VPS در مقابل سرور اختصاصی برای بارهای کاری حساس به حریم خصوصی

بحث VPS در برابر سرور اختصاصی معمولاً با عنوان «عملکرد در برابر قیمت» مطرح می‌شود. برای بارکارهای حساس به حریم خصوصی، این چارچوب اشتباهی است. سؤال واقعی این است که حاضرید چه چیزی را — و با چه کسی — در سطح سخت‌افزار به اشتراک بگذارید. یک سرور مجازی‌سازی‌شده ذاتاً یک جعبه چند‌مستأجری است: کرنل شما روی یک هایپروایزر اجرا می‌شود که همزمان کرنل‌های غریبه‌ها را هم اجرا می‌کند. برای اکثر بارکارها در سال 2026، این یک مرز خوب و محکم است. اما برای بعضی‌ها، یک آسیب‌پذیری ساختاری است که هیچ‌مقدار سخت‌شدن OS نمی‌تواند آن را برطرف کند.

این راهنما خط‌کشی را مشخص می‌کند. مدل تهدیدی که واقعاً پاسخ را تغییر می‌دهد، تاریخچه CVEهای فرار از هایپروایزر که باید بدانید، اقتصادیات عملی، و یک ماتریس تصمیم‌گیری برای اینکه کدام بارکار کجا باید باشد — همه را پوشش می‌دهیم.

مدل تهدیدی که پاسخ را تعیین می‌کند

قبل از مقایسه مشخصات، یک جمله مدل تهدید بنویسید. نوع سرور مناسب تقریباً به‌صورت مکانیکی از آن استخراج می‌شود.

تک‌مستأجری: واقعاً چه چیزی به دست می‌آورید

در یک سرور اختصاصی — یک دستگاه فیزیکی که منحصراً به شما اختصاص دارد — شما کنترل هر لایه زیر OS را دارید که قرارداد میزبان اجازه می‌دهد: تنظیمات BIOS، پیکربندی secure-boot، رمزگذاری کامل دیسک با عبارت عبوری که میزبان واقعاً نمی‌تواند بخواند، دسترسی IPMI، و اینکه کدام ماژول‌های کرنل بارگذاری شوند. هیچ هایپروایزری بین شما و سخت‌افزار وجود ندارد. هیچ همسایه‌ای cache L1/L2 را به اشتراک نمی‌گذارد. هیچ باس حافظه مشترکی وجود ندارد که یک حمله side-channel بتواند از طریق آن دورهای AES شما را مشاهده کند.

در یک VPS — یک برش مجازی از یک دستگاه فیزیکی — شما فقط OS مهمان را کنترل می‌کنید و همین. میزبان هایپروایزر، کلیدهای رمزگذاری دیسک (در اکثر پیکربندی‌های واقعی)، و دستگاه فیزیکی را کنترل می‌کند.

سه دسته تهدید

برای مقاصد حریم خصوصی، تهدیدات به سه دسته تقسیم می‌شوند:

1. دشمن شبکه. کسی که سیم را盗tap می‌کند یا برای آن احضاریه صادر می‌کند. با رمزگذاری انتقال (TLS، WireGuard، SSH) و حوزه قضایی دفاع می‌شود. نوع سرور بی‌ربط است.
2. دشمن میزبان. خود ارائه‌دهنده میزبانی، یا هر کسی که می‌تواند آن‌ها را مجبور کند. عمدتاً با حوزه قضایی (که در راهنمای حوزه قضایی ما پوشش داده شده) و به‌صورت ثانویه با رمزگذاری کامل دیسک با عبارت عبوری که میزبان ندارد دفاع می‌شود. سرور اختصاصی اینجا برنده است، به‌شکلی متوسط.
3. دشمن هم‌مستأجر. کسی که یک VPS متفاوت را روی همان دستگاه فیزیکی اجاره کرده، یا از طریق بردار متفاوتی یکی را به‌خطر انداخته، و تلاش می‌کند از برشش فرار کند. سرور اختصاصی این دسته را کاملاً حذف می‌کند؛ VPS این‌طور نیست.

اگر دسته 3 در مدل تهدید شماست، بحث تمام است — به سرور اختصاصی نیاز دارید. اگر نیست، یک VPS خوب پیکربندی‌شده در حوزه قضایی مناسب برای اکثر بارکارهای حساس به حریم خصوصی کافی است.

فرار از هایپروایزر: چقدر اتفاق می‌افتد؟

کوتاه‌ترین پاسخ صادقانه: به‌ندرت، و معمولاً پچ‌ها ظرف چند روز در دسترس هستند. اما «به‌ندرت» یعنی «هرگز نه»، و ارزش دارد سابقه تاریخی را بدانید.

فرارهای عمومی بزرگ

• Xen XSA-226 (2017) — یک باگ خرابی حافظه در مدیریت جدول صفحه که به یک مهمان اجازه می‌داد به میزبان ارتقاء یابد. ظرف یک ماه پچ شد؛ ارائه‌دهندگان ابر بزرگ ریبوت اضطراری انجام دادند.
• VENOM (CVE-2015-3456) — سرریز بافر در کنترل‌کننده فلاپی مجازی QEMU، که KVM و Xen را تحت تأثیر قرار داد. قدیمی اما آموزنده: سطح حمله یک ویژگی بود که هیچ‌کس فعالانه از آن استفاده نمی‌کرد.
• L1TF / Foreshadow (2018) — کانال جانبی اجرای سوداگرانه Intel که می‌توانست حافظه را از مرزهای هایپروایزر نشت دهد. با microcode به‌علاوه تغییرات زمان‌بندی کاهش یافت؛ افت عملکرد با غیرفعال‌شدن hyperthreading قابل‌توجه بود.
• نوع‌های KVM MDS (متناوب، آخرین 2024) — حملات نمونه‌برداری داده معماری ریز. هر نسل چیپ جدید یک نوع جدید تولید می‌کند؛ کاهش‌ها هزینه عملکردی قابل‌اندازه‌گیری دارند.

فرارهای عمومی که به CVE می‌رسند بخش مرئی هستند. اکسپلویت‌های خصوصی وجود دارند؛ فرارهای در سطح دولت-ملت در اکثر سال‌ها در Pwn2Own نشان داده شده‌اند. برای بارکاری که فرار از هایپروایزر حتی در لیست تهدیدات محتمل است، نمی‌خواهید روی هایپروایزر باشید.

کانال IPMI / خارج از باند

هر دو VPS و سرورهای اختصاصی معمولاً IPMI (رابط مدیریت پلتفرم هوشمند) را برای تیم عملیاتی میزبان در معرض می‌گذارند. در یک VPS، قرار گرفتن در معرض IPMI مشکل میزبان است و ربطی به شما ندارد. در یک سرور اختصاصی معمولاً می‌توانید بخواهید IPMI روی یک VLAN خصوصی باشد، پشت VPN، یا بین پنجره‌های نگهداری کاملاً غیرفعال شود. ما به‌طور پیش‌فرض «IPMI خاموش، در صورت درخواست» را روی سرورهای اختصاصی اعمال می‌کنیم — برای جزئیات عملیاتی صفحه سرور اختصاصی را بخوانید.

رمزگذاری کامل دیسک: واقعیت‌های عملی

هر دو نوع سرور از رمزگذاری در حال استراحت پشتیبانی می‌کنند، اما مدل اعتماد متفاوت است.

رمزگذاری VPS

می‌توانید LUKS را داخل VPS خود اجرا کنید، که در سطح فایل‌سیستم مهمان رمزگذاری می‌کند. این در برابر دزدی که دیسک زیرین را پس از خاموش‌شدن VPS شما می‌دزدد محافظت می‌کند. این در برابر یک اسنپ‌شات زنده از حافظه که توسط هایپروایزر گرفته شده محافظت نمی‌کند — کلیدهای رمزگذاری شما در RAM هستند که هایپروایزر می‌تواند بخواند. برای اکثر تهدیدات واقعی این کافی است؛ برای یک دشمن میزبان معتبر، نمایشی بیش نیست.

رمزگذاری اختصاصی

در یک سرور اختصاصی، رمزگذاری کامل دیسک با یک عبارت عبوری که از راه دور تایپ می‌شود (با استفاده از dropbear-in-initramfs یا مشابه) به شما کلیدی می‌دهد که میزبان واقعاً نمی‌تواند بدون همکاری شما بازیابی کند. معایب: یک چرخه برق نیاز دارد که عبارت عبوری را وارد کنید، که برای زیرساخت شخصی مناسب است اما برای مقیاس‌گذاری خودکار ناخوشایند است. مزیت: یک میزبان مجبور که جعبه را توقیف می‌کند متن رمزشده می‌گیرد.

VPS در برابر اختصاصی، رو در رو

ماتریس تصمیم‌گیری بر اساس بارکار

VPN شخصی، هاست build، جعبه توسعه، رله Tor

VPS. تهدید، دشمن شبکه به‌علاوه حوزه قضایی است؛ فرار هم‌مستأجر نسبت به هزینه عملیاتی یک نگرانی واقعی نیست. مرور پلن‌های VPS و انتخاب کشوری که با نتیجه راهنمای حوزه قضایی شما مطابقت دارد.

سرور ایمیل شخصی، سرور XMPP کوچک، homeserver Matrix

VPS برای زیر ~50 کاربر مناسب است. بالاتر از آن، عملکرد شروع به آزار می‌کند و صرف نظر از محور حریم خصوصی برای throughput صف IMAP/SMTP به سرور اختصاصی نیاز خواهید داشت.

پلتفرم عمومی با داده کاربر (انجمن، تخته تصویر، چت)

VPS برای رشد اولیه، مهاجرت به اختصاصی زمانی که تعداد کاربران یا محتویات شروع به جلب توجه می‌کند. تک‌مستأجری زمانی ارزشمند می‌شود که یک هدف باشید نه فقط تصادفی.

نود ارز دیجیتال که وجوه قابل‌توجهی نگه می‌دارد

اختصاصی. تهدید دسته 3 واقعی است — یک به‌خطر افتادن هم‌مستأجر که seed شما را از طریق یک کانال جانبی می‌خواند در این اندازه دارایی علم‌تخیلی نیست. پلن‌های سرور اختصاصی با رمزگذاری کامل دیسک و IPMI خاموش حداقل مورد نیاز هستند.

پلتفرم افشاگر / هاست نشت

اختصاصی، در ایسلند یا سوئیس، با رمزگذاری کامل دیسک و dropbear-initramfs. این بارکاری است که هر لایه اهمیت دارد. با راهنمای حوزه قضایی برای لایه قانونی ترکیب کنید.

توزیع محتوای انبوه (ویدیو، میزبانی فایل بزرگ)

اختصاصی، اما بیشتر به دلایل عملکردی تا حریم خصوصی. یک سرور اختصاصی 1Gbps unmetered از VPS که با همان سرعت burst می‌کند ارزان‌تر است.

اقتصادیات، صادقانه

قیمت‌گذاری VPS در سال 2026 فشرده شده: 4GB / 2 vCPU / 80GB NVMe در حوزه قضایی آفشور حدود $9 تا $15 در ماه است بسته به کشور. سخت‌افزار اختصاصی در همان مکان‌ها از $60 شروع می‌شود (Atom سطح پایین یا Xeon قدیمی‌تر) و برای نسل فعلی EPYC یا Xeon Scalable به $200+ می‌رسد. ضریب 4 تا 10 برابری واقعی است، و برای اکثر بارکارها صرفاً با حریم خصوصی توجیه نمی‌شود — با عملکرد توجیه می‌شود.

تقسیم صادقانه: حدود 80% از بارکارهای «به میزبانی حریم خصوصی نیاز دارم» با یک VPS $10 در کشور مناسب بهترین سرویس را دریافت می‌کنند. 20% باقی‌مانده — نگهداری ارز دیجیتال با دارایی بالا، پلتفرم‌های روزنامه‌نگاری، محتوای مقیاس‌شده با توجه دشمنان — به سرور اختصاصی نیاز دارند. زیادی هزینه نکنید، و کم‌هزینه هم نکنید.

چک‌لیست عملیاتی برای هر کدام که انتخاب می‌کنید

• سیاست IPMI میزبان را به‌صورت کتبی قبل از سفارش تأیید کنید.
• پشتیبانی از رمزگذاری کامل دیسک را تأیید کنید — برای VPS، که LUKS مجاز است؛ برای اختصاصی، که dropbear-initramfs در اولین نصب مجاز است.
• AUP را برای بندهای افشای صریح فرار از هایپروایزر در VPS بررسی کنید — یک میزبان جدی متعهد می‌شود ظرف 24 ساعت پس از تأیید فرار به مشتریان اطلاع دهد.
• برای اختصاصی، بپرسید که آیا جعبه نو است، کم‌استفاده، یا بازسازی‌شده — و آیا می‌توانید قبل از تحویل درخواست پاک‌سازی کنید.
• بقیه پشته حریم خصوصی را بخوانید: انتخاب پروتکل VPN، حریم خصوصی پرداخت، و کاربرد میزبانی آفشور.