|
Az Internet egyre nagyobb és nagyobb része néhány nagy cég köré összpontosul, felhő-szolgáltatásaik segítségével olcsóbb, és ahogy korábban írtam, sok szempontból biztonságosabb rendszerhez jutnak.
Ahogy elmélyedtem a felhő-biztonság területében, egyre jobban megtetszett ez a világ, és végül a saját dolgaimat (például ezt a honlapot, de általában azt a környezetet, ahol különböző dolgokat kipróbálok, bütykölök) is felhőbe - végül többnyire a Google felhőjébe - vittem. A következőkben a szolgáltató-választással kapcsolatos tapasztalataimról írok. (Az irodai felhő-csomagokról /pl. Office365, GSuite/ majd később írok.)
Az Amazon/AWS, a Google/GCP és a Microsoft/Azure felhőit vizsgáltam meg alaposabban. Más-más hangsúllyal ugyan de hasonló szolgáltatásokat nyújtanak: Tárolhatsz bennük adatokat fájlokban vagy adatbázisban, futtathatsz náluk virtuális gépeket (rajtuk Linux vagy Windows szervereket), vagy írhatsz kódot, ami a felhő-szolgáltató platformján fut (és ekkor magukkal a szerverekkel nem is kell foglalkoznod), létezik naplózó vagy kulcs-menedzsment szolgáltatásuk, stb. Áraik is nagyjából hasonlóak -- vagy csak nagyon-nagyon nehezen vethetőek össze.
A felhő-szolgáltatásért azzal arányosan fizetsz, hogy mennyi erőforrást használsz. Ezért olcsón el tudsz indulni, és ha a rendszered felfut, akkor később könnyen tehetsz mögé több erőforrást. Fix havi díj nincs, így ha végül úgy döntesz, nem használód a felhőt, egyáltalán nem fizetsz.
Mindhárom nagy felhős cég szolgáltatásának van ingyenes és próbaváltozata is, a próba általában egy évig tart, de mindháromnak vannak korlátlan ideig ingyenes szolgáltatásai is (AWS, GCP, Azure). Ha csak az ingyenes szolgáltatásokat használod (ami nehéz), és az ingyenes kvóta alatt maradsz, akár korlátlan ideig ingyenesen működhet a rendszered. Engem elsősorban a "beugró" árak érdekeltek egyelőre.
A három nagy közül az Amazon AWS a piacvezető, az ő szolgáltatásaik talán a leginkább kifinomultak, és a merőben új dolgokkal általában ők jelennek meg. A másik kettő sokszor az AWS-t másolja, ebből adódóan sokszor jobban végiggondolt szolgáltatásokat nyújtanak (hiszen tanulnak belőle, hogy mit rontott el a másik). A Google és a Microsoft felhője jobban illeszkedik az adott szolgáltató ökoszisztémájához (pl. MS Active Directory), vagy irodai csomagjához (MS Office, illetve GSuite) -- bár egyelőre itt elég kevés kapcsolódási felületet találtam.
Mindhármat kipróbáltam, és végül a Google GCP mellett tettem le a voksomat, mert:
Korlátlanul ingyenes szolgáltatások: GCP alatt egy darab, 'micro' virtuális gépet korlátlan ideig futtathatsz ingyenesen. Egy kezdőnek talán a virtuális gép jelenti a legkönnyebb belépőt a felhőbe: pont olyan, mint a te szervered, csak nem nálad van, hanem a szolgáltatónál, így meglévő dolgok akár egy az egyben átvihetőek rá. Általában igaz, hogy minél inkább szolgáltató-független egy felhő-szolgáltatás, annál kevésbé adják ingyenesen, mert akkor bármikor otthagyhatod őket. Ezzel szemben, ha olyan szolgáltatásokra építesz, amelyek csak az adott szolgáltatónál vannak, azzal elkötelezed magad irántuk, így "beetetésként" sokkal többet adnak ingyen.
A virtuális gépek futtatására használt ún. compute szolgáltatások tipikusan fizetősek, mert a virtuális gép könnyen mozgatható. Ezzel szemben, ha kifejezetten a szolgáltató platformjára, az ő library-jei segítségével írsz kódot, az elég sokáig ingyenesen futtatható. Hasonlóképpen, a standard SQL adatbáziskezelőre (MySQL, Postgresql) épülő szolgáltatások kivétel nélkül pénzesek, míg a szolgáltatók saját, nem-szabványos noSQL adatbáziskezelői (AWS DynamoDB, GCP Firestore/Firebase) elég nagyvonalú árazással rendelkeznek, sokáig teljesen ingyenesek.
AWS alatt csak az első évig ingyenes egy virtuális gép, a Microsoft pedig elég hamar elkezd pénzt kérni az embertől a virtuális gépért (utóbbi árazását nem sikerült átlátnom). Így ha AWS alatt sikerült belőnöm egy hobbi-rendszert, egy év múlva el kell döntenem, fizetek-e érte vagy lelövöm. Google alatt mehet korlátlanul -- amíg ki nem növi a kis virtuális gépet.
Ha nem hobbi-rendszerről, hanem vállalkozásról lenne szó, akkor nem így állnék hozzá. Üzleti tervet készítenék, felmérném, hogyan fog növekedni a felhasználás, és az alapján dönteném el, hogy a tervezett felhasználás esetén melyik szolgáltató ára a legjobb. Amíg hobbi-rendszerről van szó, az a legjobb, amiért nem kell rendszeres díjat fizetni.
Könnyű belépés: A GCP regisztrációkor ad 300 USD kreditet, ami egy évig érvényes. Így ha akkor sem kapsz számlát, ha rövid időre a fizetős szolgáltatások közé tévedsz, hanem ebből a kreditből vonja le az összeget.
A felhő alapú kulcsmenedzsment rendszerek (KMS) például mindenütt fizetősek. Több olyan embert ismerek, aki elkezdett játszani az AWS KMS-ével, és hó végén kapott egy számlát. Néhány centről ugyan, de megijedt, és gyorsan letörölt mindent.
Projektek: A GCP esetén projektekbe kell szervezned a rendszereidet, bármilyen szolgáltatást bekapcsolsz, az egy projekt alá kerül. Ezért ha úgy döntesz, később az adott projekt letörlésével könnyen letörölheted az összes hozzá tartozó rendszert. Így könnyen le tudod választani, és meg tudod szüntetni azokat a funkciókat, amelyek nem kellenek, és a törlést követően nem kell fizetned értük. AWS alatt elég macerás lehet kimazsolázni, hogy pontosan mi az, amire még szükséged van, és mi az, ami már nem kell. A projekt jó példa arra, hogy a Google levonta a tanulságot, hogy mi a gond az AWS-nél, és a saját rendszerét jobban építette fel.
Tiszta elnevezések: Ez teljesen szubjektív, de nekem sokkal könnyebb volt tájékozódni a GCP elnevezései között, az AWS fantázianevei elrettentettek. Pl. az AWS DNS szolgáltatását úgy hívják, Route53, míg a GCP DNS szolgáltatásának a neve DNS; az AWS storage szolgáltatásút úgy hívják, S3 (simple storage service), míg a GCP esetén csak Storage; az AWS virtuális gépeket futtató szolgáltatása EC2 (ellastic cloud compute), míg a GCP esetén csak Compute. Stb.
Google :) Szintén szubjektív, de általában tetszenek a Goolge szolgáltatásai, míg a Microsoft hasonló megoldásai általában kevésbé jönnek be.
Általában minden felhő-megoldásra igaz, hogy kiadod a kezedből a kontrollt az adataidról, cserébe egyszerűbben, olcsóbban, és jobban skálázhatóan oldhatsz meg bizonyos dolgokat. Magával a szolgáltatóval szemben teljesen kiszolgáltatott vagy (csak kriptográfia segítségével védekezhetsz, de ott is csak nagyon szűk esetekben), és ha elrontasz valamit, akkor a hibád kint lesz a nyílt Interneten.
Óriási perspektíva van a felhő-szolgáltatásokban, de biztonsági szempontból alaposan végig kell gondolni, mibe vágsz bele.
|
Egyre többször találkozhatunk a hírekben a kiberbűnözés (cybercrime), kibertámadás (cyberattack) vagy kiberháború (cyberwar) kifejezésekkel, és egyre többször emlegetik laikusok a különféle informatikai támadásokat csak úgy "kiber"-ként. Mit jelent, honnan származik ez a kifejezés, és hogy kerül ide?
Magát a kibernetika szót az 1940-es években alkották a görög kübernétész (kormányos) szóból. A kibernetika a szabályozástechnika egy irányzata, visszacsatolt rendszerekkel foglakozik. A "rendszer" lehet egy turbina, de lehet biológiai vagy társadalmi vagy gazdasági folyamat is. Ez a kifejezés régebbi, mint az informatika.
William Gibson, egy amerikai sci-fi író a nyolcvanas években írt regényeiben (Neurománc, Count Zero és Mona Lisa Overdrive -- együtt Sprawl-trilógiának is hívják) egy disztopikus jövőt képzel el, amelyben a világot egy hatalmas számítógép-hálózat szövi át, és ezt kibertérnek (cyberspace) nevezte el. Gibson világában a legnagyobb kincs az információ; a világot multinacionális cégek irányítják, amelyek a nemzetállamoknál jóval nagyobb hatalomra tettek szert. Az emberiség nagy része nyomorban él; járványok, háború és az elszabadult környezetszennyezés tizedeli őket, de a kütyük eközben mindennapi életük (sőt gyakran testük) részét képezik, és életük egyre nagyobb és nagyobb részét töltik a cyberspace-ben. A cyberspace-ben folyik üzlet, folynak háborúk, és bűnözés is, valamint megjelennek cyberspace cowboy-ok (mai szóval: hackerek), akik különösen értenek a cyberspace-hez és ott keresik meg a napi betevőt mint bűnöző, zsoldos, nyomozó vagy testőr. Gibson a "cyberpunk" műfaj egyik megteremtője.
Egy sci-fi kifejezés szabadult el a köznyelvben, mintha például a Jedi, a Bene Gesserit vagy a mugli kifejezésekkel találkozhatnánk a hírekben.
A kiber többnyire azt jelenti, hogy valami informatikai eszközökkel, számítógép hálózaton és/vagy Interneten keresztül történik. Gyakran negatív összefüggésekben (pl. támadásra) használják, de semmi rosszat nem jelent. Egy informatikus számára viszont minden kiber, és egy mondat jelentése csak ritkán változik meg e szó elhagyásával, így a kiber a gyakorlatban azt jelenti, hogy valaki el akar adni neked valamit.
TL;DR: s/(cyber|kiber)//gi
|
Biztonságos felhő szolgáltatásokra építeni? Sok nagy IT cég nyújt felhő alapú szolgáltatásokat: levelezést, online drive-ot, fájlmegosztást, irodai csomagot, fényképtárat, stb. Jó ötlet rájuk bízni az adatainkat? A továbbiakban az otthoni felhasználásról és a nem "nagycéges" megoldásokról lesz szó. "Céges" esetben sok más dolog is felmerül: egy cég lényegében a teljes IT-jét kiszervezheti a felhőbe. Jelenti ez az irodai felhasználók menedzsmentjét, de akár virtualizálhatjuk a fejlesztő-környezetünket, szervereinket, és akkor nem kell foglalkoznunk azok üzemeltetésével, őrzésével, áramellátásával, és bármikor akár sokszorosára bővíthetjük kapacitásukat, akár automatizált módon. Ezekről itt most nem lesz szó, mert az otthoni felhasználásra fókuszálunk.
A nem válasz melletti legnyilvánvalóbb érv, hogy így a felhő-szolgáltató, mint "Nagy Testvér", mindent lát, amit csak csinálsz. Ne becsüld alá a megfigyelési-iparágat, és különösen ingyenes szolgáltatások esetén igaz, hogy nem vagy nemcsak ügyfele, hanem terméke vagy a szolgáltatónak. Megteheted, hogy feltöltés előtt titkosítod az adataidat (ez az ún. kliens-oldali titkosítás) - akár egy így működő felhő szolgáltató, pl. a Tresorit segítségével, akár úgy hogy magad titkosítod az adataidat -, de ekkor fel kell adnod, hogy szolgáltató feldolgozza adataidat, és "egyszerűen" csak adattárolóként, fájlszerverként használhatod.
A továbbiakban a felhő melletti biztonsági érvekről fogok írni. Igen, a felhő mellett is állnak biztonsági érvek, feltéve, hogy nem épp a szolgáltató az, akitől tartasz. Természetesen kényelmi szempontok is szólnak a felhő mellett, és a felhő segítségével új funkciókat, erős, és folyamatosan fejlesztett szolgáltatásokat érünk el, remekül kereshetünk adataink között, megoszthatjuk őket másokkal, és hivatkozhatunk mások adataira, pl. egy fényképen megjelölhetjük Facebook ismerőseinket. Itt most a biztonság pozitív oldaláról szeretnék írni, és nem ezen új lehetőségeket ecsetelem.
Védelem kéretlen és rosszindulatú levelek ellen: A felhő szolgáltató rengeteg jó és rossz levelet lát, így sokkal több adat áll a rendelkezésére, hogy felismerje a spamet, vírusokat, csaló leveleket, mint bármilyen más védelmi rendszer, amit te magad állítanál fel. A Google Gmail szolgáltatásán fut ma keresztül talán a legtöbb ember levelezése, így a Gmail sok szempontból biztonságosabb megoldás, mintha a saját gépeden futtatnád a levelezőprogramot, és/vagy saját levelezőszervert használnál. A Gmailt folyamatosan frissítik, mindig naprakész, ismeri, hogy épp milyen kéretlen levelek keringenek.
A levelezés általában véve egy érzékeny funkció, támadási felület, mert ez az egyik olyan pont, ahol kívülről érkező fájlokat fogadsz. Önmagában az is jelenthet védelmet, hogy böngészőben levelezel, mert ha rosszindulatú levet kapsz, az nem kerül automatikusan rá a számítógépedre, csak akkor, ha külön letöltöd. Ugyanakkor a böngésző maga is támadási felület, lehet érelme külön böngészőt használni a levelezéshez, nehogy egy rosszindulatú weblap belenyúlhasson valahogy.
Biztonsági mentések: Senki sem fordulna olyan felhő szolgáltatóhoz, amely elveszíti az ügyfele adatait. Ezért a szolgáltató gondosan kidolgozott, szigorúan ellenőrzött mentési rendszert működtet. Redundáns módon tárolja az adataidat, a világ több pontján is tart mentést, mert az adatod nem veszhet el, ha egy-egy lemez bedöglik, és nem válhat elérhetetlenné, ha valamelyik telephelye épp nem üzemel. Valószínűleg jobb a rendszere, mint a tiéd, és fegyelmezettebben végzi a mentéseket, mint ahogy te tennéd. Gondolj bele, mikor készítettél utoljára biztonsági mentést az adataidról? Előfordult már, hogy tervezted, hogy mentesz, de mégis közbejött valami?
Ugyanakkor, hogy ha nincs net, akkor nem éred el, amit csak a szolgáltatónál tárolsz. Szintén problémát okozhat, hogy ha minden adatodat egy könnyen kezelhető központi helyen tartod, mert épp a könnyű kezelhetőség miatt könnyen le is törölheted az összeset.
Ha a nálad is meglévő adatokat a felhőbe szinkronizálod (ilyen pl. a OneDrive / GDrive / Dropbox / Tresorit vagy az IMAP levelezés), akkor minden előnyét élvezed annak, hogy nálad vannak az adataid, de a világ nagyon sok pontján van róluk folyamatos biztonsági másolat is. Mindemellett esetleg visszaállíthatsz korábbi verziókat is, ha valamit elrontottál. Mellesleg, bárhol vagy, eléred az összes adatodat.
Ha komolyan gondolkozol felhő alapú adattárolásban, ismerd meg, hogy a szolgáltató milyen mentési/visszaaállítási funkciókkal rendelkezik, pl. hány előző verziót tart fent a fájljaidból, és legyen terved a nagyobb rendszer-visszaállításokra. Ezen túl azt javaslom, időnként készíts egy-egy saját, offline mentést is, mert így kevésbé szolgáltatod ki magadat a felhőnek.
Biztonságos belépés: A szolgáltatóknál használhatsz kétfaktoros authentikációt (amelyiknél nem, azt a szolgáltatót lehet, hogy jobb elkerülni), és folyamatosan fejlesztik, hogy a legmodernebb beléptetési megoldásokat is használhasd.
Sok oldal támogatja, hogy valamely felhő szolgáltatás segítségével (pl. Google, Facebook vagy Twitter fiókoddal) lépjél be. Így nemcsak kevesebb jelszavad van, de automatikusan megkapod a szolgáltató erős azonosításának előnyeit. Ha saját szervered van, megvalósíthatsz rá kétfaktoros beléptetést. De vajon meg is valósítottad?
Te is kezelhetsz sok jelszót biztonságos módon (pl. egy jelszókezelő segítségével, esetleg felhővel kombinálva), de ehhez némi fegyelmezettség szükséges. Kevésbé biztonság-tudatos felhasználók lehet, hogy jobban járnak ha a Facebookon (vagy Google-ben stb.) használnak erős jelszót és kétfaktoros beléptetést, és máshova e felhő szolgáltatókon keresztül lépnek be. (Ez annál mindenképp jobb, mintha valakinek mindenhol "
Alma1" a jelszava.)Légy óvatos: A felhő nagy előnye, hogy bárhonnan eléred az adataidat, egyúttal azt is jelenti, hogy bárki más is megpróbálhatja bárhonnan elérni az adataidat. Ha "gyenge" módon is elérhető a fiókod (széthagyod a jelszavadat / gyenge jelszót választasz / nem használsz második faktort stb), más is ki- és bejárkálhat a fiókodba. A felhőben MINDIG állíts be kétfaktoros beléptetést.
Biztonsági frissítések, biztonságos üzemeltetés: Ha nem épp a felhő-szolgáltató az, akitől adataidat félted, valószínűleg sokkal biztonságosabban üzemelteti a rendszerét, mint ahogy te tennéd. Profi szakemberei és automatizált folyamatai vannak, a szervereit rendszeresen frissíti (teszteli, telepíti és beállítja a biztonsági frissítéseket), beszerzi, és telepíti a tanúsítványokat, megújítja őket, ha lejárnának, és folyamatosan figyeli, hogy nem próbálják-e meg feltörni, és lépéseket tesz a támadások ellen.
Vigyázz: A szolgáltató szolgáltatást nyújt, és nem felel azért, hogy te hogyan használod a szolgáltatást. Ha rosszul állítod be, akkor boldog-boldogtalan eléri az adataidat.
Leltár. A szolgáltató az alapján számláz, hogy mennyit használod (fizetős fiók esetén). Bármi más elromolhat a szolgáltatónál, de a számlázási rendszere szinte biztos, hogy működni fog. Ennek kapcsán nyilvántartást kapsz arról, hogy mid van nála, hol, és kivel osztottad meg, ehhez alapos nyilvántartást kellene vezetned (és az emberek/cégek többsége nem tesz ilyet).
Nagyon találó Bruce Schneier feudális biztonság analógiája: "hűséget esküszöl" a felhő-szolgáltatónak, cserébe védelmet kapsz. Ez az írás a védelemről szól. Igen, valóban jár védelem. Cserébe tényleg el kell kötelezned magad a szolgáltató mellett: minél jobban kihasználod a szolgáltató speciális szolgáltatásait (például a fényképeiden az ismerősök arcainak felismerése, és az ez alapján történő fénykép-keresés), annál jobban hozzá kötöd magadat a későbbiekben. A felhő-szolgáltatók alapvetően hasonló szolgáltatásokat nyújtanak, de attól még nem könnyű dolog átváltani egyik szolgáltatóról a másikra, és nem könnyű párhuzamosan használni két szolgáltatót anélkül, hogy összakavarodnának a dolgok.
Ha nem bízol a felhő-szolgáltatóban, akkor ne használd. Ugyanakkor ha elfogadod, hogy rábízod az adataidat, számos előnyt nyújt cserébe, köztük jópár biztonsági előnyt is. Igen, ezek nagy részét te is meg tudnád csinálni... De meg is csináltad már őket? Lesz rá valaha is időd?
Ha felhőt akarsz használni, íme néhány jótanács:
- MINDIG használj kétfaktoros autentikációt a fontos fiókokra.
- Legyen terved a visszaútra. Gondold végig, mit csinálnál, ha meg kell válnod a szolgáltatótól.
- Ismerd meg a szolgáltatást! Ha rosszul használod, nemcsak óriási katyvaszt csinálhatsz, de az rögtön kint lesz az Interneted az összes adatoddal együtt.
|
Az Electronic Frontier Foundation (EFF) egy remek elemzést készített a megfigyelési iparág működéséről.
Hosszú írás, három részből áll. Az első rész azt mutatja be, hogy milyen azonosítók alapján követhetik nyomon az embert akár a neten (pl. ip cím, browser fingerprinting, mobil készülékek), akár a való éleben (pl. arcfelismerés, rendszámtábla-felismerés). A második rész arról szól, hogy milyen módon, milyen rendszerekkel követik az embert, a harmadik pedig a piacot mutatja be, ahol a megfigyelők értékesítik a megszerzett információkat, és ahol kereskednek adatainkkal. A cikk negyedik része arról ír, mit tehetünk mindez ellen (támogassuk az EFF-et).
Elsősorban a marketing-információk gyűjtéséről, és a célzott reklámok mögötti iparágról szól, és többnyire a legális vagy fél-legális megoldásokról. Különösen érdekes, ahogy a netes, és a fizikai világban alkalmazott megfigyelés egymás mellett szerepel, és az is, hogy sok esetben a fizikai világban vagyunk kevésbé védettek.
Műfaját tekintve a state-of-the-art-ot foglalja össze. Aki követi az információbiztonság szakmát, valószínűleg kevés új tényt fog találni benne. Attól még megdöbbentő mindezt így összeszedve látni. Igen, van néhány alapvető technikai lépés, amit megtehetünk a biztonságunk érdekében, és az ember időnként vállonveregeti magát, amikor adblockert használ, vagy kiüríti a böngészőcache-t, de a leírtak ellen bizony nagy nehéz igazán védekezni. Vannak szereplők, akik sok különböző megfigyelési technikát egyszerre használnak, és rendszeresen összevetik ezek eredményeit. Ha kiüríted a cache-t, a cookie-kat, vagy ha IP-címet váltasz, más rendszerekkel akkor is beazonosítanak, és feljegyzik az új címet, és az új cookie-t. Látjuk, hogy az sem jelent megoldást, ha valaki egyáltalán nem használ elektronikát. Ő hiába térne vissza a középkorba, rengeteg olyan pont van, ahol továbbra is megfigyelhetik.
Valószínűleg csak szabályozás jelenthet megoldást, ha jól működik, és ha globális, de legalábbis vonatkozik a nagy tech cégekre.
|
A hétvégén megoldottam, hogy a saját honlapomnak legyen rendes TLS tanúsítványa.
Pénteken a tanítványaimnak magyaráztam, hogy ma már minden magára adó oldalnak bizony már van tanúsítványa. A Let's Encrypt korában ez már teljesen ingyenes, és lényegében egyetlen parancs kiadásával megoldható. Korábban voltak olyan elveim, hogy csak érzékeny információt kell titkosítani, és ugyan minek tanúsítvány olyan oldalnak, ahol nem adsz meg jelszót, és ahol nem titkokat töltesz le. Húsz éve a TLS tényleg lassított és drága volt.
Ma viszont már nincs kifogás: a legegyszerűbb mindenhol TLS-t használni.
A saját honlapomon a Google cloud segítségével csináltam meg, így mindent megoldanak helyetted -- ingyen.
További bejegyzések a blogomban...