VDIマシンのUSBデータストレージプロファイルを閉じたが、USBハブプロファイルを閉じなかった、つまりUSBハブを接続してからUSBフラッシュドライブを接続することができた会社を観察する機会がありました。 ところで、そこのコンピューターは感染していました。 それにもかかわらず、それは決して夢ではありませんが、警備員の心の活発な覚醒は穴を修正することを目的としておらず、モンスターを生み続けています。 これらのモンスターの1つは呼ばれます
保存時のデータ暗号化
さて、ストレージシステムがディスクに書き込むときにこれを行うと、CPUの少額の支払い、それだけです。 暗号化がより高いレベルで行われる場合、さらに悪いことに、この暗号化はより低いレベルで重複排除を中止します。 たとえば、ドライブ自体のデータを暗号化し、そのようなドライブのみを認証したり、仮想マシンドライブの暗号化を要求したりするなど、第3レベルを強制されても驚くことはありません。 3つのフォイルキャップは1つよりも優れています!
しかし、どのような人生のシナリオを防ごうとしているのか教えてください。 邪悪なハッカーがデータセンターに忍び込み、ディスクと作業中のNetAppを盗み、データストライピングの混乱を手に入れました。 これをどう思いますか? 私がいたデータセンターには、ラム車と装甲車からの具体的な衝突さえありました。
写真の左下隅にワイヤーカッターのあるハッカーがいますか? 私も見ません
もちろん、使用済みのディスクは破棄できず、破棄するだけです。 これは標準のようなものであり、この
AWS
SQL Server Express EditionのRDSは暗号化をサポートしていないため、少なくともStandard EditionのN倍の費用が必要です。 そして、なぜ-偽のデータを持つテストテーブルしかないのですか? したがって、! なぜならポリシー。 送られます
議論されていません。 その結果、AWSをDEVに使用することは実用的ではありませんでした。
一般的に、AWSは悲しいです。 人は、AWSインターフェイスを数回クリックするだけでインフラストラクチャを作成できること、彼の手がマウスに手を伸ばす方法を見ますが、叫び声は次のとおりです。
-Terraformを介してのみすべてを作成します!
-さて、ファイルを作成させてください...
-ええ、いや、ここにDevOpsチームがあり、そこにたくさんの変数があると判断しました。すべてがトリッキーです。あなたはそれをしません。
「しかし、いつ準備ができますか?」
「もちろんです。」 すべてはジェンキンスの仕事を通してのみ実行されます
-どこですか?
「とにかくそこに行くことはできません。」 EC2を作成するときは、インベントリコード、プロジェクトコード、会計用の会計コードを正しく指定する必要があります。これらすべてを知らない、邪魔しない、特別な人がいます。
その結果、DevOpsの開発により、開発者はOpsからますます離れています。
ネットワーク
ネット上では、暗号化も好きです。 もちろん、オフィス間のトンネルは暗号化されています。 暗号化されたチャネル、暗号化された接続、あらゆる種類のhttpsの内部。 しかし、明日は集会-他のものは暗号化されます! 彼らは十分ではありません...
繰り返しますが、ハッキングをどのように想像しますか? こんな感じ?
私はこの写真だけを見つけましたが、別のものを探していました。 私が子供の頃に見た戦争映画で、軍のintelligence報員が針に針を刺し、ヘッドフォンを通して敵の会話を盗聴しました。 何らかの理由で、夜、吹雪、すべてが白黒です。 しかし、真剣に、暗号化されたトンネルは、大量のパケットから故障への混乱です、あなたはそれで何をしますか? 春と同じ?
パスワードとアクセス
そうそう、それは素晴らしいトピックです。 定期的なパスワード変更が悪であると彼らがどのように書いても、物事はまだそこにあります。 そして、どのように12(はい、12!)が好きですか?異なる長さ、異なるエージングタイム、および複雑さに関する互換性のないルールのパスワードを持つ異なるドメインアカウント?
このようないくつかのサーバーに突破する必要があります。1つのアカウントでターミナル(ジャンプ)サーバーに移動し、そこからRDPを別のアカウントにジャンプし、別のアカウントでジャンプします。 ダイビングの各レベルで、再描画の速度が低下し、ウィンドウサイズが小さくなることがよくあります。このチェーン全体では、パスワードの再入力が必要になります(コピー/貼り付けは禁止されています)。 」
私は、タイムアウトやコピー&ペーストの欠如など、これらすべてが単に不便にするために行われているのではないかと強く疑っています。 純粋な悪。 すべてのDBAが運用サーバーに到達するわけではありません。 しかし、事態は常に悪化する可能性があり、ゼロタッチ生産のための何らかのシステムを既に導入していると言われていますが、これは桁違いに不便です。
監査役
もちろん、これらの対策のすべてが純粋な悪ではなく、監査人向けの「タイムテスト済み」(パスワード要件など)ソリューションであることがよくあります。 同時に、「聞かない-言わない」というよく知られている原則が実装されています。従業員の80%がパスワードを保存する方法を推測できます。 しかし、私たちは皆それを言って、規則を定め、書類に署名し、誰かがモニターに紙を貼り付けたなら、これは私たちのせいではありません。
それにもかかわらず、この理解にもかかわらず、私は恐怖でメールを開きます-あなたは彼らのお気に入りの「硬化」に関する別の手紙に出くわすことができます-「ネジを締める」と何が悪化するのだろうとロシア語の翻訳。 これは私の人生で十分ではないと思うかもしれません! セキュリティへの懸念は長い間パラノイアに成長したようです。 時には本物、時には偽物-監査人のために。 ジョン・ザ・パシフィックがかつて捨てられた惑星への13回目の旅を思い出します。それは浸水し、その後海に変わり、誰もがdr死するまで誰も止められませんでした...
コメントさせていただきます。