AA
тоже агрумент)
Size: a a a
2019 February 26
AM
Мне казалось наоборот, всякие сайтики уносят в отдельную сеть чтобы из сети компании туда всякая вирусня не набежала.
смотря откуда у тебя угроза исходит😁 но кажется, что снаружи злодеев больше.
r
смотря откуда у тебя угроза исходит😁 но кажется, что снаружи злодеев больше.
Вот я про это же
AA
А что админы говорят?
AM
вообще проблема в том, что с точки зрения админов, им нужно будет что-то делать, драйвишь задачу ты, а делать им, как говорится у кого горит, тот пусть и делает
Предложи им инструмент (свой/готовый), с помощью которого они будут решать вопрос в два щелчка.... Это раз
Два... нужен честный пруф, пускай с допущениями, например занинием топологии сети без траты время на скуный скан, показывающий, что получив доступ к админке сайтика, ты можешь горизонтально переметится из dmz в офисную/продуктовую сеть.
Предложи им инструмент (свой/готовый), с помощью которого они будут решать вопрос в два щелчка.... Это раз
Два... нужен честный пруф, пускай с допущениями, например занинием топологии сети без траты время на скуный скан, показывающий, что получив доступ к админке сайтика, ты можешь горизонтально переметится из dmz в офисную/продуктовую сеть.
r
1. Админам это не очивидно, я усложняю жизнь
2. Инструмент - согласен, готовим готовый шаблон ACL
3. Был локальный пентест, он показал, что инфраструктруа изнутри уязвима.
4. По поводу PoC, я согласен, должно быть эффективно. Веб сервисы на контейнерах и это представляется всем как дополнительный уровень защиты (с чем я, в принципе, согласен). Полагаемся на то, что даже в случае взлома веб-сервиса, из контейнера в хостовую систему проникнуть затруднительно.
2. Инструмент - согласен, готовим готовый шаблон ACL
3. Был локальный пентест, он показал, что инфраструктруа изнутри уязвима.
4. По поводу PoC, я согласен, должно быть эффективно. Веб сервисы на контейнерах и это представляется всем как дополнительный уровень защиты (с чем я, в принципе, согласен). Полагаемся на то, что даже в случае взлома веб-сервиса, из контейнера в хостовую систему проникнуть затруднительно.
r
MM
1. Админам это не очивидно, я усложняю жизнь
2. Инструмент - согласен, готовим готовый шаблон ACL
3. Был локальный пентест, он показал, что инфраструктруа изнутри уязвима.
4. По поводу PoC, я согласен, должно быть эффективно. Веб сервисы на контейнерах и это представляется всем как дополнительный уровень защиты (с чем я, в принципе, согласен). Полагаемся на то, что даже в случае взлома веб-сервиса, из контейнера в хостовую систему проникнуть затруднительно.
2. Инструмент - согласен, готовим готовый шаблон ACL
3. Был локальный пентест, он показал, что инфраструктруа изнутри уязвима.
4. По поводу PoC, я согласен, должно быть эффективно. Веб сервисы на контейнерах и это представляется всем как дополнительный уровень защиты (с чем я, в принципе, согласен). Полагаемся на то, что даже в случае взлома веб-сервиса, из контейнера в хостовую систему проникнуть затруднительно.
А куда с контейнеров внутрь сети ходить можно? В джиру например)
А соседние контейнеры по сети видны?
Если облако, то что будет, если я Майнер в контейнере запущу? Denial of wallet есть защита?
Ещё на вентилятор.. как лежат секреты в контейнерах и каков механизм отзыва?
Есть ли на контейнерах секреты, с которыми они ходят в другие контейнеры?
Если нет dmz, то все эти вопросы безопасности касаются абсолютно всех сервисов. При наличии онной вопросов становится меньше. Покажи им ASVS чек-лист. Они готовы этот чек-лист по каждому сервису проверять, чтобы защищать приложения?)
А соседние контейнеры по сети видны?
Если облако, то что будет, если я Майнер в контейнере запущу? Denial of wallet есть защита?
Ещё на вентилятор.. как лежат секреты в контейнерах и каков механизм отзыва?
Есть ли на контейнерах секреты, с которыми они ходят в другие контейнеры?
Если нет dmz, то все эти вопросы безопасности касаются абсолютно всех сервисов. При наличии онной вопросов становится меньше. Покажи им ASVS чек-лист. Они готовы этот чек-лист по каждому сервису проверять, чтобы защищать приложения?)
MM
Если не готовы, то пускай лепят dmz. Иначе всевозможные вектора атак с бизнес влиянием на систему достаточно показать бизнесу и уже пускай он решает что делать
r
@httpnotonly
Спасибо, вот эти вопросы ппц актуальны:
> А куда с контейнеров внутрь сети ходить можно? В джиру например)
> А соседние контейнеры по сети видны?
Спасибо, вот эти вопросы ппц актуальны:
> А куда с контейнеров внутрь сети ходить можно? В джиру например)
> А соседние контейнеры по сети видны?
MM
Попробуйте Tuffin
MM
Для проверки сетевой достижимости
r
там демка какая-то появилась? я с содроганием о tufin securetrack вспоминаю - оч дорого было
С
Если пентест показал серьёзные проблемы, и с этим никто ничего не делает, то пациент скорее мертв, чем жив. На руководителей в таких случаях хорошо действует перенос ответсвенности: "Если завтра вас сломают через это, кто будет виноват?"
KS
у кого-нибудь были пентесты, которые не показали серьезных проблем? :)
r
@Renyare здесь вопросов нет, меры принимаются. Одна из дефолтных и проактивных мер, как мне всегда казалось, выделение критичных элементов инфраструктуры в выделенные подсети.
С
Да, но даже её надо обосновывать. Если ты приходишь и говоришь: есть способы атаковать нас такие-то, самым критичным в данный момент является вот этот, и от него (а впридачу ещё от вон тех трёх) можно защититься сегментацией, тогда гораздо больше вероятность, что тебя послушают.
N
Еще одно подтверждение того, что жизнь в приватных дц - ебаный пиздец
С
а за фаерволлом облака не тоже самое?
N
там всем можно нормально управлять без ноков и прочих