因此,我加入了一個新團隊,該團隊開發並運營互聯網上提供的服務。它的目標是 B2B 使用而不是消費者,儘管任何人都可以註冊一個低級帳戶來查看它(如果你的潛在客戶的開發人員不能在雙方簽署協議之前玩一玩,那麼你就一事無成! )。
令我驚訝的是,我最近了解到,我希望透過 HTTPS 向一組嚴格控制的客戶端憑證提供的某些內容,現在卻透過開放 HTTP 進行,無需任何類型的身份驗證。像 Consul 鍵/值存儲這樣的東西,其中一些值是密碼,或者 Docker 私有註冊表,其中一些映像包含私鑰(有一個項目正在進行中,可以從映像中刪除密鑰並在運行時注入它們,但舊圖像仍然在註冊表中,我不想打賭密鑰已更改)。可能還有其他類似的服務,但我還沒找到。
我詢問此事的同事同意這並不理想,但相當不關心,因為這些服務僅暴露在(第三方託管)資料中心內的專用網路上。感謝上帝,它們(如果一切正常的話)無法透過網路進行路由。儘管如此,這似乎對網路路由配置給予了很大的信任,更不用說如果其中一台伺服器確實受到損害,它對內部網路的存取意味著其餘伺服器都是坐鴨子。
這是我第一次從事公共服務工作,到目前為止,我一直在「收縮包裝」世界中工作,我們銷售軟體,但我們的客戶安裝並運行它。所以我不知道這有多糟糕。我將提出它並嘗試修復它,但我希望由一個擁有更多運行生產服務經驗的社區來運行它,以便校準我應該喊叫的聲音。這真的很糟糕嗎?
作為訪客發帖,因為我不想提供任何有關這是誰的服務的線索:)
答案1
我不認為這有什麼大問題,只要警告:提供連接私有伺服器的網絡(無論是虛擬的還是實體的)已切換,這不是什麼大問題。
我一貫的口頭禪是沒有安全這回事在抽像中,只有威脅和相應的反應,適當的或其他的。那你的威脅模型是什麼?攻擊者破壞了面向網路的伺服器;他現在可以做什麼?
SSL(包括 HTTPS)在網路上提供兩種服務:加密和驗證。加密無法針對此威脅模型提供保護:只要後端網路已切換,攻擊者就只能看到進出受感染伺服器的流量。由於那是 SSL 端點,因此他能夠讀取所有流量反正。身份驗證提供了一點好處,但這只是痕跡:即使他們沒有使用通常的自簽名證書(這往往會破壞身份驗證),您也可以相當有信心您確實在與後端服務器對話,因為您控制內部網絡,且威脅模型沒有指定網路基礎設施的滲透。
簡而言之:你寫的是“如果其中一台伺服器確實受到威脅,它對內部網路的存取意味著其餘伺服器都將陷入困境「。 這是真實的,但這同樣正確,因為內部串擾是加密的。
當你在上面對 Ryan 發表評論時“從辦公室到託管專用 LAN 的存取是透過 VPN 進行的,生產服務的操作是透過專用的 Linux 筆記型電腦而不是開發人員的主機完成的“,我看到一家公司實際上是思維關於威脅模型和回應,而不是像某種閃亮的安全毯一樣揮舞加密貨幣,並假設它們現在是安全的,因為加密貨幣。聽起來他們努力保護那些受益於安全性的部分,而不擔心那些不利於安全的部分。
答案2
我和我的一個朋友就這個問題進行了長時間的交談。這歸結為你正在做什麼以及你的網路是什麼樣的。
一般來說:這很糟糕。
多年來,密碼學的實施變得更加簡單,因此確實沒有太多藉口不實施它。
不過,這實際上取決於您的電線上的情況。該資訊是否需要保密/驗證?請記住,雖然目的地可能無法路由到 Internet,但您的電腦可以。從技術上講,如果有人竊聽您的機器或您和目的地之間的任何路由/交換設備,您的資料就會受到損害。您應該始終假設,如果您的電腦可以存取互聯網,那麼那裡的人就可以擁有您擁有的所有權力。僅僅因為網路無法直接到達您的專用 LAN,並不意味著它無法透過損害您的電腦來到達它。
這是一容易地這是一個有爭議的話題,但通常不加密會降低您的安全狀況。如果你能做到,那就去做吧。我同意你的情況風險很小,但仍然 - 去做吧!