そこで私は、インターネットで利用できるサービスを開発および運用する新しいチームに参加しました。このサービスは消費者向けではなく B2B 向けですが、誰でも低レベルのアカウントにサインアップして試用することができます (上層部が契約に署名する前に、潜在顧客の開発者が試用できなければ、何も進みません)。
最近、驚いたことに、厳重に管理されたクライアント証明書セットに HTTPS 経由で提供されるはずだったものが、認証なしでオープン HTTP 経由で提供されていたことがわかりました。たとえば、一部の値がパスワードである Consul キー/値ストアや、一部のイメージに秘密鍵が含まれている Docker プライベート レジストリなどです (イメージから鍵を削除して実行時に挿入するプロジェクトが進行中ですが、古いイメージがレジストリに残っているため、鍵が変更されているとは考えられません)。おそらく、私がまだ見つけていない、同様の状況にあるサービスが他にもあるでしょう。
これについて尋ねた同僚は、理想的ではないことに同意しましたが、これらのサービスは (サードパーティがホストする) データセンター内のプライベート ネットワークでのみ公開されるため、あまり心配していませんでした。ありがたいことに、(すべてが正常に動作していれば) インターネットからルーティングすることはできません。それでも、ネットワーク ルーティング構成にかなりの信頼を置く必要があるように思われます。言うまでもなく、サーバーの 1 つが侵害された場合、そのサーバーが内部ネットワークにアクセスできるため、残りのサーバーは標的になります。
これは私が初めてパブリック サービスを運営する仕事です。これまでは、ソフトウェアを販売し、顧客がインストールして実行する「シュリンクラップ」の世界で働いてきました。そのため、これがどれだけひどいことなのか、よくわかりません。この問題を提起して修正してもらおうとしていますが、プロダクション サービスの実行経験が豊富なコミュニティに報告して、どの程度大きな声で叫ぶべきか判断してもらいたいと思いました。これは本当にひどい問題で、修正されるまですべてを中止すべきでしょうか。それとも、良くないかもしれませんが、実際にはそれほど珍しいことではないのでしょうか。
誰のサービスなのかヒントを与えたくないので、ゲストとして投稿します :)
答え1
これはあまり問題ではないと思います。警告:プライベートサーバーを接続するネットワークを提供する(仮想か物理かを問わず)切り替えられる、これは大した問題ではありません。
私のいつものマントラは、セキュリティというものは存在しないということだ要約すると、脅威とそれに対する対応(適切かどうかは別として)のみ。では、脅威モデルは何でしょうか? 攻撃者がインターネットに接続されたサーバーを侵害した場合、攻撃者は何ができるでしょうか?
SSL(HTTPSを含む)は、暗号化と認証という2つのサービスを提供します。暗号化では、この脅威モデルに対する保護は提供されません。バックエンドネットワークが切り替えられている場合、攻撃者は侵入したサーバーとの間のトラフィックしか見ることができません。これはSSLエンドポイントであるため、攻撃者はそのトラフィックをすべて読み取ることができます。ともかく認証にはわずかな利点がありますが、それは痕跡にすぎません。通常の自己署名証明書 (認証を無効にする傾向がある) を使用していない場合でも、内部ネットワークを制御しており、脅威モデルではネットワーク インフラストラクチャへの侵入が指定されていないため、実際にバックエンド サーバーと通信していることをかなり確信できます。
要するに、「サーバーの1つが侵害された場合、そのサーバーが内部ネットワークにアクセスできるため、残りのサーバーは標的になる可能性がある。"。 これは本当です、しかし、内部クロストークが暗号化されているからといって、それは真実ではない。。
ライアンに上記のコメントをすると、「オフィスからホストされたプライベートLANへのアクセスはVPN経由で行われ、本番サービスでの操作は開発者のメインマシンではなく専用のLinuxラップトップから行われます。「私は実際に考え脅威モデルと対応についてではなく、暗号を光り輝くセキュリティ ブランケットのように振り回して、暗号があるから安全だと思い込むのではなく。セキュリティの恩恵を受ける部分を保護することに熱心に取り組んでおり、恩恵を受けない部分については気にしていないようです。
答え2
私は友人とこの件について長い話し合いをしました。結局のところ、それはあなたが何をしているか、そしてあなたのネットワークがどのようなものかということに尽きます。
一般的に:それは悪いです。
暗号化は長年にわたって実装がはるかに簡単になってきたため、暗号化を実装しない言い訳はあまりないはずです。
ただし、実際に回線上で何が行われているかによって異なります。その情報は機密/認証されている必要がありますか? 宛先がインターネットにルーティングできない場合でも、マシンはルーティングできることに注意してください。技術的には、誰かがマシンまたは宛先とマシン間のルーティング/スイッチング デバイスを盗聴した場合、データが危険にさらされます。マシンがインターネットにアクセスできる場合、外部の誰かがあなたが持っているすべてのパワーを所有している可能性があると常に想定する必要があります。インターネットがプライベート LAN に直接アクセスできないからといって、マシンを危険にさらしてアクセスできないわけではありません。
これは簡単に議論の余地はありますが、一般的に暗号化を行わないとセキュリティ体制が低下します。暗号化できる場合は、暗号化を行ってください。あなたの状況ではリスクが最小限であることには同意しますが、それでも暗号化を行ってください。