IA
Ну так проще сразу все данные в открытый доступ выложить )
пэйпал вроде на амазоне
Size: a a a
2020 November 07
PD
Igor A
пэйпал вроде на амазоне
На EKS?
D
Ну, там нужно не просто шифрование базы (с него толку мало), а сложные политики доступа к этим ключам (они не должны быть в доступе у одного сотрудника, нужен или HSM или шамир, но все это сильно усложняет деплой и делает невозможной автоматизацию).
ага, я делал POC где менял пароли на всех серверах и БД, чтобы залочить энв, потом шифровал их и рассылал куски ключа нескольким менеджерам😁
В прод не пошло)) Не помню какую процедуру они выбрали в итоге
В прод не пошло)) Не помню какую процедуру они выбрали в итоге
PD
Ну, там самое лучшее решение, что я знаю - это одноразовые boxes в Hashicorp Vault.
PD
Но там все равно есть проблема с защитой каналов передачи, увы. Без нормального решения.
D
В каком плане? Мы не доверяем TLS?
PD
В каком плане? Мы не доверяем TLS?
А как ты спрячешь сертификат от админа? А если сертификат известен, то можно сниффать трафик
PD
Там есть хитрые оргрешения, но все это коряво и неудобно..
D
ну это я писал уже. Чистая комната с камерами и записью экрана. Доступ на сервера и админский аккаунт облака только с выделенного айпишника комнаты
D
в прицнипе как у ДБА в банках) В облаках не меньше геморроя чем в на железе
PD
Ну, да, но дорого очень (
D
А как ты спрячешь сертификат от админа? А если сертификат известен, то можно сниффать трафик
если есть рут права, то и сертификат не нужен, можно просто память читать)
D
Ну, да, но дорого очень (
ну в этом конкретном сервисе к счастью мягкие требования к RTO/RPO, так что этим цена сглаживается
PD
если есть рут права, то и сертификат не нужен, можно просто память читать)
Ну, сертификат прочитать рутовых не нужно, достаточно на чтение конкретной аппки
PD
ну в этом конкретном сервисе к счастью мягкие требования к RTO/RPO, так что этим цена сглаживается
Ну, вот поэтому я всегда очень аккуратно режу сервисы по уровню безопасности. Реально PCI DSS нужен для маленького кусочка системы (но так мало кто делает почему-то).
AT
Nikolay
А кто из зарубежных банков на Амазон ?
PD
Al T
Ну вот хороший пример, там есть Монзо, но оно только про хостинг (EC2/EBS/S3)
А EKS я там вообще ни у кого не увидел.
А EKS я там вообще ни у кого не увидел.
PD
Самый большой набор технологий у coinbase, но это крипта, там безопасность обычно никого не волнует
AT
Кейс стади вещь быстро устаревающая. Но это ж ничего не меняет по сути если managed service сертифицирован то почему нет
PD
Ну, тем, что непонятно, что такое сертифицирован. Так как контейнер не защищён от рута. И вменяемый аудит это знает.