| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 系统运维 -> 2021-09-02 -> 正文阅读 |
|
[系统运维]2021-09-02 |
你可能认为你有圆木。很可能,您只能在跟踪异常和调试时依赖它们。但你不能依赖他们的遵从,法医,或任何法律问题。作为一名工程师,这可能与你无关,但这是那些重要的非功能性要求之一,如果不满足, 因为我我显然有偏见,也有资格讨论日志(我之前描述过虽然它们只是安全方面的一部分,当然也不是很令人兴奋,但它们是重要的,特别是从法律的角度来看。这就是为什么许多标准和法律--包括ISO 27001,PCI-DSS,HIPAA,SOC 2,PSD 2,GDPR--都需要审计跟踪功能。而且他们中的大多数都有非常特殊的安全要求。 PCI-DSS有一堆与审计跟踪相关的要求:
ISO 27001附件A还谈到保护审计跟踪不受篡改
遗憾的是,根据我的经验,日志很少。然而,审计人员对此基本没有意见,并且给出了认证,即使日志可能会被篡改。我决定收集并列出典型的解决方案--安全、篡改明显/受篡改保护的审计日志。 https://www.douban.com/note/811237689/
这些方法是有效的,并且在遵从谱上处于非零点.对于不同的管理员来说,拥有四份数据副本比只 https://m.douban.com/mip/note/811237689/ 有一份好吗?是啊。使用本地TSA的时间戳比没有时间戳好吗?好的。使用外部服务比使用本地服务更安全吗?是。它们是否足以获得认证?显然是的。这是最好的办法吗?没有。你需要最好的吗?有时候是的。 这些措施大多是组织性的,而不是技术性的,组织措施比技术性措施更容易逆转或规避。我可能太多疑了,但当我是一个当涉及到安全问题时,我不得不疑神疑鬼。 我认为什么是不解决的办法?有大量的研究围绕篡改明显的测井,篡改明显的数据结构,默克尔树,哈希链。现在它应该已经成为主流了,但事实并非如此。我们显然已经决定了不太理想的程序(即使是在成本方面),我们对标准的解释也很松散,我们在寻找一种低挂的果实。对一些组织来说这很好。我想是吧。 某种良好做法要成为主流需要时间,而且必须是显而易见的。篡改-明显的伐木是不明显的。我们逐渐意识到如何正确地存储密码,使用TLS,多因素认证。但安全性很少是业务优先事项,正如关于安全投资的驱动因素的报告(主要是“遵从性”)所示。 作为一个实际的结论-如果你要满足于一个解决办法,至少选择一个更好的。没有审计跟踪或者没有采取任何措施保护它不被篡改应该是不可能的。 通过切换DNS记录指向以前“备用”组的负载均衡器。但在切换DNS之前,我检查了新发布的版本的日志,发现了一些奇怪的东西--Web框架(SpringMVC)中的持续HTTP错误,即某个端点不支持HTTP方法。 https://m.douban.com/mip/note/811141093/ 奇怪的是-我根本就没有这样的终点。我启用了进一步的日志记录,结果发现请求URL与我的域无关。备用组,还没有针对它的流量,收到的请求指向一个完全不同的领域,我没有拥有。 我给域名所有者和AWS发了条消息,告诉他们这个问题。域名所有者说,他们不知道这是什么,他们没有任何未使用或被遗忘的AWS资源。然而,AWS的答复如下:
我可以简单地忽略流量,但是如果我在这个角色中--在我的IP被释放之后,会发生什么,但是一些客户端(或者某个中间DNS解析器)缓存信息的时间比指示的要长。然后,对我的服务的请求,包括密码、API密钥等,将被转发给其他人。 在浏览器情况下,使用HTTPS可能会有所帮助,因为新负载均衡器的证书将与我的域不匹配,但如果其他工具不执行此验证或缓存它,则HTTPS不会有帮助,除非存在证书钉扎实现。 AWS说他们不能在负载均衡器上修复这个问题,但是实际上他们可以通过保持IP、所有者和主机头之间的映射来修复这个问题。这不会是微不足道的,但如果我的经验不是一个特殊的情况,这是值得探讨的。如果HTTPS解决了这个问题,它是否值得修复--可能不值得。 因此,这是经常使用HTTPS并在HTTP上连接时强制使用HTTPS的另一个原因。但也提醒您不要做聪明的客户端IP缓存(让DNS解析器处理),并始终验证服务器证书。 |
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/30 2:36:04- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |