Autenticazione riguarda l'accertamento che il peer (ad esempio un client di collegamento) sia quello che dichiara di essere; questo è il primo passo normale che abilita autorizzazione , cioè il processo per decidere se l'accesso debba essere concesso o meno. Il punto importante è che una cosa del genere ha senso solo quando c'è un sistema che funge da gatekeeper per un servizio importante, ad es. il sistema contiene dati sensibili.
Un'immagine VM, che l'utente malintenzionato potrebbe eventualmente rubare una copia, è non un tale sistema. Per definizione, un utente malintenzionato che ruba un'immagine di una VM può ispezionarlo a proprio piacimento, avviarlo, visualizzarne il file, leggerne la memoria e così via. Per fare un'analogia, immagina la VM come una città; SSH e 2FA e whatsnot è un grande muro fortificato che circonda la città, con porte robuste e dozzine di guardie armate di spade e picche; concederanno l'accesso solo alle persone che conoscono il codice di accesso e sono garantiti da un cittadino. Per l'aggressore, rubare la VM è come avere alcuni elicotteri e sbarcare qualche plotone di marines nella piazza centrale della città; l'efficienza del muro e delle guardie contro un tale scenario è, nel migliore dei casi, discutibile.
Quindi sì, contro un utente malintenzionato che può leggere tutti i dati memorizzati (è ciò che accade con un'immagine VM rubata) è necessario riservatezza e che richiede crittografia . Puoi davvero dimenticare questo business VM e SSH; per la sicurezza che vuoi, manca totalmente il punto.