Menyaksikan kehidupan perusahaan besar membuat saya tertekan. Itu adalah paranoia liar dan pada saat yang sama menyeramkan, lubang keamanan menganga. Namun, mungkin hal-hal ini hanya terhubung - karena paranoid difokuskan pada hal-hal tertentu, dan dapat dengan mudah mengabaikan hal-hal yang sudah jelas. Dia bisa keluar ke jalan, dengan putus asa berdesir dengan kertas timah, yang telah dibungkusnya dari ujung kepala sampai ujung kaki, dan ditabrak bus.
Saya memiliki kesempatan untuk mengamati perusahaan tempat mereka menutup profil penyimpanan data USB untuk mesin VDI, tetapi tidak menutup profil USB Hub, yaitu, mungkin untuk memasang USB Hub, dan kemudian USB flash drive ke dalamnya. Omong-omong, komputer di sana terinfeksi. Namun demikian, ini sama sekali bukan mimpi, tetapi kesadaran aktif para penjaga keamanan tidak ditujukan untuk memperbaiki lubang, itu terus melahirkan monster. Salah satu dari monster ini disebut
Enkripsi Data saat Istirahat
Nah, jika sistem penyimpanan melakukan ini saat menulis ke disk-nya: pembayaran kecil pada CPU, dan hanya itu. Lebih buruk lagi jika enkripsi dilakukan tingkat yang lebih tinggi - maka enkripsi ini membunuh deduplikasi tingkat yang lebih rendah. Saya tidak akan terkejut jika mereka dipaksa untuk melakukan level ketiga, misalnya, untuk mengenkripsi data pada drive itu sendiri, dan hanya mensertifikasi drive tersebut, atau memerlukan enkripsi drive mesin virtual. Tiga tutup foil bekerja lebih baik dari satu!
Tapi katakan padaku, skenario hidup apa yang ingin kamu cegah? Seorang hacker jahat berjalan ke pusat data dan mencuri disk dan bekerja NetApp, setelah mendapat kekacauan data striping di tangannya. Bagaimana Anda membayangkan ini? Di pusat data itu, tempat saya berada, bahkan ada gundukan beton dari seekor domba jantan sebuah mobil lapis baja.
Apakah Anda melihat seorang peretas di foto dengan pemotong kawat di sudut kiri bawah? Saya juga tidak melihat.Tentu saja, disc yang digunakan tidak dapat dibuang, hanya dihancurkan. Ini seperti standar, dan untuk ini ada perusahaan bersertifikat dengan buldoser bersertifikat
untuk menghancurkan sanksi . Oke, mengenkripsi sekali di level penyimpanan secara transparan, saya tidak keberatan, tapi mengapa? Enkripsi data saat istirahat telah terpukul paling keras
Aws
Karena RDS pada SQL Server Express Edition tidak mendukung enkripsi, dan Anda memerlukan setidaknya Edisi Standar N kali lebih mahal. Dan mengapa - jika hanya ada tabel uji dengan data palsu? Dan karenanya! Karena Kebijakan. Itu dikirim
dan tidak dibahas. Akibatnya, penggunaan AWS untuk DEV tidak praktis.
Secara umum, AWS sedih. Seseorang melihat bagaimana dengan beberapa klik pada antarmuka AWS Anda dapat membuat infrastruktur, tangannya meraih mouse, tetapi teriakannya mengikuti:
- Kami membuat semuanya hanya melalui Terraform!
- Baiklah, biarkan saya membuat file ...
- eh, tidak, kami memiliki tim DevOps di sini, kami menentukan banyak variabel di sana, semuanya rumit, Anda tidak akan melakukannya, kami memiliki rapat tiga jam setiap hari untuk permintaan git merge untuk kode terraform
"Tapi kapan aku akan siap?"
"Tidak, tentu saja." Semuanya berjalan hanya melalui pekerjaan Jenkins
- Dimana itu?
- Anda masih tidak akan diizinkan pergi ke sana. Saat membuat EC2, Anda harus menentukan dengan benar kode inventaris, kode proyek, kode fiskal untuk akuntansi, Anda tidak tahu semua ini, jangan ikut campur, ada orang-orang istimewa.
Akibatnya, dengan pengembangan DevOps, pengembang semakin jauh dari Ops.
Jaringan
Di internet, kami juga ingin mengenkripsi. Yah, tentu saja, terowongan antar kantor dienkripsi. Di dalam saluran terenkripsi, koneksi terenkripsi, semua jenis https. Tapi besok, rapat umum - sesuatu yang lain akan dienkripsi! Mereka tidak cukup ...
Sekali lagi, bagaimana Anda membayangkan peretasan? Seperti ini?
Saya hanya menemukan gambar ini, tetapi sedang mencari yang lain. Dalam sebuah film perang yang saya tonton saat kecil, agen intelijen militer memasukkan jarum ke kawat dan menguping pembicaraan musuh melalui headphone. Untuk beberapa alasan, malam, badai salju, dan semuanya hitam dan putih. Tapi serius, terowongan terenkripsi berantakan dari sekelompok paket menjadi gangguan, apa yang akan Anda lakukan dengannya? Sama seperti musim semi?
Kata Sandi dan Akses
Oh ya, itu topik yang bagus. Tidak peduli bagaimana mereka menulis bahwa perubahan kata sandi reguler itu jahat, semuanya masih ada. Dan bagaimana Anda suka 12 (ya, dua belas!) Akun domain yang berbeda dengan kata sandi dengan panjang yang berbeda, waktu penuaan yang berbeda, dan aturan yang tidak kompatibel mengenai kompleksitasnya?
Anda perlu menerobos ke beberapa server seperti ini: di bawah satu akun, buka server Terminal (Jump), dari sana kami lompat RDP ke yang lain, di bawah akun yang berbeda, lalu kadang-kadang ke yang ketiga. Pada setiap tingkat penyelaman, kecepatan penggambaran kembali melambat, ukuran jendela sering kali berkurang, seluruh rantai ini mulai membutuhkan memasukkan kembali kata sandi (salin / tempel dilarang) atau bahkan ditutup setelah beberapa menit dalam keadaan idle, jadi Anda harus berlari ke toilet dengan sangat cepat, dan hanya βdalam jumlah kecil "
Saya sangat curiga bahwa semua hal ini seperti timeout dan kurangnya copy-paste dilakukan hanya untuk membuatnya tidak nyaman. Kejahatan murni. Tidak setiap DBA akan mencapai server produksi. Namun, seseorang selalu dapat memperburuk keadaan, dan mereka telah memperkenalkan semacam sistem untuk produksi tanpa sentuhan, yang, kata mereka, bahkan merupakan urutan besarnya yang lebih tidak nyaman.
Auditor
Tentu saja, seringkali semua tindakan ini bukanlah kejahatan murni, tetapi solusi "teruji waktu" (seperti persyaratan kata sandi) untuk auditor. Pada saat yang sama, prinsip terkenal "jangan tanya - jangan katakan" diterapkan - kita bisa menebak bagaimana 80% karyawan menyimpan kata sandi. Tapi kami semua sepertinya mengatakannya, menetapkan peraturan, menandatangani surat, dan jika ada yang menempelkan monitor, maka ini bukan kesalahan kami.
Namun demikian, bahkan dengan pemahaman ini, saya membuka surat dengan ketakutan - Anda dapat menemukan surat lain tentang "pengerasan" favorit mereka - terjemahan bahasa Rusia dari "mengencangkan sekrup" dan bertanya-tanya apa yang akan menjadi lebih buruk. Anda mungkin berpikir bahwa ini tidak cukup dalam hidup saya! Tampaknya kepedulian terhadap keamanan telah lama berkembang menjadi paranoia. Terkadang nyata, kadang palsu - demi auditor. Saya masih ingat perjalanan ke-13 dari John Pasifik ke planet yang pernah sepi, yang kemudian banjir, kemudian berubah menjadi lautan dan semua orang tidak bisa berhenti sampai semua orang tenggelam ...
Saya akan senang berkomentar.