Мне доводилось наблюдать фирму, где закрыли профиль USB data storage для VDI машинок, но при этом не закрыли профиль USB Hub, то есть можно было воткнуть USB Hub, а потом в него уже флешку. Кстати, компы там были завирусованные. Тем не менее отнюдь не сон, а активное бодрствование разума безопасников направлено не на починку дыр, продолжает рождать чудовищ. Одно из этих чудовищ называется
Data Encryption at Rest
Ладно если это делает storage system при записи на свои диски: небольшая расплата по CPU, и все. Хуже если encryption делается уровнем выше — тогда эта encryption убивает deduplication уровнем ниже. Не удивлюсь, если заставят делать и третий уровень — допустим, шифровать данные аппаратно на самих дисках, и только такие диски и сертифицировать, или требовать шифровать диски виртуалок. Три шапочки из фольги работают лучше, чем одна!
Но скажите, какой жизненный сценарий вы пытаетесь предотвратить? В datacenter пробрался злобный хакер и выкрал диск и работающего NetApp, получив в руки кашу от data striping неизвестно чего? Как вы себе это представляете? В том datacenter, где я был, были даже бетонные надолбы от тарана броневиком.
Вы видите на фото хакера с кусачками слева в нижнем углу? Я тоже не вижу.
Разумеется, использованные диски нельзя выбрасывать, только уничтожать. Это как бы стандарт, и для этого есть сертифицированные фирмы с сертифицированными бульдозерами
AWS
Потому что RDS на SQL Server Express Edition шифрование не поддерживает, и надо как минимум Standard Edition в N раз дороже. А зачем — если там только тестовые таблицы с фейковыми данными? А потому! Потому что Policy. Это послано свыше
и не обсуждается. В итоге использование AWS для DEV оказалось нецелесообразным.
Вообще, с AWS грусть. Человек видит, как с помощью пары кликов на интерфейсе AWS можно сотворить инфраструктуру, его рука тянется к мыши, но следует окрик:
— Мы создаем все только через Terraform!
— Хорошо, давайте я создам файл…
— эээ, нет, у нас тут DevOps team, мы там определили кучу переменных, там все хитро, вы не справитесь, у нас и так каждый день трехчасовой митинг по git merge requests для terraform code
— Но когда будет готово я запущу?
— Нет, разумеется. Все запускается только через Jenkins job
— А где это?
— Вас все равно туда не пустят. При создании EC2 надо корректно указывать инвентаризационный код, код проекта, фискальный код для бухгалтерии, вы всего этого не знаете, не лезьте, есть специальные люди.
В итоге с развитием DevOps девелоперы оказываются все дальше и дальше от Ops.
Network
В сети мы тоже любим шифровать. Ну конечно туннели между офисами зашифрованные. Внутри шифрованных каналов шифрованные соединения, всякие https. Но вот завтра митинг — будет шифроваться еще чтото! Им все мало…
Опять таки, как вы себе представляете взлом? Вот так?
Я нашел только эту картинку, но искал другую. В каком то военном фильме, который я смотрел в детстве, военные разведчики втыкали иголки в провода и подслушивали разговоры противника через наушники. Почему то представляется ночь, вьюга, и все черно-белое. Но серьезно, шифрованный тоннель это каша из кучи пакетов в разбивку, что вы с этим будете делать? То же, что и Яровая?
Пароли и доступ
О да, это прекрасная тема. Сколь ни пишут, что регулярная смена пароля — это зло, воз и ныне там. А как вам 12 (да, двенадцать!) разных домен эккаунтов с паролями разной длины, разным временем устаревания и несовместимыми правилами, касающиеся их сложности?
На некоторые сервера надо пробиваться так: под одним экааунтом выходим на Terminal (Jump) server, оттуда прыгаем RDP на другой, под другим эккаунтом, далее иногда на третий. На каждом уровне погружения замедляется скорость перерисовки, часто уменьшается размер окна, вся эта цепочка начинает требовать повторного ввода пароля (copy/paste запрещен) или вообще закрываться через небольшое число минут в idle, поэтому приходится очень быстро бегать в туалет, причем исключительно «по маленькому»
Я сильно подозреваю, что все эти вещи типа таймаутов и отсутсвия копи-пасты делаются просто, чтобы было неудобно. Pure evil. Не всякий DBA долетит до продакшн сервера. Впрочем, всегда можно сделать еще хуже, и уже внедряют какую то систему для zero-touch production, которая, говорят, еще на порядок неудобнее.
Аудиторы
Конечно, зачастую все эти меры не являются чистым злом, а «проверенными временем» (типа требованиям к паролям) решениями для аудиторов. При этом реализуется известный принцип «don't ask — don't tell» — мы догадываемся, как 80% сотрудников хранят пароли. Но мы как бы все сказали, правила изложили, бумажки подписаны, а если у кого листочки на монитор наклеены, то это уже мы не виноваты.
Тем не менее, даже с этим пониманием я со страхом открываю почту — можно натолкнуться на очередное письмо про их излюбленный «hardening» — русский перевод «закручивание гаек» и гадать, что еще станет хуже. Можно подумать, мне этого в жизни не хватает! Кажется, забота о безопасности давно переросла в паранойю. Иногда настоящую, иногда напускную — ради аудиторов. Еще вспоминается 13е путешествие Йона Тихого на некогда пустынную планету, которую обводнили, потом превратили в океан и все не могли остановиться, пока все не утонули…
Буду рад комментариям.
Комментарии (10)
3aicheg
29.11.2018 05:38Реальный случай. Как-то приступаю к выполнению обязанностей, местный одмин даёт инструктаж по безопасности:
— Мы тут, значит,офицеры комендатуры, сертифицированы по высшему стандарту безопасности ISO-сто пятьсот восемьсот десять тысяч девятьсот. У нас нельзя то, нельзя сё (тут бла-бла-бла много-много чего нельзя). Последний пункт: личным мобильным телефоном пользоваться нельзя. Всё понятно? А щас мы создадим вам учётную запись. Придумайте пароль не короче семидесяти восьми символов в разных регистрах, с цифрами и эмодзи. Разумеется, у нас двухфакторная авторизация, доставайте свой мобильный телефон и говорите мне номер, вам на него коды доступа будут приходить…
— Чочо?? Вы же только что говорили, что нельзя пользоваться личным телефоном в офисе?..
— Да, разумеется, в целях безопасности.
— А теперь говорите, что мне для двухфакторной авторизации будет нужно получать коды на личный телефон?
— Да, разумеется, в целях безопасности.
— Эмм… а вам не кажется, что эти два требования, как бы это сказать, немного противоречат друг другу?
— Нет, не кажется — и то и другое в целях безопасности.
И ни один мускул на лице не дрогнул.
perlestius
29.11.2018 07:41В datacenter пробрался злобный хакер и выкрал диск и работающего NetApp, получив в руки кашу от data striping неизвестно чего?
Если ДЦ в России, то более вероятен сценарий, когда придут вежливые люди и, предъявив нужные документы, с соблюдением всех формальностей изымут целиком вашу стойку с оборудованием.GokenTanmay
29.11.2018 10:56Ни разу не видел, что бы отказали в выдаче паролей вежливым людям с нужными документами.
Обратных примеров полно.
Tzimie Автор
29.11.2018 10:56Это верно. С другой стороны, не хранить данные в России (если это не российский бизнес) — тоже разумное требование безопасности
teecat
30.11.2018 10:13Вот с чем приходится сталкиваться в богатых компаниях и особенно банках, так это с тем, что руководство ИТ-ИБ увлечено модными/дорогими/интересными проектами, а базовыми мерами защиты пренебрегают. Скажем настройкой антивирусов (я не говорю о том, когда без них можно обойтись, только о тех случаях, когда они стоят по делу). Неинтересно возиться с такой мелочью
Xeonkeeper
30.11.2018 12:41Использование Jump серверов это устаревший метод, так как первоначально вы будете вводить учетные данные от УЗ с повышенными привилегиями на менее защищенном хосте. В современных реалиях подход должен быть в корне другой. Рабочая станция админитратора (ноутбук например) правильно защищенный. Все административные действия производятся с него, а уже внутри него запущена виртуальная машина с интернетом, почтой и тд(это если вообще не отдельный административный ноутбук). И нету в этом никакой паранойи это просто другой подход, не так как все привыкли. Куча паролей лечится грамотным выстраиванием инфраструктуры с использованием современных методов аутентификации. В идеальном мире администратор должен предоставлять пин код от своей смарт карты единожды — при входе на свою адм. станцию, а пользователь свой пароль при входе на свой компьютер. Так же сейчас развивается биометрия, станет еще проще, но не менее безопасней.
Tzimie Автор
30.11.2018 12:43«В современных реалиях подход должен быть в корне другой» — вот про это я и пишу, мне кажется в будущем все сильно упроститься, а сейчас самое темное время перед рассветом…
rzerda
Тут мне показалось, что Вы веруете в защиту периметра как единственное средство сетевой безопасности. Но ведь это, в некотором роде, ретроградство?
Tzimie Автор
Это скорее из-за особенности работы аппликаций (отсутствие веб морд)'у нас до сих.пор существует нечто вроде периметра. А как у вас?
rzerda
Периметр есть и у нас, но и сервисов публичных порядочно. И жизнерадостные любители ARP spoof-а тоже заглядывали, так что одного периметра маловато.
Я в этом месте всегда завидую Google, у них доверие в аппаратуре находится, и через то серверы могут прямо подключенными в интернет работать, а не только лишь в уютных внутренних сетях.