Ja_Nosch 3 Geschrieben 7. Mai 2019 Melden Teilen Geschrieben 7. Mai 2019 Guten Morgen! Ich möchte von einem gemieteten VPS (also eine virtuelle Maschine) bei meinem Hoster wechseln zu einem dedicated Server, also eigener Hardware. Darauf soll u.a. ein eigener Mailserver betrieben werden. Nun geht es mir um das Thema Sicherheit und wie ich Zugriffe Dritter - z.B. Personal des Hosters - auch technisch ausschließen kann, insbesondere da der dedicated Server ja nicht in meinen Räumlichkeiten steht (und man normalerweise sagt, dass der, der den Zugriff auf die Hardware hat, auch Zugriff auf die Daten hat). Auf dem Server soll Windows Server 2016 oder 2019 laufen (Lizenzen werden über Hoster mitgemietet). Prinzipiell könnte ich ja einfach Bitlocker aktivieren, ggf. nur mit Key beim Booten (müsste dann über KVM eingegeben werden), dann wäre ich zumindest sicher, wenn jemand den Stecker zieht und die Hardware entwendet. Ich sehe aber Probleme beim laufenden Betrieb. Auf den Servern ist eine IMPI von Supermicro installiert (Screenshots siehe hier: https://serverfault.com/questions/452063/entering-bios-setup-from-supermicro-ipmi-kvm). Als "Operator" kann ich diesen Zugang nutzen, z.B. um mich über KVM schon während des Bootvorgangs aufzuschalten. Weiß jemand, ob der Hoster über diesen Zugang auf Festplatten zugreifen kann? So wie ich es bisher sehe, ist das nicht möglich, er kann lediglich Sensoren u.ä. auswerten (CPU Temperatur etc.). (Anders kenne ich das vom VPS z.B. einem großen Provider, dort kommt man über das Virtuozzo-Panel über den Kundenbereich auf die Daten des eigenen VPS, auch wenn man dort alle User gesperrt / PW geändert hat! Ist aber ja auch Virtualisierung). Um das ganze aber sicherer zu machen, habe ich mir überlegt, den Host nicht zu verschlüsseln, sondern lediglich die einzelnen Hyper-V-Maschinen (2 darf ich ja betreiben). Ich hätte dadurch auch den Vorteil, die Bitlocker-Keys nicht via (unverschlüsseltem!) KVM, sondern über die RDP-Sitzung des Hyper-V-Hostes eingeben zu können. Welche Möglichkeiten hätte ein Angreifer hier noch, an Daten aus den Hyper-V-Gästen zu gelangen? Zieht er den Stecker, ist sowieso aus, weil die Verschlüsselung beim Neustart abgefragt wird. Schafft er es, z.B. über IPMI, auf den Hyper-V-Host (was in meinen Augen bereits unwahrscheinlich ist), sehe ich keine Möglichkeit, auf die eingebundenen Hyper-V-Gäste zugreifen zu können, auch wenn diese laufen. Mache ich einen Denkfehler? Vielen Dank für Euren Input. Zitieren Link zu diesem Kommentar
Ja_Nosch 3 Geschrieben 13. Mai 2019 Autor Melden Teilen Geschrieben 13. Mai 2019 Niemand eine Idee für dieses Szenario, das doch sicher für jede/n relevant ist, der IT (teilweise) in externe Rechenzentren auslagert? Zitieren Link zu diesem Kommentar
Nobbyaushb 1.478 Geschrieben 13. Mai 2019 Melden Teilen Geschrieben 13. Mai 2019 In die Bereiche der RZ kommt nur authorisiertes Personal, die machen das (zwangsweise...) einen Riesenaufstand. Ich war mal in dem RZ als Gast, in dem mein Server für mein Forum steht - doppelte Personen-Schleuse, Gesichtsscan, sogar Waage - keine Chance, an so eine Dose per Physikalischem Zugriff zu kommen. Bei welchem Hosten möchtest du denn housen? Was sagen die zur Sicherheit ihres RZ´s? Zitieren Link zu diesem Kommentar
Ja_Nosch 3 Geschrieben 13. Mai 2019 Autor Melden Teilen Geschrieben 13. Mai 2019 Lieber Nobbyaushb, danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun? Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen. Zitieren Link zu diesem Kommentar
Nobbyaushb 1.478 Geschrieben 13. Mai 2019 Melden Teilen Geschrieben 13. Mai 2019 vor 3 Stunden schrieb Ja_Nosch: Lieber Nobbyaushb, danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun? Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen. Dann stelle das Zeug in deine Garage. Ich weiß ja nicht, in welchen RZ du schon warst - ich in vielen. Schönen Tag noch! Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. Mai 2019 Melden Teilen Geschrieben 13. Mai 2019 Ich hab gestern schon angefangen was zu schreiben, habs dann wieder gelöscht, aber ok: Wie paranoid bist Du, was läuft da drauf? Der nächste Market Place im Darknet? Es hilft nix, wenn Du die technische Basis aus der Hand gibst (was Du bei einem Hoster MUSST - der Hoster hat IMMER physischen Zugriff), helfen Dir nur Shielded VMs. Und die kriegst Du bei einem Hoster nicht. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 13. Mai 2019 Melden Teilen Geschrieben 13. Mai 2019 4 hours ago, Ja_Nosch said: Lieber Nobbyaushb, danke für Deine Rückmeldung, aber was hat das mit der technischen Fragestellung zu tun? Ich könnte Deinen Punkt bezüglich Zugang zu Rechenzentren aus eigener Berufserfahrung sofort widerlegen, darf es aber nicht; zudem könnte man ja mit dieser Argumentation jegliche Sicherheit / Verschlüsselung hinterfragen. Warum fragst Du dann? Zitieren Link zu diesem Kommentar
Ja_Nosch 3 Geschrieben 14. Mai 2019 Autor Melden Teilen Geschrieben 14. Mai 2019 (bearbeitet) Es wundert mich, dass wir hier in einem IT-Forum von "paranoid" schreiben, auf der anderen Seite im Forum aber (zu Recht) IT-Sicherheit hochgehalten wird. (Nicht nur) als Berufsgeheimnisträger sollte jede/r dieses Thema hochhalten, was aber leider in der Praxis nicht passiert - das genau ist doch auch, was in diesem Forum oft kritisiert wird. Klassisches Beispiel ist doch, dass den Leuten von Mailverschlüsselung erzählt wird, da aber nur die die Transportverschlüsselung gemeint ist. Schaut man dazu noch bei großen Hostern in die Einstellungen derer Webmailer, sieht man, dass selbst die mit den dahinterstehenden IMAP-Servern ohne SSL/TLS kommunizieren ... Wir kommen aber vom Thema ab. Ich war einfach erschrocken, als ich gesehen habe, wie leicht man bei HE im Virtuozzo PowerPanel (VZPP) auf das Dateisystem "seines" Windows-VPS zugreifen kann - und das auch bei (bis auf den RDP-Port) geschlossener Firewall und keinerlei anderer User in der Windows-Benutzerverwaltung. Hat jemand von Euch Erfahrung mit IPMI-KVM von Supermicro? Dieses System war bei besagtem Hoster schonmal in der Fachpresse, wegen Sicherheitslücken und es gibt da noch immer Fehler / veraltete Softwarestände. Ohne KVM ist aber keine Lösung für mich bei nem dedicated Server. Ihr habt doch sicher auch hin und wieder die Anforderung, dass vom Host auf eine VM nicht zugegriffen werden können soll - wie regelt ihr das? Nicht umsonst gibt es seit Windows Server 2016 ja die Shielded Virtual Machines, wenn auch kein Anwendungsfall für mich. Danke Euch für Ideen P.S.: @Nobbyaushb habe in einem anderen Thema Deine private Ausrüstung gesehen, da kann man ja neidisch werden - top. "Garage" wäre bei mir auch eine Alternative, allerdings klappt es dann wegen der dynamischen IP-Adressen nicht mit dem eigenen Mailserver (klappt schon, aber Du bist halt bei sorbs direkt wegen Deiner IP auf der Liste). Gerne per PN Infos zu der KVM-Problematik, die ich meine. bearbeitet 14. Mai 2019 von Ja_Nosch Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 14. Mai 2019 Melden Teilen Geschrieben 14. Mai 2019 vor 14 Minuten schrieb Ja_Nosch: "Garage" wäre bei mir auch eine Alternative, allerdings klappt es dann wegen der dynamischen IP-Adressen nicht mit dem eigenen Mailserver (klappt schon, aber Du bist halt bei sorbs direkt wegen Deiner IP auf der Liste). Wenn dir die Datensicherheit so wichtig ist (was ich gut nachvollziehen kann) sollte es kein Problem sein, gegen entsprechende Bezahlung, auch in deiner Garage eine feste IP zu bekommen. 1 Zitieren Link zu diesem Kommentar
Ganzjahresgriller 1 Geschrieben 14. Mai 2019 Melden Teilen Geschrieben 14. Mai 2019 vor 54 Minuten schrieb Dr.Melzer: Wenn dir die Datensicherheit so wichtig ist (was ich gut nachvollziehen kann) sollte es kein Problem sein, gegen entsprechende Bezahlung, auch in deiner Garage eine feste IP zu bekommen. Und so teuer ist das dann auch nicht. Ich war auch schon in diversen RZ und ich kann die Paranoia und Befürchtungen vom Personal des Hosters in keiner Weise nachvollziehen. Wenn ich kein Vertrauen zu dem Hoster habe dann bin ich beim falschen Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 14. Mai 2019 Melden Teilen Geschrieben 14. Mai 2019 vor 18 Stunden schrieb Ja_Nosch: Es wundert mich, dass wir hier in einem IT-Forum von "paranoid" schreiben, auf der anderen Seite im Forum aber (zu Recht) IT-Sicherheit hochgehalten wird. Wo ist der Widerspruch? Wir haben keine Server in einer Cloud stehen, das Problem stellt sich für uns also gar nicht Und zwar aus genau diesem Grund... Es gibt keine Cloud-Anbieter, die unseren Datenschutzanforderungen gerecht werden. 1 Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Eine Alternative ist übrigens die Colocation, also eigene Hardware im RZ Die kommt meist in abschließbare Schränke und bleibt somit in deinem alleinigen Zugriff. Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 vor 7 Stunden schrieb magheinz: Eine Alternative ist übrigens die Colocation, also eigene Hardware im RZ Die kommt meist in abschließbare Schränke und bleibt somit in deinem alleinigen Zugriff. Das wird dann aber teuer. Mietet man nur ein viertel, halbes oder ganzes Rack, hat der Betreiber des Rechenzentrums noch einen Schlüssel. Selbst bei Cages kenne ich es nur so, dass zwar an der Türe steht "Zutritt nur mit Kunden" und dass man als Kunde vor jedem Zutritt informiert wird, aber der Betreiber kommt immer noch alleine rein. Da müsste man schon seine eigenen Racks hinstellen. Davon gibt es sogar welche in einem Panzerschrank, aber das ist dann nicht mehr günstig. Eigene Hardware kann aber je nach Anwendung sinnvoll sein, gerade im Hinblick auf Sachen wie Meltdown & Co. Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Es gibt ja entsprechend gesicherte 19"-Gehäuse. Ja, das wird deutlich teurer. Da steht dann die Frage im Raum, was einem die Sicherheit und der Datenschutz wert ist. Zitieren Link zu diesem Kommentar
v-rtc 88 Geschrieben 15. Mai 2019 Melden Teilen Geschrieben 15. Mai 2019 Wir haben auch einen Cage in einem RZ mit Zutrifftskontrolle. Kosten keine Ahnung, sicher genug. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.