إن مشاهدة حياة الشركات الكبيرة يجعلني أشعر بالاكتئاب. إنه جنون العظمة الوحشي وفي الوقت نفسه ثغرات أمنية خطيرة. ومع ذلك ، ربما تكون هذه الأشياء مرتبطة فقط - لأن بجنون العظمة يركز على أشياء معينة ، ويمكن أن نغفل بسهولة ما هو واضح. يمكنه الخروج إلى الشارع ، وسرقة يائسة بالرقائق ، التي لفها من رأسه إلى أخمص قدميه ، واصطدم بحافلة.
لقد أتيحت لي الفرصة لمراقبة شركة حيث قاموا بإغلاق ملف تعريف تخزين بيانات USB الخاص بأجهزة VDI ، لكنهم لم يغلقوا ملف تعريف USB Hub ، أي أنه كان من الممكن توصيل USB Hub ، ثم محرك أقراص فلاش USB فيه. بالمناسبة ، كانت هناك أجهزة الكمبيوتر المصابة. ومع ذلك ، فإنه ليس حلما بأي حال من الأحوال ، ولكن اليقظة النشطة لعقول حراس الأمن لا تهدف إلى إصلاح الثقوب ، فهي تواصل ولادة الوحوش. واحد من هذه الوحوش يسمى
تشفير البيانات في الراحة
حسنًا ، إذا كان نظام التخزين يقوم بذلك عند الكتابة على أقراصه: دفع صغير على وحدة المعالجة المركزية ، وهذا كل شيء. الأسوأ إذا تم التشفير على مستوى أعلى - ثم يقتل هذا التشفير إلغاء الإبطال عند مستوى أقل. لن أفاجأ إذا أجبروا على القيام بالمستوى الثالث ، على سبيل المثال ، لتشفير البيانات على محركات الأقراص بأنفسهم ، واعتماد هذه الأقراص فقط ، أو طلب تشفير محركات الأقراص الظاهرية. ثلاثة قبعات احباط تعمل بشكل أفضل من واحد!
لكن قل لي ، ما هو سيناريو الحياة الذي تحاول منعه؟ شق أحد المتسللين الشر إلى طريقه إلى مركز البيانات وسرق القرص وعمل NetApp ، بعد أن وصل بين يديه الفوضى. كيف تتخيل هذا؟ في مركز البيانات هذا ، حيث كنت ، كانت هناك مطبات خرسانية من كبش سيارة مدرعة.
هل ترى أحد المتسللين في الصورة مع قواطع للاسلاك في الزاوية اليسرى السفلى؟ أنا لا أرى كذلك.بالطبع ، لا يمكن التخلص من الأقراص المستخدمة ، بل يتم تدميرها فقط. هذا يشبه المعيار ، ولهذا السبب هناك شركات معتمدة لها جرافات معتمدة
لفرض عقوبات صارمة . حسنًا ، قم بتشفيرها مرة واحدة بشفافية على مستوى التخزين ، لا أمانع ، لكن لماذا؟ تم تشفير البيانات في بقية الأكثر إصابة
أوس
لأن RDS على SQL Server Express Edition لا يدعم التشفير ، وتحتاج على الأقل إلى الإصدار القياسي N مرات أكثر تكلفة. ولماذا - إذا كان هناك فقط جداول الاختبار مع البيانات المزيفة؟ وبالتالي! لأن السياسة. يتم إرسالها أكثر
وليس مناقشتها. نتيجة لذلك ، كان استخدام AWS لـ DEV غير عملي.
بشكل عام ، AWS أمر محزن. يرى الشخص كيف يمكنك ، ببضع نقرات على واجهة AWS ، إنشاء بنية تحتية ، تصل يده إلى الماوس ، لكن الصرخة تتبع:
- نخلق كل شيء فقط من خلال Terraform!
- حسنًا ، اسمح لي بإنشاء ملف ...
- أه ، لا ، لدينا فريق DevOps هنا ، لقد حددنا مجموعة من المتغيرات هناك ، كل شيء صعب ، لن تفعل ذلك ، لدينا اجتماع لمدة ثلاث ساعات يوميًا حول طلبات دمج git للحصول على كود terraform
"لكن متى سأكون جاهزًا؟"
"لا ، بالطبع." كل شيء يعمل فقط من خلال وظيفة جينكينز
- أين هي؟
- لا يزال غير مسموح لك بالذهاب إلى هناك. عند إنشاء EC2 ، يجب عليك تحديد رمز المخزون ورمز المشروع والرمز المالي للمحاسبة بشكل صحيح ، فأنت لا تعرف كل هذا ، لا تتدخل ، يوجد أشخاص مميزون.
نتيجة لذلك ، مع تطوير DevOps ، يجد المطورون أنفسهم أكثر وأكثر من Ops.
الشبكة
على شبكة الإنترنت ، نود أيضا أن تشفير. حسنًا ، بالطبع ، يتم تشفير الأنفاق بين المكاتب. داخل القنوات المشفرة ، الاتصالات المشفرة ، كل أنواع https. لكن غدًا ، سيتم تشفير شيء آخر! أنها ليست كافية ...
مرة أخرى ، كيف تتخيل القرصنة؟ مثل هذا؟
لقد وجدت هذه الصورة فقط ، لكنني كنت أبحث عن صورة أخرى. في فيلم حرب شاهدته عندما كنت طفلاً ، علق عملاء المخابرات العسكرية الإبر في الأسلاك وتنتثروا على محادثات العدو عبر سماعات الرأس. لسبب ما ، الليل ، عاصفة ثلجية ، وكل شيء أبيض وأسود. ولكن على محمل الجد ، فإن النفق المشفر هو فوضى من مجموعة من الحزم في انهيار ، ماذا ستفعل به؟ نفس الربيع؟
كلمات السر والوصول
أوه نعم ، هذا موضوع رائع. لا يهم كيف يكتبون أن تغيير كلمة المرور بشكل منتظم هو أمر شرير ، والأشياء لا تزال هناك. وكيف تحب 12 (نعم ، اثني عشر!) حسابات مجال مختلفة بكلمات مرور بأطوال مختلفة وأوقات مختلفة للشيخوخة وقواعد غير متوافقة فيما يتعلق بتعقيدها؟
تحتاج إلى اختراق بعض الخوادم مثل: تحت حساب واحد ، انتقل إلى خادم المحطة الطرفية (Jump) ، ومن هناك نقفز RDP إلى آخر ، تحت حساب مختلف ، ثم أحيانًا إلى الثالث. في كل مستوى من مستويات الغوص ، تتباطأ سرعة إعادة الرسم ، وينخفض حجم النافذة في كثير من الأحيان ، وتبدأ هذه السلسلة بأكملها في طلب إدخال كلمة المرور (النسخ / اللصق محظور) أو حتى الإغلاق بعد بضع دقائق في وضع الخمول ، لذلك يجب عليك الجري إلى المرحاض بسرعة كبيرة ، وفقط "في فترة صغيرة "
أظن بشدة أن كل هذه الأشياء مثل المهلات ونقص لصق النسخ تتم ببساطة لجعلها غير مريحة. الشر النقي. لن يصل كل DBA إلى خادم الإنتاج. ومع ذلك ، يمكن للمرء أن يزيد الأمور سوءًا ، ويقومون بالفعل بتقديم نظام من نوع ما للإنتاج بدون لمس ، والذي ، حسب قولهم ، يعد ترتيبًا غير مريح بدرجة أكبر.
المدققون
بطبيعة الحال ، كل هذه التدابير في كثير من الأحيان ليست شرًا خالصًا ، لكنها حلول "تم اختبارها عبر الزمن" (مثل متطلبات كلمة المرور) للمدققين. في الوقت نفسه ، يتم تنفيذ المبدأ المعروف "لا تسأل - لا تخبر" - يمكننا تخمين كيف يقوم 80 ٪ من الموظفين بتخزين كلمات المرور. ولكن يبدو أننا جميعًا نقول ذلك ، ونضع القواعد ، والأوراق الموقعة ، وإذا كان أي شخص قد لصق الأوراق على الشاشة ، فهذا ليس خطأنا.
ومع ذلك ، حتى مع هذا الفهم ، أفتح البريد بخوف - يمكنك أن تصادف خطابًا آخر عن "التصلب" المفضل لديهم - الترجمة الروسية "تشديد الخناق" وأتساءل ما الذي سوف يزداد سوءًا. قد تعتقد أن هذا لا يكفي في حياتي! يبدو أن الاهتمام بالأمن قد نما لفترة طويلة إلى جنون العظمة. حقيقية في بعض الأحيان ، وهمية في بعض الأحيان - من أجل مراجعي الحسابات. ما زلت أتذكر الرحلة الثالثة عشرة لجون المحيط الهادئ إلى الكوكب المهجور ذات يوم ، والذي غمرته المياه ، ثم تحولت إلى المحيط ولم يتمكن الجميع من التوقف حتى غرق الجميع ...
سأكون سعيدا للتعليق.