Regarder la vie des grandes entreprises me déprime. C'est une paranoïa sauvage et en même temps des trous de sécurité effrayants et béants. Cependant, peut-être que ces choses sont simplement connectées - parce que le paranoïaque se concentre sur certaines choses et peut facilement ignorer l'évidence. Il peut sortir dans la rue, bruissant désespérément de papier d'aluminium, qu'il a enveloppé de la tête aux pieds, et être heurté par un bus.
J'ai eu l'occasion d'observer une entreprise où ils ont fermé le profil de stockage de données USB pour les machines VDI, mais sans fermer le profil de concentrateur USB, c'est-à-dire qu'il était possible de brancher un concentrateur USB, puis un lecteur flash USB. Au fait, les ordinateurs étaient infectés. Néanmoins, ce n'est en aucun cas un rêve, mais l'éveil actif des esprits des agents de sécurité ne vise pas à réparer des trous, il continue de donner naissance à des monstres. Un de ces monstres s'appelle
Chiffrement des données au repos
Eh bien, si le système de stockage le fait lors de l'écriture sur ses disques: un petit paiement sur le CPU, et c'est tout. Pire encore si le cryptage est effectué à un niveau supérieur - alors ce cryptage tue la déduplication à un niveau inférieur. Je ne serai pas surpris s’ils sont obligés de faire le troisième niveau, par exemple, pour chiffrer les données sur les disques eux-mêmes, et certifier uniquement ces disques, ou exiger le chiffrement des disques de machines virtuelles. Trois bouchons en aluminium fonctionnent mieux qu'un!
Mais dites-moi, quel scénario de vie essayez-vous d'empêcher? Un pirate maléfique a fait son chemin vers le centre de données et a volé le disque et NetApp de travail, après avoir eu le désordre de répartition des données entre ses mains. Comment imaginez-vous cela? Dans ce centre de données, où j'étais, il y avait même des bosses en béton provenant d'un bélier d'une voiture blindée.
Voyez-vous un pirate sur la photo avec des pinces coupantes dans le coin inférieur gauche? Je ne vois pas non plus.Bien sûr, les disques usagés ne peuvent pas être jetés, ils sont seulement détruits. C'est comme une norme, et pour cela, il existe des entreprises certifiées avec des bulldozers certifiés
pour écraser les sanctions . D'accord, chiffrez-le une fois de manière transparente au niveau du stockage, cela ne me dérange pas, mais alors pourquoi? Le chiffrement des données au repos a été le plus durement touché
Aws
Parce que RDS sur SQL Server Express Edition ne prend pas en charge le chiffrement, et vous avez besoin d'au moins Standard Edition N fois plus cher. Et pourquoi - s'il n'y a que des tables de test avec de fausses données? Et donc! Parce que la politique. Il est envoyé
et non discuté. Par conséquent, l'utilisation d'AWS pour DEV n'était pas pratique.
En général, AWS est triste. Une personne voit comment, en quelques clics sur l'interface AWS, vous pouvez créer une infrastructure, sa main tend vers la souris, mais le cri suit:
- Nous créons tout uniquement via Terraform!
- D'accord, laissez-moi créer un fichier ...
- euh, non, nous avons l'équipe DevOps ici, nous avons déterminé un tas de variables là-bas, tout est délicat, vous ne le ferez pas, nous avons une réunion de trois heures tous les jours sur les demandes de fusion git pour le code terraform
"Mais quand serai-je prêt?"
"Non, bien sûr." Tout ne fonctionne que via le travail Jenkins
- O is est-il?
- Vous ne serez toujours pas autorisé à y aller. Lorsque vous créez EC2, vous devez spécifier correctement le code d'inventaire, le code de projet, le code fiscal pour la comptabilité, vous ne savez pas tout cela, ne vous mêlez pas, il y a des personnes spéciales.
En conséquence, avec le développement de DevOps, les développeurs sont de plus en plus éloignés d'Ops.
Réseau
Sur le net, nous aimons également crypter. Eh bien, bien sûr, les tunnels entre les bureaux sont cryptés. À l'intérieur des canaux cryptés, des connexions cryptées, toutes sortes de https. Mais demain, le rallye - quelque chose d'autre sera crypté! Ils ne suffisent pas ...
Encore une fois, comment imaginez-vous le piratage? Comme ça?
Je n'ai trouvé que cette photo, mais j'en cherchais une autre. Dans un film de guerre que j'ai regardé enfant, des agents du renseignement militaire ont collé des aiguilles dans des fils et écouté des conversations ennemies avec des écouteurs. Pour une raison quelconque, la nuit, un blizzard et tout est en noir et blanc. Mais sérieusement, un tunnel crypté est un gâchis entre un tas de paquets et une panne, qu'en ferez-vous? Le même que le printemps?
Mots de passe et accès
Oh oui, c'est un excellent sujet. Peu importe comment ils écrivent qu'un changement de mot de passe régulier est mauvais, les choses sont toujours là. Et comment aimez-vous 12 (oui, douze!) Différents comptes de domaine avec des mots de passe de longueurs différentes, des temps de vieillissement différents et des règles incompatibles concernant leur complexité?
Vous devez passer à certains serveurs comme celui-ci: sous un compte, allez sur le serveur Terminal (Jump), à partir de là, nous passons RDP à un autre, sous un compte différent, puis parfois au troisième. À chaque niveau de plongée, la vitesse de redessinage ralentit, la taille de la fenêtre diminue souvent, toute cette chaîne commence à nécessiter une nouvelle saisie du mot de passe (copier / coller est interdit) ou même se ferme après quelques minutes au repos, il faut donc courir aux toilettes très rapidement, et seulement «dans une petite "
Je soupçonne fortement que toutes ces choses telles que les délais d'attente et le manque de copier-coller sont faites simplement pour le rendre gênant. Le mal pur. Tous les DBA n'atteindront pas le serveur de production. Cependant, on peut toujours aggraver les choses, et ils introduisent déjà une sorte de système de production sans contact, qui, disent-ils, est même un ordre de grandeur plus gênant.
Auditeurs
Bien sûr, souvent, toutes ces mesures ne sont pas du mal pur, mais des solutions «éprouvées» (comme les exigences de mot de passe) pour les auditeurs. Dans le même temps, le principe bien connu «ne demandez pas - ne dites pas» est mis en œuvre - nous pouvons deviner comment 80% des employés stockent les mots de passe. Mais nous avons tous semblé le dire, énoncer les règles, signer des papiers et si quelqu'un a collé des feuilles sur le moniteur, ce n'est pas de notre faute.
Néanmoins, même avec cette compréhension, j'ouvre le courrier avec crainte - vous pouvez tomber sur une autre lettre concernant leur "durcissement" préféré - la traduction russe de "serrer les vis" et me demander ce qui va empirer. Vous pourriez penser que cela ne suffit pas dans ma vie! Il semble que le souci de la sécurité se transforme depuis longtemps en paranoïa. Parfois réel, parfois faux - pour le bien des auditeurs. Je me souviens encore du 13e voyage de Jean le Pacifique sur la planète autrefois déserte, qui a été inondée, puis transformée en océan et tout le monde ne pouvait pas s'arrêter jusqu'à ce que tout le monde se noie ...
Je me ferai un plaisir de commenter.