Also habe ich mich einem neuen Team angeschlossen, das einen im Internet verfügbaren Dienst entwickelt und betreibt. Er ist eher für B2B- als für Verbraucher gedacht, obwohl sich jeder mit einem Low-Level-Konto anmelden kann, um ihn auszuprobieren (Sie kommen nicht weiter, wenn die Entwickler Ihrer potenziellen Kunden ihn nicht ausprobieren können, bevor die Anzugträger einen Vertrag unterzeichnen!).
Ich habe kürzlich zu meiner Überraschung erfahren, dass einige Dinge, von denen ich erwarten würde, dass sie über HTTPS an einen streng kontrollierten Satz von Client-Zertifikaten gesendet werden, stattdessen über offenes HTTP ohne jegliche Authentifizierung laufen. Dinge wie ein Consul-Schlüssel/Wert-Speicher, in dem einige der Werte Passwörter sind, oder ein privates Docker-Register, in dem einige der Bilder private Schlüssel enthalten (es läuft ein Projekt, um Schlüssel aus den Bildern zu entfernen und sie zur Laufzeit einzufügen, aber die alten Bilder sind noch im Register und ich möchte nicht darauf wetten, dass die Schlüssel geändert wurden). Es gibt wahrscheinlich andere Dienste in einer ähnlichen Position, die ich noch nicht gefunden habe.
Der Kollege, den ich danach fragte, stimmte zu, dass es nicht ideal sei, war aber ziemlich unbesorgt, da diese Dienste nur im privaten Netzwerk innerhalb des (von Dritten gehosteten) Rechenzentrums verfügbar sind. Sie sind (wenn alles richtig funktioniert) Gott sei Dank nicht über das Internet routbar. Trotzdem scheint das viel Vertrauen in die Netzwerkrouting-Konfiguration zu sein, ganz zu schweigen davon, dass, wenn einer der Server kompromittiert wird, sein Zugriff auf das interne Netzwerk bedeutet, dass der Rest leichte Beute ist.
Dies ist mein erster Job als Betreiber eines öffentlichen Dienstes. Bisher habe ich in der „Shrinkwrap“-Welt gearbeitet, in der wir Software verkaufen, diese aber von unseren Kunden installiert und ausgeführt wird. Ich habe also kein Gefühl dafür, wie schlimm das ist. Ich werde es ansprechen und versuchen, es beheben zu lassen, aber ich wollte es einer Community vorlegen, die mehr Erfahrung mit dem Betrieb von Produktionsdiensten hat, um abzuschätzen, wie laut ich schreien sollte. Ist das wirklich so schlimm und wir sollten alles stehen und liegen lassen, bis es behoben ist, oder ist es nicht gut, aber in Wirklichkeit nicht so ungewöhnlich?
Ich poste als Gast, da ich keine Hinweise darauf geben möchte, wessen Dienst dies ist :)
Antwort1
Ich glaube nicht, dass das ein großes Problem ist, mit einemVorbehalt:Bereitstellung des Netzwerks, das die privaten Server verbindet(ob virtuell oder physisch)ist geschaltet, das ist kein großes Problem.
Mein übliches Mantra ist, dass es so etwas wie Sicherheit nicht gibtin der Zusammenfassung, nur Bedrohungen und Reaktionen darauf, angemessen und anderweitig. Wie sieht also Ihr Bedrohungsmodell aus? Ein Angreifer kompromittiert den mit dem Internet verbundenen Server. Was kann er nun tun?
SSL (einschließlich HTTPS) im Netzwerk bietet zwei Dienste: Verschlüsselung und Authentifizierung. Verschlüsselung bietet keinen Schutz vor diesem Bedrohungsmodell: Sofern das Back-End-Netzwerk umgeschaltet ist, kann der Angreifer nur den Datenverkehr zum und vom kompromittierten Server sehen. Da es sich dabei um einen SSL-Endpunkt handelt, könnte er den gesamten Datenverkehr lesen.Trotzdem. Die Authentifizierung bietet einen kleinen Vorteil, aber nur einen kleinen: Selbst wenn nicht die üblichen selbstsignierten Zertifikate verwendet werden (die die Authentifizierung tendenziell untergraben), können Sie ziemlich sicher sein, dass Sie wirklich mit den Back-End-Servern kommunizieren, weil Sie das interne Netzwerk kontrollieren und das Bedrohungsmodell kein Eindringen in die Netzwerkinfrastruktur vorsieht.
Kurz gesagt: Sie schreiben, dass „Wenn einer der Server kompromittiert wird, bedeutet sein Zugriff auf das interne Netzwerk, dass der Rest leichte Beute ist". Das ist wahr,aber es ist nicht weniger wahr, nur weil das interne Übersprechen verschlüsselt ist.
Wenn Sie Ryan oben sagen: „Der Zugriff vom Büro auf das gehostete private LAN erfolgt über ein VPN, und Vorgänge am Produktionsdienst werden von dedizierten Linux-Laptops und nicht von den Hauptcomputern der Entwickler aus durchgeführt.", sehe ich ein Unternehmen, das eigentlichDenkenüber Bedrohungsmodelle und Reaktionen, anstatt Krypto wie eine Art glänzende Sicherheitsdecke herumzuwedeln und anzunehmen, dass sie jetzt sicher sind, weil Krypto. Es klingt, als würden sie hart daran arbeiten, die Teile zu schützen, die von der Sicherheit profitieren, und sich keine Sorgen um die Teile machen, die davon nicht profitieren.
Antwort2
Ich habe mit einem Freund lange darüber gesprochen. Es läuft darauf hinaus, was Sie tun und wie Ihr Netzwerk aussieht.
Generell: Es ist schlecht.
Die Implementierung der Kryptografie ist im Laufe der Jahre wesentlich einfacher geworden, es gibt also eigentlich nicht viele Ausreden, sie nicht zu implementieren.
Es kommt wirklich darauf an, was über Ihr Kabel läuft. Müssen diese Informationen vertraulich sein/authentifiziert werden? Denken Sie daran, dass Ihr Computer zwar möglicherweise nicht ins Internet routen kann, dies aber kann. Technisch gesehen sind Ihre Daten gefährdet, wenn jemand Ihren Computer oder ein Routing-/Switching-Gerät zwischen Ihnen und Ihrem Ziel abhört. Sie sollten immer davon ausgehen, dass jemand da draußen Ihre gesamte Macht haben könnte, wenn Ihr Computer auf das Internet zugreifen kann. Nur weil das Internet Ihr privates LAN nicht direkt erreichen kann, heißt das nicht, dass es nicht durch die Kompromittierung Ihres Computers dorthin gelangen kann.
Das ist einleichtdiskutables Thema, aber im Allgemeinen wird Ihre Sicherheit sinken, wenn Sie keine Verschlüsselung haben. Wenn Sie es tun können, dann tun Sie es. Ich stimme zu, dass Ihre Situation ein ziemlich geringes Risiko darstellt, aber trotzdem – tun Sie es einfach!