Jak zajistit výlučný přístup k datům virtuálního serveru pouze pro oprávněné uživatele, jak omezit přístup administrátorům k citlivým datům s cílem splnit podmínky GDPR. To je předmětem tohoto článku.
GDPR kompatibilní VPS není samozřejmostí
Hned na úvod se hodí zmínit, že ne každý poskytovatel služeb virtuálních serverů transparentně poskytuje informace o tom, jak organizuje data na svých fyzických serverech. Virtualizační nebo kontejnerizační technologie nemusí vždy pracovat s virtuálními disky, ale mohou přímo a jednoduše pracovat s adresářovou strukturou na fyzických serverech. V takovém případě má administrátor, resp. poskytovatel služeb virtuálních serverů, snadný přístup k těmto datům bez vašeho vědomí. Tento přístup k datům nevyžaduje znalost hesel užívaných ve virtuálním serveru a ani jiné speciální techniky. K datům lze přistupovat i v době, kdy VPS běží.
Příkladem tohoto případu je technologie LXC pro kontejnerizaci, kterou řada poskytovatelů deklaruje jako virtuální servery – což je spíše marketingový termín. Podobně mohou ale fungovat i technologie pro plnou virtualizaci, které poskytují více způsobů pro organizaci dat.
Virtuální server na virtuálním disku
Jednou z podmínek jak docílit výlučného přístupu k datům virtuálního serveru jsou virtuální disky. Jde o soubor nebo soubory, které obsahují diskové oddíly, souborové systémy a data virtuálního serveru. Tento způsob organizace dat ale neposkytuje sám o sobě ochranu před přístupem nepovolaných osob. Oddíly virtuálních disků lze totiž připojovat a pracovat s jejich daty. Jde ovšem o to, zda konkrétní poskytovatel virtuálních serverů tuto technologii používá. Virtuální disky totiž představují určitý I/O overhead a v některých případech řešení (databázové systémy) může být jejich použití až kontraproduktivní. Naše služba cloud.4smart.cz používá virtuální disky od samotného začátku. Právě z důvodu bezpečnosti jsme se rozhodli tuto technologii uplatnit a preferovat před jinými.
Šifrované svazky device mapper ve VPS
Cestou k výlučnému přístupu k datům VPS je šifrování oddílu(ů) virtuálního serveru. Skvělým nástrojem k tomu je device mapper, který představuje zvláštní vrstvu. Nasazení této technologie umožňují právě zmiňované virtuální disky virtuálních serverů. Nasazení device mapperu je již zcela v kompetenci uživatele (majitele) virtuálního serveru, který tuto technologii sám konfiguruje při instalaci prostředí operačního systému.
Takto konfigurovaný virtuální server obvykle vyžaduje zadání dešifrovacího hesla během svého startu. Za nevýhodu lze tedy považovat nutnou interakci uživatele při každém startu VPS, který se musí k virtuálnímu serveru přihlásit obvykle s pomocí VNC a toto heslo zadat. Bez znalosti tohoto hesla je přístup k datům pro kohokoliv neoprávněného takřka nemožný. K datům na šifrovaných oddílech virtuálního serveru nemá přístup ani administrátor poskytovatele virtuálních serverů. Prolomení dešifrovacího hesla je s ohledem na nutný čas brute-force útoku za života člověka a při použití současných technologií a znalostí nereálné.
Tento způsob ochrany se často používá i na pracovních stanicích, ideální je pro notebooky, kde v případě odcizení je ztráta hardware oproti datům markantní. Zapomenutí dešifrovacího hesla ovšem znamená pro oprávněného uživatele ztrátu dat. Neexistuje totiž způsob jak zašifrovaná data nebo heslo obnovit.
Šifrování, dopad na výkon a spolehlivost
Použití virtuálního disku a dále vrstvy device mapperu nad souborovým systémem vytváří v součtu overhead pro diskové operace virtuálního serveru i samotného fyzického serveru. Dopad na výkon při práci s diskem bude citelný v případě vytížených databázových uzlů. Používá-li provozovatel virtuálních serverů na fyzických serverech také vrstvu device-mapperu nebo jinou, bude dopad na výkon ještě o něco citelnější. Předpokládáte-li proto u takového virtuálního serveru zátěž spíše střední nebo malou, bude provoz virtuálního serveru bezproblémový a lze toto řešení doporučit. Pro náročné použití, tam kde je vysoká četnost diskových operací, typicky v databázových clusterech, je vhodné uvažovat o jiném řešení.
Čím složitější je stack vrstev, tím roste i riziko ztráty dat. V každé ze začleněných vrstev, včetně vrstvy souborového systému, může vzniknout událost jejímž následkem je nutný zásah administrátora nebo v horším případě ztráta dat. V některých případech se může vzniklá chyba z jedné vrstvy propagovat i do sousedních n-vrstev. Zmiňované softwarové technologie jsou na druhou stranu poměrně populární, často používané a udržované ve smyslu záplat. Obávat se rutinních výpadků proto není na místě.
Virtuální servery cloud.4smart.cz
Naše služby běží na principu plné virtualizace KVM. Virtuální servery cloud.4smart.cz skladují svá data ve virtuálních discích a tyto umožňují vhodně organizovat obsažené diskové oddíly souborových systémů i nasadit a provozovat šifrování svazků v kombinaci s device mapperem. Zadání hesla k šifrovaným svazkům při startu VPS je možné při použití vzdálené plochy, která je jednou ze základních funkcionalit našich služeb.