Ver la vida de las grandes corporaciones me deprime. Es una paranoia salvaje y al mismo tiempo espeluznante, con enormes agujeros de seguridad. Sin embargo, quizás estas cosas solo están conectadas, porque la paranoia se centra en ciertas cosas y puede pasar por alto lo obvio fácilmente. Puede salir a la calle, crujiendo desesperadamente con papel de aluminio, que ha envuelto de la cabeza a los pies, y ser atropellado por un autobús.
Tuve la oportunidad de observar una empresa donde cerraron el perfil de almacenamiento de datos USB para máquinas VDI, pero no cerraron el perfil del Hub USB, es decir, fue posible conectar un Hub USB y luego una unidad flash USB. Por cierto, las computadoras allí estaban infectadas. Sin embargo, de ninguna manera es un sueño, pero la vigilia activa de las mentes de los guardias de seguridad no está destinada a arreglar agujeros, sino que continúa dando a luz a monstruos. Uno de estos monstruos se llama
Cifrado de datos en reposo
Bueno, si el sistema de almacenamiento hace esto cuando escribe en sus discos: un pequeño pago en la CPU, y eso es todo. Peor aún si el cifrado se realiza en un nivel superior, entonces este cifrado elimina la deduplicación en un nivel inferior. No me sorprenderá si se ven obligados a hacer el tercer nivel, por ejemplo, para cifrar datos en las unidades en sí mismas, y solo certificar dichas unidades, o requerir el cifrado de unidades de máquinas virtuales. ¡Tres tapas de aluminio funcionan mejor que una!
Pero dime, ¿qué escenario de vida estás tratando de evitar? Un hacker malvado se dirigió al centro de datos y robó el disco y trabajó con NetApp, después de tener el desorden de franjas de datos en sus manos. ¿Cómo te imaginas esto? En ese centro de datos, donde estaba, incluso había golpes de concreto de un ariete y un automóvil blindado.
¿Ves a un pirata informático en la foto con cortadores de alambre en la esquina inferior izquierda? Yo tampoco lo veo.Por supuesto, los discos usados no pueden descartarse, solo destruirse. Esto es como un estándar, y para esto hay empresas certificadas con bulldozers certificadas
para aplastar las sanciones . Bien, encriptarlo una vez de manera transparente en el nivel de almacenamiento, no me importa, pero ¿por qué? El cifrado de datos en reposo ha sido el más afectado
Aws
Debido a que RDS en SQL Server Express Edition no admite el cifrado, y necesita al menos Standard Edition N veces más caro. ¿Y por qué, si solo hay tablas de prueba con datos falsos? Y por lo tanto! Porque la política. Es enviado
y no discutido Como resultado, el uso de AWS para DEV no fue práctico.
En general, AWS está triste. Una persona ve cómo con un par de clics en la interfaz de AWS puede crear una infraestructura, su mano alcanza el mouse, pero el grito sigue:
- ¡Creamos todo solo a través de Terraform!
- Muy bien, déjame crear un archivo ...
- uh, no, tenemos un equipo de DevOps aquí, determinamos un montón de variables allí, todo es complicado, no lo harás, tenemos un rally de tres horas todos los días para solicitudes de fusión de código de terraformación
"¿Pero cuándo estaré listo?"
"No, por supuesto". Todo corre solo a través del trabajo de Jenkins
- Donde esta?
- Aún no se te permitirá ir allí. Al crear EC2, debe especificar correctamente el código de inventario, el código del proyecto, el código fiscal para la contabilidad, no sabe todo esto, no se entrometa, hay personas especiales.
Como resultado, con el desarrollo de DevOps, los desarrolladores están cada vez más lejos de Ops.
Red
En la red, también nos gusta encriptar. Bueno, por supuesto, los túneles entre las oficinas están encriptados. Dentro de canales encriptados, conexiones encriptadas, todo tipo de https. Pero mañana el mitin, ¡algo más estará encriptado! No son suficientes ...
De nuevo, ¿cómo te imaginas hackear? Me gusta esto?
Encontré solo esta imagen, pero estaba buscando otra. En una película de guerra que vi cuando era niño, los agentes de inteligencia militar clavaron agujas en los cables y escucharon las conversaciones enemigas a través de auriculares. Por alguna razón, noche, una tormenta de nieve, y todo es blanco y negro. Pero en serio, un túnel encriptado es un desastre de un montón de paquetes en un desglose, ¿qué harás con él? ¿Lo mismo que la primavera?
Contraseñas y acceso
Oh sí, ese es un gran tema. No importa cómo escriban que un cambio de contraseña regular es malo, las cosas siguen ahí. ¿Y qué le parece 12 (sí, doce!) Cuentas de dominio diferentes con contraseñas de diferentes longitudes, diferentes tiempos de envejecimiento y reglas incompatibles con respecto a su complejidad?
Debe acceder a algunos servidores como este: bajo una cuenta, vaya al servidor Terminal (Jump), desde allí saltamos RDP a otro, bajo una cuenta diferente, y a veces a la tercera. En cada nivel de inmersión, la velocidad de redibujo se ralentiza, el tamaño de la ventana a menudo disminuye, toda esta cadena comienza a requerir volver a ingresar la contraseña (está prohibido copiar / pegar) o incluso se cierra después de unos minutos en inactivo, por lo que debe correr al baño muy rápido, y solo "en pequeño "
Sospecho firmemente que todas estas cosas, como los tiempos de espera y la falta de copiar y pegar, se realizan simplemente para que sea un inconveniente. Pura maldad. No todos los DBA llegarán al servidor de producción. Sin embargo, uno siempre puede empeorar las cosas, y ya están introduciendo algún tipo de sistema para la producción de cero contacto, lo que, dicen, es incluso un orden de magnitud más inconveniente.
Auditores
Por supuesto, a menudo todas estas medidas no son puramente malvadas, sino soluciones "probadas en el tiempo" (como requisitos de contraseña) para auditores. Al mismo tiempo, se implementa el conocido principio "no preguntes, no digas": podemos adivinar cómo el 80% de los empleados almacenan contraseñas. Pero todos parecíamos decirlo, establecer las reglas, firmar documentos, y si alguien ha pegado hojas en el monitor, entonces esto no es culpa nuestra.
Sin embargo, incluso con esta comprensión, abro el correo con miedo: puede encontrar otra carta sobre su "endurecimiento" favorito: la traducción al ruso de "apretar los tornillos" y preguntarse qué empeorará. ¡Podrías pensar que esto no es suficiente en mi vida! Parece que la preocupación por la seguridad se ha convertido en una paranoia. A veces real, a veces falso, por el bien de los auditores. Todavía recuerdo el decimotercer viaje de Juan el Pacífico al planeta una vez desierto, que se inundó, luego se convirtió en el océano y todos no pudieron parar hasta que todos se ahogaron ...
Estaré encantado de comentar.