16:01, WellWisher пишет:
У нас она вообще стоят stand-alone, связь только с хостами виртуализации
и хранилищами.
15.11.2012 16:01, WellWisher пишет:
WellWisher
Nov 16, 2012, 3:01:37 AM11/16/12
to xen-h...@googlegroups.com
У нас она вообще стоят stand-alone, связь только с хостами виртуализации
и хранилищами.
У нас также, но проблема в том, что сами то хосты доступ к СХД имеют, и в случае уязвимости одного их хостов пула все ресурсы (SR) к которым у этого хоста имеется доступ также попадают под удар.
Вот и интересовало, а что же можно придумать?
Sergey Abramyan
Nov 16, 2012, 3:51:28 AM11/16/12
to xen-h...@googlegroups.com
У вас доступ к хостам возможен извне?
С уважением,
Сергей Абрамян
WellWisher
Nov 16, 2012, 8:34:43 AM11/16/12
to xen-h...@googlegroups.com
У вас доступ к хостам возможен извне?
Да, это локальная сеть конторы, и я думаю как бы защититься от собственных сотрудников (но это уже вопросы лично моей паранои)
А виртуализовать хочется внутренние сервисы конторы, собственно из этой же локальной сети хотелось бы администрировать XCP
А виртуализовать хочется внутренние сервисы конторы, собственно из этой же локальной сети хотелось бы администрировать XCP
George Shuklin
Nov 16, 2012, 7:56:41 PM11/16/12
to xen-h...@googlegroups.com
Ты хочешь решить нерешаемую задачу: дать доступ хостам к SR так,
чтобы злоумышленник, проникший в dom0, доступ к SR не получил.
George Shuklin
Nov 16, 2012, 7:57:21 PM11/16/12
to xen-h...@googlegroups.com
Ну, формально, любой хост ... не то, чтобы доступен, но подключен к
интернету. Физически. Ибо бридж/свитч-то в dom0 работает.
WellWisher
Nov 16, 2012, 11:19:22 PM11/16/12
to xen-h...@googlegroups.com
Доступ - нехай получает, нтересно чтобы данные с vdi не смог прочитать!
Думал может быть есть какой-нибудь механизм шифрования образов, но в xen ничего подобного не нашел
Вобщем спасибо, направление мысли понял!
Думал может быть есть какой-нибудь механизм шифрования образов, но в xen ничего подобного не нашел
Вобщем спасибо, направление мысли понял!
George Shuklin
Nov 17, 2012, 2:01:31 AM11/17/12
to xen-h...@googlegroups.com
Я ничего не понимаю.
Ты хочешь, чтобы dom0 мог прочитать и расшифровать VDI, отдав его
клиенту, а хакер, оказавшийся в dom0, прочитать и расшифровать VDI не мог?
Решение же очень простое: проверяй перед подключением - хакер это или
blktap. Если хакер, то не пускай, если blktap, то пускай.
Ты хочешь, чтобы dom0 мог прочитать и расшифровать VDI, отдав его
клиенту, а хакер, оказавшийся в dom0, прочитать и расшифровать VDI не мог?
Решение же очень простое: проверяй перед подключением - хакер это или
blktap. Если хакер, то не пускай, если blktap, то пускай.
Евгений Севостьянов
Apr 24, 2013, 4:33:14 PM4/24/13
to xen-h...@googlegroups.com
А что мешает зашифровать гостевую ОС? Понятно что снижение производительности, но как вариант думаю сойдет
четверг, 15 ноября 2012 г., 20:01:34 UTC+8 пользователь WellWisher написал:
четверг, 15 ноября 2012 г., 20:01:34 UTC+8 пользователь WellWisher написал:
Reply all
Reply to author
Forward
0 new messages