Das Leben großer Unternehmen zu beobachten, macht mich deprimiert. Es ist wilde Paranoia und gleichzeitig gruselige, klaffende Sicherheitslöcher. Vielleicht hängen diese Dinge jedoch nur zusammen - weil der Paranoide sich auf bestimmte Dinge konzentriert und das Offensichtliche leicht übersehen kann. Er kann auf die Straße gehen, verzweifelt mit Folie rascheln, die er von Kopf bis Fuß eingewickelt hat, und von einem Bus angefahren werden.
Ich hatte Gelegenheit, eine Firma zu beobachten, bei der das USB-Datenspeicherprofil für VDI-Computer geschlossen wurde, das USB-Hub-Profil jedoch nicht geschlossen wurde, dh es war möglich, einen USB-Hub und dann ein USB-Flash-Laufwerk daran anzuschließen. Die Computer dort waren übrigens infiziert. Trotzdem ist es kein Traum, aber die aktive Wachsamkeit der Sicherheitskräfte zielt nicht darauf ab, Löcher zu reparieren, sondern bringt weiterhin Monster zur Welt. Eines dieser Monster heißt
Datenverschlüsselung in Ruhe
Wenn das Speichersystem dies beim Schreiben auf seine Festplatten tut: eine kleine Zahlung auf der CPU, und das war's. Schlimmer noch, wenn die Verschlüsselung auf einer höheren Ebene erfolgt - diese Verschlüsselung beendet die Deduplizierung auf einer niedrigeren Ebene. Ich bin nicht überrascht, wenn sie gezwungen sind, die dritte Ebene zu verwenden, um beispielsweise Daten auf den Laufwerken selbst zu verschlüsseln und nur solche Laufwerke zu zertifizieren oder die Verschlüsselung von Laufwerken virtueller Maschinen zu erfordern. Drei Folienkappen funktionieren besser als eine!
Aber sag mir, welches Lebensszenario versuchst du zu verhindern? Ein böser Hacker machte sich auf den Weg zum Rechenzentrum und stahl die Festplatte und die funktionierende NetApp, nachdem er das Daten-Striping-Chaos in seinen Händen hatte. Wie stellst du dir das vor? In diesem Rechenzentrum, in dem ich mich befand, gab es sogar Betonunebenheiten von einem Widder und einem Panzerwagen.
Sehen Sie auf dem Foto einen Hacker mit Drahtschneidern in der unteren linken Ecke? Ich sehe es auch nicht.Natürlich können gebrauchte Discs nicht weggeworfen, sondern nur zerstört werden. Dies ist wie ein Standard, und dafür gibt es zertifizierte Unternehmen mit zertifizierten Bulldozern,
um Sanktionen zu zerschlagen . Okay, verschlüsseln Sie es einmal transparent auf Speicherebene, es macht mir nichts aus, aber warum dann? Die Datenverschlüsselung im Ruhezustand ist am stärksten betroffen
Aws
Da RDS unter SQL Server Express Edition keine Verschlüsselung unterstützt und Sie mindestens die N-teurere Standard Edition benötigen. Und warum - wenn es nur Testtabellen mit gefälschten Daten gibt? Und deshalb! Weil Politik. Es wird gesendet
und nicht diskutiert. Infolgedessen war die Verwendung von AWS für DEV nicht praktikabel.
Im Allgemeinen ist AWS traurig. Eine Person sieht, wie Sie mit ein paar Klicks auf die AWS-Oberfläche eine Infrastruktur erstellen können. Ihre Hand greift nach der Maus, aber der Schrei folgt:
- Wir schaffen alles nur durch Terraform!
- Okay, lass mich eine Datei erstellen ...
- Äh, nein, wir haben das DevOps-Team hier, wir haben dort eine Reihe von Variablen ermittelt, alles ist schwierig, Sie werden es nicht tun, wir haben jeden Tag ein dreistündiges Meeting über Git-Merge-Anfragen für Terraform-Code
"Aber wann werde ich bereit sein?"
"Nein, natürlich." Alles läuft nur durch Jenkins Job
- Wo ist es?
- Sie dürfen immer noch nicht dorthin gehen. Bei der Erstellung von EC2 müssen Sie den Bestandscode, den Projektcode und den Steuercode für die Buchhaltung korrekt angeben. Sie wissen das alles nicht, mischen sich nicht ein, es gibt spezielle Personen.
Mit der Entwicklung von DevOps sind Entwickler daher immer weiter von Ops entfernt.
Netzwerk
Im Internet verschlüsseln wir auch gerne. Natürlich sind die Tunnel zwischen den Büros verschlüsselt. Innerhalb verschlüsselter Kanäle, verschlüsselter Verbindungen, allerlei https. Aber morgen die Rallye - etwas anderes wird verschlüsselt! Sie sind nicht genug ...
Wie stellst du dir das Hacken vor? So?
Ich habe nur dieses Bild gefunden, aber nach einem anderen gesucht. In einem Kriegsfilm, den ich als Kind gesehen habe, steckten militärische Geheimdienstagenten Nadeln in Drähte und belauschten feindliche Gespräche über Kopfhörer. Aus irgendeinem Grund, Nacht, ein Schneesturm, und alles ist schwarz und weiß. Aber im Ernst, ein verschlüsselter Tunnel ist ein Durcheinander von einer Reihe von Paketen in eine Panne. Was werden Sie damit machen? Das gleiche wie im Frühling?
Passwörter und Zugang
Oh ja, das ist ein tolles Thema. Egal wie sie schreiben, dass eine regelmäßige Passwortänderung böse ist, die Dinge sind immer noch da. Und wie gefällt Ihnen 12 (ja, zwölf!) Unterschiedliche Domain-Konten mit unterschiedlich langen Passwörtern, unterschiedlichen Alterungszeiten und inkompatiblen Regeln hinsichtlich ihrer Komplexität?
Sie müssen zu einigen Servern wie diesem durchbrechen: Gehen Sie unter einem Konto zum Terminalserver (Jump), von dort springen wir RDP zu einem anderen, unter einem anderen Konto und manchmal zum dritten. Bei jeder Tauchstufe verlangsamt sich die Geschwindigkeit des Neuzeichnens, die Fenstergröße nimmt häufig ab, diese gesamte Kette erfordert die erneute Eingabe des Passworts (Kopieren / Einfügen ist verboten) oder schließt sogar nach einigen Minuten im Leerlauf, sodass Sie sehr schnell und nur „in einem kleinen“ zur Toilette laufen müssen ""
Ich vermute sehr, dass all diese Dinge wie Zeitüberschreitungen und das Fehlen von Copy-Paste nur dazu dienen, es unpraktisch zu machen. Reines Böses. Nicht jeder DBA erreicht den Produktionsserver. Man kann es jedoch immer noch schlimmer machen, und sie führen bereits eine Art System für die Zero-Touch-Produktion ein, das, wie sie sagen, sogar um eine Größenordnung unpraktischer ist.
Wirtschaftsprüfer
Natürlich sind all diese Maßnahmen oft nicht rein böse, sondern „bewährte“ Lösungen (wie z. B. Kennwortanforderungen) für Prüfer. Gleichzeitig wird das bekannte Prinzip „Nicht fragen - nicht erzählen“ implementiert - wir können erraten, wie 80% der Mitarbeiter Passwörter speichern. Aber wir alle schienen es zu sagen, die Regeln festzulegen, Papiere zu unterschreiben, und wenn jemand Blätter auf den Monitor geklebt hat, dann ist dies nicht unsere Schuld.
Trotz dieses Verständnisses öffne ich die Mail mit Angst - Sie können auf einen anderen Brief über ihre bevorzugte "Verhärtung" stoßen - die russische Übersetzung von "Schrauben festziehen" und mich fragen, was noch schlimmer wird. Sie könnten denken, dass dies in meinem Leben nicht genug ist! Es scheint, dass die Sorge um die Sicherheit längst zu Paranoia geworden ist. Mal echt, mal falsch - zum Wohle der Wirtschaftsprüfer. Ich erinnere mich noch an die 13. Reise von Johannes dem Pazifik zu dem einst verlassenen Planeten, der überflutet und dann in den Ozean verwandelt wurde und jeder konnte nicht aufhören, bis alle ertranken ...
Ich werde gerne einen Kommentar abgeben.