Security 在不受信任的主机上保护虚拟机

我正在寻找一种在不受信任的主机上尽可能多地保护我的虚拟机的方法

这就是我的情况： 我可以通过ssh访问我不信任的远程主机。我将上传并运行一个虚拟机。VM包含带有敏感数据的加密分区，此分区将在VM启动后装入。我应该采取哪些步骤来保护主机不访问此VM

---

我知道，如果远程机器所有者能够访问该机器上的物理内存，它可能永远不会是100%安全的。我只是想让访问这个虚拟机尽可能困难。我的想法之一是设置触发器，在未经授权尝试访问VM时，触发器将自动卸载加密分区。这是个好主意吗？做这项工作有什么解决办法吗？我还有什么其他选择？

对物理内存的访问将允许他们将加密分区单独装载到VM。自动卸载加密可以防止通过VM进行访问，这会有所帮助

除了分区加密，您还可以对分区上的重要文件或文件夹进行二次加密。还可能设置电子邮件发送访问，以便在有人访问分区时向您发出警报。如果你觉得它不安全，你可以远程擦拭它

如果它真的很重要，自动擦除加密可能是可能的，但是如果您没有物理访问权限，它总是非常困难

---

目前最好的选择是使用可信的强分区加密软件进行加密，如

虚拟机上的前提是它们彼此隔离，并且与主机隔离，因此虚拟内存读取攻击应该是VW软件的问题。
关于可以复制的虚拟磁盘，在这种情况下，最好的解决方案是使用具有强大算法的加密文件系统。

---

但是，需要注意的是，在此VM上运行的应用程序和服务可能容易受到攻击，并且可能是攻击者的主要入口点。我建议您只公开必要的端口，并检查这些端口/服务是否没有任何漏洞。

这是一个非常有趣的问题，目前正受到安全社区的广泛关注。目前，强加密是最好的选择，但如果数据被解密以进行处理，仍然存在从内存中读取数据的危险。我相信在这个话题上，未来会有很多工作要做。这里有一个有趣的，我简要浏览了一下-没有什么是目前正在生产，但一些有趣的想法。