Embed Size (px)
Citation preview
Хайлоад и безопасность в мире DevOps: совместимы ли?
Юрий Колесовhttp://[email protected]+7 (926) 55-99-824https://www.facebook.com/yuri.v.kolesov
Риски
Риски● Взлом
Риски● Взлом
● Конфликт учредителей
Риски● Взлом
● Конфликт учредителей
● Проблемы с доменом
Риски● Взлом
● Конфликт учредителей
● Проблемы с доменом
Выводы
Риски● Взлом
● Конфликт учредителей
● Проблемы с доменом
Выводы
● Знайте свои активы, составьте их список, переоценивайте их
Риски● Взлом
● Конфликт учредителей
● Проблемы с доменом
Выводы
● Знайте свои активы, составьте их список, переоценивайте их
● Используйте 2FA
Риски● Взлом
● Конфликт учредителей
● Проблемы с доменом
Выводы
● Знайте свои активы, составьте их список, переоценивайте их
● Используйте 2FA
● Ограничивайте функционал API
Риски● Взлом
● Конфликт учредителей
● Проблемы с доменом
Выводы
● Знайте свои активы, составьте их список, переоценивайте их
● Используйте 2FA
● Ограничивайте функционал API
● Ограничивайте возможность деструктивных действий
Риски
● Изъятие серверов
Риски
● Изъятие серверов
● Банкротство хостера
Риски
● Изъятие серверов
● Банкротство хостера
● Катастрофа в ДЦ
Риски
● Изъятие серверов
● Банкротство хостера
● Катастрофа в ДЦ
● Взлом инфраструктуры хостера
Риски
● Изъятие серверов
● Банкротство хостера
● Катастрофа в ДЦ
● Взлом инфраструктуры хостера
Выводы
● Не держите все данные в одном ДЦ
Риски
● Изъятие серверов
● Банкротство хостера
● Катастрофа в ДЦ
● Взлом инфраструктуры хостера
Выводы
● Не держите все данные в одном ДЦ
● Не держите все данные на одном аккаунте
Риски
● Изъятие серверов
● Банкротство хостера
● Катастрофа в ДЦ
● Взлом инфраструктуры хостера
Выводы
● Не держите все данные в одном ДЦ
● Не держите все данные на одном аккаунте
● Не держите все данные в одной стране
Риски
● DDoS
Риски
● DDoS
Выводы
● Нужен сервис защиты
Риски
● Нелегальный контент
Риски
● Репутационные риски
Риски
● Репутационные риски
Выводы
● Береги честь смолоду
HighLoad?!
HighLoad?!
● Накладно логгить
HighLoad?!
● Накладно логгить
● Долго грепать
HighLoad?!
● Накладно логгить
● Долго грепать
● Сложно коррелировать
HighLoad?!
● Накладно логгить
● Долго грепать
● Сложно коррелировать
● SIEM дорого
HighLoad?!
● Накладно логгить
● Долго грепать
● Сложно коррелировать
● SIEM дорого
● Безопасники не понимают бардака многообразия технологий
Bare metal
Bare metal
● (-) проще изъять или украсть
Bare metal
● (-) проще изъять или украсть
● (-) можно вытащить диск из массива и утянуть ваши данные
Bare metal
● (-) проще изъять или украсть
● (-) можно вытащить диск из массива и утянуть ваши данные
● (+) можно физически отключить мгновенно в случае проблем
Bare metal
● (-) проще изъять или украсть
● (-) можно вытащить диск из массива и утянуть ваши данные
● (+) можно физически отключить мгновенно в случае проблем
● (+) взлом панели дает доступ к консоли, а там пароль
Cloud
Cloud
● (-) взлом панели/API — потеря машин
Cloud
● (-) взлом панели/API — потеря машин
● (-) штатные средства снапшотов — можно утянуть машину целиком
Cloud
● (-) взлом панели/API — потеря машин
● (-) штатные средства снапшотов — можно утянуть машину целиком
● (-) метод решения проблем — создать новый контейнер
Cloud
● (-) взлом панели/API — потеря машин
● (-) штатные средства снапшотов — можно утянуть машину целиком
● (-) метод решения проблем — создать новый контейнер
● (-) выход за пределы виртуальной машины
Container
Container
● (-) Мучительно долго пересобирать и перераскатывать
Container
● (-) Мучительно долго пересобирать и перераскатывать
● (-) Нет устоявшихся подходов
Container
● (-) Мучительно долго пересобирать и перераскатывать
● (-) Нет устоявшихся подходов
● (-) dockerhub
DevOps и взаимодействие
DevOps и взаимодействие
● Не тестируется автоматизация
DevOps и взаимодействие
● Не тестируется автоматизация
● Секреты в репозитории
DevOps и взаимодействие
● Не тестируется автоматизация
● Секреты в репозитории
● Неперсонализированные учетные записи
DevOps и взаимодействие
● Не тестируется автоматизация
● Секреты в репозитории
● Неперсонализированные учетные записи
● Отсутствие парольной политики
DevOps и взаимодействие
● Не тестируется автоматизация
● Секреты в репозитории
● Неперсонализированные учетные записи
● Отсутствие парольной политики
● Передача паролей и ключей через месcенжеры или почту
DevOps и взаимодействие
● Не тестируется автоматизация
● Секреты в репозитории
● Неперсонализированные учетные записи
● Отсутствие парольной политики
● Передача паролей и ключей через месcенжеры или почту
● Не защищается dev/testing/staging
Выводы
Выводы
● Знайте и защищайте свои активы
Выводы
● Знайте и защищайте свои активы
● Переоценивайте риски по мере роста проекта
Выводы
● Знайте и защищайте свои активы
● Переоценивайте риски по мере роста проекта
● Защищайте dev, testing, staging так же как и продакшн
Выводы
● Знайте и защищайте свои активы
● Переоценивайте риски по мере роста проекта
● Защищайте dev, testing, staging так же как и продакшн
● Тестируйте автоматизацию
Выводы
● Знайте и защищайте свои активы
● Переоценивайте риски по мере роста проекта
● Защищайте dev, testing, staging так же как и продакшн
● Тестируйте автоматизацию
● Берегите секреты
Выводы
● Знайте и защищайте свои активы
● Переоценивайте риски по мере роста проекта
● Защищайте dev, testing, staging так же как и продакшн
● Тестируйте автоматизацию
● Берегите секреты
● Обновляйтесь
Выводы
● Знайте и защищайте свои активы
● Переоценивайте риски по мере роста проекта
● Защищайте dev, testing, staging так же как и продакшн
● Тестируйте автоматизацию
● Берегите секреты
● Обновляйтесь
● Займитесь безопасностью
Вопросы?
Юрий Колесов
http://security-gu.ru
+7 (926) 55-99-824
https://www.facebook.com/yuri.v.kolesov
