Introductie van TrustedServer: Waarom ExpressVPN de harde schijven van de VPN-server overbodig maakt

Hand die een harde schijf over een vuilnisbak houdt.

Bij ExpressVPN weten we dat gebruikers op ons rekenen om hun privacy en veiligheid te beschermen, en we nemen die verantwoordelijkheid serieus. Daarom verzamelen we nooit activiteiten- of verbindingslogboeken en hebben we onze systemen zo ontworpen dat gevoelige informatie nooit de harde schijf raakt. Maar nu gaan we nog een (enorme) stap verder – we snijden de harde schijf volledig uit het beeld.

Harde schijven vormden beveiligingsrisico’s, dus vroegen we: waarom ze gebruiken?

Met onze eersteklas TrustedServer-technologie werken onze VPN-servers alleen op vluchtig geheugen (RAM), niet op harde schijven. Aangezien RAM stroom vereist om gegevens op te slaan, garandeert dit dat alle informatie op een server wordt gewist telkens wanneer deze wordt uit- en weer ingeschakeld.

De traditionele en meest gangbare manier om servers te draaien is daarentegen sterk afhankelijk van harde schijven, die alle gegevens bewaren totdat ze worden gewist en overschreven, een moeizaam en foutgevoelig proces. Dit verhoogt het risico dat servers onbedoeld gevoelige gebruikersinformatie kunnen bevatten. Als iemand de server zou hacken of in beslag zou nemen, zou deze toegang kunnen krijgen tot deze gegevens. Erger nog, hackers die wel hun weg vinden, kunnen mogelijk een achterdeur installeren die voor onbepaalde tijd blijft.

Zoals Bruce Schneier heeft gezegd: ‘data is een giftig bezit’ en ‘het blijft giftig zolang het zich in de computers en netwerken van een bedrijf bevindt’.

ExpressVPN TrustedServer-technologie pakt deze beveiligingsbedreigingen aan door ervoor te zorgen dat absoluut niets – noch informatie noch indringers – op een server kan blijven staan ​​wanneer deze opnieuw wordt opgestart.

Traditioneel serverbeheer bracht ook beveiligingsrisico’s met zich mee, dus hebben we het opnieuw bedacht

TrustedServer introduceert een andere belangrijke innovatie die ervoor zorgt dat al onze VPN-servers dezelfde, meest up-to-date software en configuratie gebruiken. Elke keer dat een server opstart, laadt deze de nieuwste alleen-lezen afbeelding met de volledige softwarestack, het besturingssysteem (OS) en alles. Dit is vergelijkbaar met hoe het ‘Tails’-besturingssysteem zichzelf opstart. In ons geval is de afbeelding ook cryptografisch ondertekend door ExpressVPN en zullen servers niet werken als die handtekening niet geldig is.

Dit geeft ons het vertrouwen dat al onze 3000 servers wereldwijd exact dezelfde code gebruiken – met de juiste patches en configuratie voor optimale beveiliging en prestaties. Hoe meer softwareconsistentie er is in een netwerk, hoe minder waarschijnlijk dat er kwetsbaarheden of onjuiste configuraties zijn, en des te zekerder kunnen we zijn dat de software die we controleren en testen in feite is wat op alle servers draait.

De traditionele benadering van serverbeheer is daarentegen het besturingssysteem en de software te installeren wanneer de server voor het eerst wordt ingesteld en vervolgens updates te installeren en in de loop van de tijd configuraties voor dat besturingssysteem en die software uit te voeren. Het kan jaren duren voordat een server wordt gewist en het besturingssysteem opnieuw wordt geïnstalleerd.

Met traditioneel serverbeheer biedt elke incrementele update die één voor één wordt toegepast op duizenden servers een mogelijkheid voor verschillen tussen deze, zoals kleine evolutionaire mutaties tussen generaties. Hoe meer servers een bedrijf heeft, en hoe meer tijd verstrijkt, hoe minder vertrouwen dat bedrijf kan hebben dat elke server exact dezelfde code uitvoert en op dezelfde manier wordt geconfigureerd. Het gevolg is dat op een server die jaren geleden is opgezet, software op een onverwachte manier draait die gevaarlijk verschilt van wat de technici van het bedrijf vandaag testen of controleren.

TrustedServer betekent dat ExpressVPN een hoog niveau van vertrouwen kan hebben, omdat we precies weten wat er op al onze servers draait, en dat het besturingssysteem effectief wordt “opnieuw geïnstalleerd” bij elke keer opnieuw opstarten – waardoor de beveiligingsrisico’s dramatisch worden beperkt.

Zie Destin Sandlin van het populaire YouTube-kanaal Smarter Every Day de privacy- en veiligheidsvoordelen van TrustedServer in zijn eigen woorden uitleggen:

Zoals containerisatie, maar dan voor de hele softwarestack

Voor degenen onder u die bekend zijn met containerisatie, klinkt het idee van het laden van een afbeelding op een server voor een eenvoudige en consistente implementatie misschien bekend. Het belangrijkste verschil hier is dat onze TrustedServer-technologie het mogelijk maakt dat de volledige softwarestack – OS op – in deze afbeelding wordt opgenomen. De afbeelding wordt tijdens het opstarten geladen en draait op blank metaal; er is geen afzonderlijk host-besturingssysteem, VM, hypervisor of container-engine die ongecontroleerd, verkeerd geconfigureerd of kwetsbaar voor hackers kan blijven.

ExpressVPN heeft deze aanpak in eigen huis ontwikkeld en we zijn niet op de hoogte van andere bedrijven (inclusief bedrijven buiten de VPN-industrie) die dit vandaag doen. Andere containers die als “bare-metal” worden beschreven, draaien meestal nog steeds op een host-besturingssysteem. We kijken ernaar uit om meer te delen over hoe we het hebben geïmplementeerd, zodat andere bedrijven en industrieën, samen met de mensen die ze bedienen, kunnen profiteren.

Meer informatie over onze TrustedServer-technologie

TrustedServer betekent een grote sprong voorwaarts in het beschermen van de privacy en beveiliging van gebruikers en we zullen de komende weken extra uitleg geven, waaronder meer technische inhoud. Blijf op de hoogte voor meer informatie over hoe deze technologie de manier waarop servers werken fundamenteel kan hervormen.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me