D
они даже сделали отдельную настройку поверх всех политик "запретить публичный доступ", чтобы всем понятно было
Size: a a a
2020 November 13
PD
Тем, что выстраивать безопасность в публичном облаке не проще, а даже сложнее. Только в этом
AT
По умолчанию бакеты всегда приватные
D
ага, так что это исключительно следствие кривых рук
AT
Тем у кого публичные были - рассылали емайлы
PD
Al T
По умолчанию бакеты всегда приватные
А как тогда может появится идея открыть на всех?
p
Тем, что выстраивать безопасность в публичном облаке не проще, а даже сложнее. Только в этом
Можно придумать защиту от дурака, но не от изобретательного
PD
Можно придумать защиту от дурака, но не от изобретательного
Чем сложнее системы, тем больше будет изобретательных дураков, увы (
PD
Но вообще я вот не понял, как аудит такую дырку пропустил ..
D
я в целом согласен, что в облаке выстраивать безопасность как минимум не легче, просто конкретно этот пример так себе. Это практически уровень кривизны admin:admin для публичного сервиса
AT
Если бакет был создан раньше 2017 или 2018 года то мог быть и публичным. Но это такая вещь да... а аудит да такое пропускать не должен был
PD
Но увы, самого интересного нам никто не расскажет. И аудитор не только под суд не уйдет, но даже нигде не будет мелькать в новостях
D
в амазоне кстати довольно дешевые сервисы есть, которые сами такое детектят и алерты генерят
D
да и не только в амазоне
PD
Хотя рекомендации по аудиту PCI DSS для публичных облаков может просто ещё не написаны. А аудиторам деньги тоже нужны.
p
Чем сложнее системы, тем больше будет изобретательных дураков, увы (
Тут нет никакой сложности, потому что она спрятана от пользователя
PD
Ну, S3 сложнее просто файловой полки. Сильно сложнее.
p
Ну, S3 сложнее просто файловой полки. Сильно сложнее.
В реализации или с точки зрения пользователя?
PD
С точки зрения пользователя, конечно.
p
Я же не просто так про Ржд-бонус написал. Это 1 в 1