Le regole sono:
- non puoi proteggere una macchina dal suo amministratore
- non puoi proteggere una macchina da qualcuno che ha accesso fisico ad essa
A seconda del tipo di servizio cloud (PaaS o IaaS), gli amministratori cloud possono essere amministratori della macchina virtuale client. Se lo sono, non ci sono più domande: possono leggere tutto dal computer client. Ma anche se non lo sono, possono sempre scattare un'istantanea della macchina da corsa e metterle le mani sopra. Come su un cloud, la VM dovrebbe essere in grado di riavviare senza sorveglianza, qualsiasi segreto deve essere presente in forma invertibile nella macchina stessa, quindi se l'attaccante è il servizio di hosting, è possibile utilizzare solo tecniche di offuscamento, ma nessuna crittografia strong.
TL / DR: le risposte per la domanda 1 non sono dati non privati e sì il cloud può leggerli. Per la domanda 2 la risposta è ancora no, non è possibile nascondere in sicurezza qualcosa su un cloud machine.
Non necessariamente rilevante qui, ma aggiunto per completezza:
Sopra presuppone che i dati debbano essere utilizzati nella VM. Ma esiste un caso d'uso in cui i dati nel cloud possono essere visti come crittografati in modo sicuro: quando la VM contiene dati crittografati e non la chiave. Ciò significa che i dati devono essere crittografati su un sistema remoto e inviati in forma crittografata. Può essere successivamente recuperato (ancora crittografato) dallo stesso o da un altro sistema che conosce una chiave di decodifica. Gli esempi sono le applicazioni web che utilizzano la crittografia lato client o, ancora più semplicemente, l'archiviazione raw di un file o contenitore crittografato.