Итак, я присоединился к новой команде, которая разрабатывает и управляет услугами, доступными в Интернете. Он нацелен на использование B2B, а не на потребителя, хотя любой может зарегистрироваться для низкоуровневой учетной записи, чтобы проверить это (вы ничего не получите, если разработчики ваших потенциальных клиентов не смогут сыграть до того, как костюмы подпишут сделку! ).
Я недавно, к своему удивлению, узнал, что некоторые вещи, которые, как я ожидал, будут обслуживаться через HTTPS строго контролируемому набору клиентских сертификатов, вместо этого проходят через открытый HTTP без какой-либо аутентификации. Такие вещи, как хранилище ключей / значений Consul, в котором некоторые значения являются паролями, или частный реестр Docker, в котором некоторые изображения содержат закрытые ключи (в настоящее время идет проект по удалению ключей из образов и их внедрению во время выполнения, но старые образы все еще находятся в реестре, и я бы не хотел делать ставку на то, что ключи были изменены). Возможно, есть другие службы в аналогичном положении, которых я еще не нашел.
Коллега, которого я спросил об этом, согласился, что это не идеально, но его не волновало, потому что эти службы доступны только в частной сети в центре обработки данных (размещенном третьей стороной). Они не (если все работает правильно) не маршрутизируются из Интернета, слава богу. Тем не менее, это кажется большим доверием к конфигурации сетевой маршрутизации, не говоря уже о том, что если один из серверов действительно будет скомпрометирован, его доступ к внутренней сети означает, что остальные сидящие утки.
Это моя первая работа с публичной службой, до сих пор я работал в мире «термоусадочной упаковки», где мы продаем программное обеспечение, а наши клиенты устанавливают и запускают его. Так что я не чувствую, насколько это плохо. Я собираюсь поднять его и попытаться исправить, но я хотел запустить его сообществом с большим опытом работы с производственными сервисами, чтобы откалибровать, насколько громко я должен кричать. Это действительно ужасно, и мы должны все бросить, пока это не будет исправлено, или это плохо, но на самом деле это не так уж редко?
Публикация в качестве гостя, так как я не хочу давать никаких подсказок, чья это служба :)
Я не думаю, что это большая проблема с одним предостережение: при условии, что сеть, соединяющая частные серверы (виртуальный или физический) переключается, это не проблема.
Моя обычная мантра гласит, что безопасности не бывает. абстрактно, только угрозы и ответы на них, уместные и другие. Так какова ваша модель угроз? Злоумышленник взламывает сервер с выходом в Интернет; что он теперь может делать?
SSL (включая HTTPS) на проводе предоставляет две услуги: шифрование и аутентификацию. Шифрование не обеспечивает защиты от этой модели угроз: при условии, что внутренняя сеть переключена, злоумышленник может видеть только трафик, идущий на взломанный сервер и исходящий от него. Поскольку это конечная точка SSL, он сможет читать весь этот трафик. тем не мение. Аутентификация дает небольшое преимущество, но это только след: даже если они не использовали обычные самозаверяющие сертификаты (которые имеют тенденцию к потере аутентификации), вы можете быть вполне уверены, что действительно разговариваете с внутренними серверами, потому что вы контролируете внутреннюю сеть, а модель угроз не определяет проникновение в сетевую инфраструктуру.
Короче: вы пишете это "если один из серверов все же будет скомпрометирован, его доступ к внутренней сети означает, что остальные сидят утки". Это верно, но это не менее верно только потому, что внутренние перекрестные помехи зашифрованы.
Когда вы комментируете Райану выше "доступ из офиса к размещенной частной локальной сети осуществляется через VPN, а операции с производственной службой выполняются с выделенных ноутбуков Linux, а не с основных машин разработчиков.", Я вижу компанию, которая на самом деле мышление о моделях угроз и ответных мерах, вместо того, чтобы размахивать криптовалютой, как своего рода блестящим одеялом безопасности, и предполагать, что теперь они в безопасности, потому что крипто. Это звучит, как они работают, чтобы обеспечить биты, выгоды от безопасности, и не потеют биты, которые не делают.
У меня был долгий разговор об этом с моим другом. Все сводится к тому, что вы делаете, и как выглядит ваша сеть.
В общем: это плохо.
Криптография с годами стала намного проще в реализации, поэтому не должно быть слишком много оправданий, чтобы ее не реализовать.
Это действительно зависит от того, что происходит по вашему проводу. Должна ли эта информация быть конфиденциальной / подтвержденной? Помните, что хотя пункт назначения может не иметь доступа к Интернету, ваша машина может. Технически, если кто-то подключится к вашей машине или любому устройству маршрутизации / коммутации между вами и пунктом назначения, ваши данные будут скомпрометированы. Вы всегда должны предполагать, что если ваша машина может подключиться к Интернету, то кто-то там может иметь всю имеющуюся у вас мощность. Тот факт, что Интернет не может напрямую подключиться к вашей частной локальной сети, не означает, что он не может получить доступ к нему через компрометацию вашей машины.
Это без труда дискуссионная тема, но, как правило, отсутствие шифрования снижает вашу безопасность. Если вы можете это сделать, сделайте это. Я согласен с тем, что ваша ситуация представляет собой довольно минимальный риск, но все же - просто сделайте это!