Perdebatan VPS vs dedicated biasanya dibingkai sebagai "performa versus harga". Untuk workload yang kritis terhadap privasi, itu bingkai yang salah. Pertanyaan sesungguhnya adalah apa yang bersedia Anda bagikan — dan dengan siapa — di tingkat silikon. Server yang divirtualisasi adalah, secara definisi, kotak multi-tenant: kernel Anda berjalan di atas hypervisor yang secara bersamaan menjalankan kernel orang asing. Untuk sebagian besar workload di 2026, itu adalah batas yang baik dan terjaga dengan baik. Untuk sebagian lainnya, itu adalah kerentanan struktural yang tidak bisa diperbaiki dengan pengerasan OS seberapa pun.
Panduan ini menarik garis tersebut. Kami akan membahas model ancaman yang benar-benar mengubah jawaban, riwayat CVE hypervisor escape yang perlu Anda ketahui, ekonomika praktisnya, dan matriks keputusan untuk workload mana yang cocok di mana.
Model ancaman yang menentukan jawaban
Sebelum membandingkan spesifikasi, tuliskan model ancaman dalam satu kalimat. Tipe server yang tepat akan muncul hampir secara mekanis.
Single-tenancy: apa yang sebenarnya Anda dapatkan
Pada server dedicated — kotak fisik yang ditetapkan secara eksklusif untuk Anda — Anda mengontrol setiap lapisan di bawah OS yang diizinkan kontrak host: pengaturan BIOS, konfigurasi secure-boot, enkripsi disk penuh dengan passphrase yang secara harfiah tidak dapat dibaca host, paparan IPMI, dan modul kernel yang dimuat. Tidak ada hypervisor antara Anda dan silikon. Tidak ada tetangga yang berbagi cache L1/L2. Tidak ada memory bus bersama di mana serangan side-channel dapat mengamati putaran AES Anda.
Pada VPS — irisan virtual dari kotak fisik — Anda mengontrol OS tamu dan hanya itu. Host mengontrol hypervisor, kunci enkripsi disk (dalam sebagian besar konfigurasi realistis), dan mesin fisik.
Tiga kategori ancaman
Untuk tujuan privasi, ancaman terbagi dalam tiga kelompok:
- Adversary jaringan. Seseorang yang menyadap atau menyubpoena jaringan. Dipertahankan dengan enkripsi transport (TLS, WireGuard, SSH) dan yurisdiksi. Tipe server tidak relevan.
- Adversary host. Penyedia hosting itu sendiri, atau siapa pun yang dapat memaksanya. Dipertahankan terutama oleh yurisdiksi (dibahas di panduan yurisdiksi kami) dan secara sekunder oleh enkripsi disk penuh dengan passphrase yang tidak dimiliki host. Dedicated unggul di sini, secara moderat.
- Adversary co-tenant. Seseorang yang menyewa VPS berbeda di kotak fisik yang sama, atau mengkompromikannya melalui vektor berbeda, dan mencoba keluar dari slice mereka. Dedicated menghilangkan kategori ini sepenuhnya; VPS tidak.
Jika kategori 3 ada dalam model ancaman Anda, percakapan berakhir — Anda membutuhkan server dedicated. Jika tidak, VPS yang dikonfigurasi dengan baik di yurisdiksi yang tepat sudah cukup untuk sebagian besar workload yang sensitif terhadap privasi.
Hypervisor escape: seberapa sering terjadi?
Jawaban jujur tersingkat: jarang, dan dengan patch yang biasanya tersedia dalam hitungan hari. Tetapi "jarang" bukan "tidak pernah", dan rekam jejak historisnya layak diketahui.
Escape publik besar
- Xen XSA-226 (2017) — bug korupsi memori dalam penanganan page-table yang memungkinkan tamu meningkat ke host. Dipatch dalam sebulan; penyedia cloud besar menjalankan reboot darurat.
- VENOM (CVE-2015-3456) — buffer overflow dalam kontroler floppy virtual QEMU, mempengaruhi KVM dan Xen. Lama tetapi instruktif: permukaan serangan adalah fitur yang tidak aktif digunakan siapa pun.
- L1TF / Foreshadow (2018) — side channel eksekusi spekulatif Intel yang dapat membocorkan memori lintas batas hypervisor. Dimitigasi dengan microcode ditambah perubahan penjadwalan; dampak performa dari penonaktifan hyperthreading cukup signifikan.
- Varian KVM MDS (berkelanjutan, terbaru 2024) — serangan Microarchitectural Data Sampling. Setiap generasi chip baru menghasilkan varian baru; mitigasi membawa biaya performa yang terukur.
Escape publik yang mencapai CVE adalah bagian yang terlihat. Eksploit privat ada; escape kelas negara-bangsa telah didemonstrasikan di Pwn2Own hampir setiap tahun. Untuk workload di mana hypervisor escape bahkan masuk dalam daftar ancaman yang masuk akal, Anda tidak ingin berada di hypervisor.
Saluran IPMI / out-of-band
Baik VPS maupun kotak dedicated biasanya mengekspos IPMI (Intelligent Platform Management Interface) untuk tim operasi host. Pada VPS, paparan IPMI adalah masalah host dan tidak ada hubungannya dengan Anda. Pada server dedicated, Anda biasanya bisa meminta IPMI berada di VLAN privat, di balik VPN, atau dinonaktifkan sepenuhnya di antara jendela pemeliharaan. Kami default ke "IPMI mati, atas permintaan" pada kotak dedicated — baca halaman server dedicated untuk detail operasionalnya.
Enkripsi disk penuh: realitas praktis
Kedua tipe server mendukung enkripsi saat tidak aktif, tetapi model kepercayaannya berbeda.
Enkripsi VPS
Anda dapat menjalankan LUKS di dalam VPS, yang mengenkripsi di tingkat filesystem tamu. Ini melindungi dari pencuri yang mencuri disk yang mendasarinya setelah VPS Anda dimatikan. Ini tidak melindungi dari snapshot memori langsung yang diambil oleh hypervisor — kunci enkripsi Anda ada di RAM yang dapat dibaca hypervisor. Untuk sebagian besar ancaman realistis ini sudah cukup; untuk adversary host yang kredibel, ini adalah sandiwara.
Enkripsi dedicated
Pada server dedicated, enkripsi disk penuh dengan passphrase yang diketik dari jarak jauh (menggunakan dropbear-in-initramfs atau serupa) memberi Anda kunci yang secara harfiah tidak bisa dipulihkan host tanpa kerja sama Anda. Kekurangannya: siklus daya membutuhkan Anda memasukkan passphrase, yang tidak masalah untuk infrastruktur pribadi tetapi canggung untuk autoscaling. Kelebihannya: host yang dipaksa menyita kotak mendapatkan ciphertext.
VPS vs dedicated, head-to-head
| Dimensi | VPS | Dedicated |
|---|---|---|
| Single-tenancy | Tidak (berbagi CPU, RAM, hypervisor) | Ya (isolasi fisik penuh) |
| Permukaan serangan co-tenant | Hypervisor + cache bersama | Tidak ada |
| FDE vs adversary host | Sandiwara (kunci di RAM yang dapat dibaca hypervisor) | Nyata (host mendapat ciphertext) |
| Waktu spin-up | Menit | Jam hingga beberapa hari |
| Upgrade hardware | Ubah plan | Migrasi ke kotak baru |
| Harga awal khas 2026 (offshore) | $5–$15/bulan | $60–$200/bulan |
| Paparan IPMI | Tersembunyi (masalah host) | Dapat dikonfigurasi (masalah Anda) |
| Terbaik untuk | Endpoint VPN, host build, email pribadi, relay Tor, pekerjaan dev | Server email berskala, penyimpanan kunci, skrining CSAM untuk platform gambar, apa pun dengan ancaman kategori 3 |
Matriks keputusan berdasarkan workload
VPN pribadi, host build, dev box, relay Tor
VPS. Ancamannya adalah adversary jaringan ditambah yurisdiksi; hypervisor escape co-tenant bukan kekhawatiran realistis relatif terhadap biaya operasional. Jelajahi paket VPS dan pilih negara yang sesuai dengan hasil panduan yurisdiksi Anda.
Server email pribadi, server XMPP kecil, homeserver Matrix
VPS sudah cukup untuk kurang dari ~50 pengguna. Di atas itu, performa mulai bermasalah dan Anda akan menginginkan dedicated untuk throughput antrian IMAP/SMTP terlepas dari sumbu privasi.
Platform publik dengan data pengguna (forum, image board, chat)
VPS untuk pertumbuhan awal, migrasikan ke dedicated ketika jumlah pengguna atau konten mulai menarik perhatian. Single-tenancy menjadi berharga setelah Anda menjadi target bukan sekadar insidental.
Node kripto dengan dana yang signifikan
Dedicated. Ancaman kategori 3 nyata — kompromi co-tenant yang membaca seed Anda melalui side channel bukan fiksi ilmiah pada ukuran aset ini. Paket server dedicated dengan enkripsi disk penuh dan IPMI mati adalah standar minimum.
Platform whistleblower / host kebocoran
Dedicated, di Islandia atau Swiss, dengan enkripsi disk penuh dan dropbear-initramfs. Ini adalah workload di mana setiap lapisan penting. Padukan dengan panduan yurisdiksi untuk lapisan hukum.
Distribusi konten massal (video, hosting file besar)
Dedicated, tetapi karena alasan performa lebih dari alasan privasi. Dedicated 1Gbps unmetered lebih murah dari VPS yang burst pada kecepatan yang sama.
Ekonomika, jujur
Harga VPS di 2026 telah menyusut: 4GB / 2 vCPU / 80GB NVMe di yurisdiksi offshore sekitar $9 hingga $15 per bulan tergantung negara. Hardware dedicated di lokasi yang sama dimulai dari $60 (Atom kelas rendah atau Xeon lama) dan mencapai $200+ untuk EPYC atau Xeon Scalable generasi saat ini. Pengganda 4 hingga 10x itu nyata, dan untuk sebagian besar workload tidak dibenarkan oleh privasi semata — melainkan oleh performa.
Pembagian jujur: sekitar 80% workload "saya butuh hosting privasi" paling baik dilayani oleh VPS $10 di negara yang tepat. Sisa 20% — penyimpanan kripto aset tinggi, platform jurnalisme, konten berskala dengan perhatian dari adversary — membutuhkan dedicated. Jangan terlalu banyak keluar, dan jangan terlalu sedikit.
Daftar periksa operasional untuk pilihan mana pun
- Konfirmasi kebijakan IPMI host secara tertulis sebelum memesan.
- Verifikasi dukungan enkripsi disk penuh — untuk VPS, bahwa LUKS diizinkan; untuk dedicated, bahwa dropbear-initramfs diizinkan saat instalasi pertama.
- Periksa AUP untuk klausul pengungkapan hypervisor escape eksplisit pada VPS — host yang serius berkomitmen untuk memberi tahu pelanggan dalam 24 jam setelah escape yang dikonfirmasi.
- Untuk dedicated, tanyakan apakah kotak itu baru, sedikit digunakan, atau rekondisi — dan apakah Anda bisa meminta penghapusan sebelum pengiriman.
- Baca sisa tumpukan privasi: pilihan protokol VPN, privasi pembayaran, dan use case hosting offshore.