24 Jul 2019, 10:30 AM
Na przykład mamy serwery z systemem Ubuntu 12.04, a ich migracja zajmie nam wiecznie. Każdy pakiet zabezpieczeń zalecany w celu ochrony przed lukami w zabezpieczeniach, a co ważniejsze, aby przejść audyt PCI DSS?
24 Jul 2019, 10:30 AM
24 Jul 2019, 10:33 AM
Niezależnie od PCI DSS, kto będzie kontynuował luki w zabezpieczeniach i backportach znalezione w późniejszej wersji systemu operacyjnego, jeśli nie płacisz za dodatkowe wsparcie poza EOL oprogramowania?
24 Jul 2019, 10:36 AM
Przepraszam za późną odpowiedź. Wszystkie są zahartowane zgodnie z benchmarkiem CIS, a większość z nich nie jest publicznie dostępna. Chciałbym myśleć, że jesteśmy całkiem bezpieczni Po prostu szukamy opłacalnego oprogramowania, które może spełnić wymagania audytu. Ktoś polecił Trend Micro Deep Security, ale nadal chcielibyśmy mieć więcej opcji do porównania. davidktw napisał: Niezależnie od PCI DSS, kto będzie kontynuował luki w zabezpieczeniach i backportach znalezione w późniejszej wersji systemu operacyjnego, jeśli nie płacisz za dodatkowe wsparcie poza EOL oprogramowania?
24 Jul 2019, 10:39 AM
muji4832 napisał: Przepraszam za późną odpowiedź. Wszystkie są zahartowane zgodnie z benchmarkiem CIS, a większość z nich nie jest publicznie dostępna. Chciałbym myśleć, że jesteśmy całkiem bezpieczni Po prostu szukamy opłacalnego oprogramowania, które może spełnić wymagania audytu. Ktoś polecił Trend Micro Deep Security, ale nadal chcielibyśmy mieć więcej opcji do porównania. Jeśli uważasz, że jest wystarczająco bezpieczny, czy myślisz, że może minąć audyt bezpieczeństwa? Nie tak zazwyczaj działa zgodność z zasadami bezpieczeństwa. Problem jest, pomimo tego, że system został już zaostrzony, nie będzie już otrzymywać dalszych aktualizacji luk, które można znaleźć we wszystkich częściach systemu, takich jak jądro, biblioteki i tak dalej. Jeśli Twój system nie jest całkowicie odizolowany od reszty świata, po prostu obsługa prostego żądania http potencjalnie naraziłoby go na włamanie. Co się stanie, jeśli serwer aplikacji lub demon obsługujący to żądanie http ma nową, założoną lukę, a system operacyjny ma EOL i nie jest już łatany? Oznacza to, że będzie tam zawsze, dopóki nie zmienisz komponentu lub systemu. Tylko ta część moim zdaniem nie przekroczyłaby wymogów bezpieczeństwa. Oczywiście to do firmy audytorskiej należy ostatnie słowo. W każdym przypadku EOL oznacza brak wsparcia, chyba że zleceniodawca oferuje rozszerzoną obsługę techniczną, którą klienci będą musieli zapłacić poza wsparciem cyklu życia publicznego.
24 Jul 2019, 10:42 AM
Nie mówię, że nie uaktualnimy tych serwerów. To zajmie dużo czasu ze względu na starsze kody. Całkowicie rozumiem, skąd pochodzisz i dlatego szukamy rozwiązań tymczasowych. davidktw napisał: Jeśli uważasz, że jest wystarczająco bezpieczny, czy myślisz, że może minąć audyt bezpieczeństwa? Nie tak zazwyczaj działa zgodność z zasadami bezpieczeństwa. Problem jest, pomimo tego, że system został już zaostrzony, nie będzie już otrzymywać dalszych aktualizacji luk, które można znaleźć we wszystkich częściach systemu, takich jak jądro, biblioteki i tak dalej. Jeśli Twój system nie jest całkowicie odizolowany od reszty świata, po prostu obsługa prostego żądania http potencjalnie naraziłoby go na włamanie. Co się stanie, jeśli serwer aplikacji lub demon obsługujący to żądanie http ma nową, założoną lukę, a system operacyjny ma EOL i nie jest już łatany? Oznacza to, że będzie tam zawsze, dopóki nie zmienisz komponentu lub systemu. Tylko ta część moim zdaniem nie przekroczyłaby wymogów bezpieczeństwa. Oczywiście to do firmy audytorskiej należy ostatnie słowo. W każdym przypadku EOL oznacza brak wsparcia, chyba że zleceniodawca oferuje rozszerzoną obsługę techniczną, którą klienci będą musieli zapłacić poza wsparciem cyklu życia publicznego.
24 Jul 2019, 10:45 AM
muji4832 napisał: Nie mówię, że nie uaktualnimy tych serwerów. To zajmie dużo czasu ze względu na starsze kody. Całkowicie rozumiem, skąd pochodzisz i dlatego szukamy rozwiązań tymczasowych. Cóż, nie zdaję sobie sprawy z tego, że każdy, kto chce wystawić swoją reputację na linii certyfikacji systemu, jest bezpieczny, jeśli nie ma możliwości nawet poprawienia luk w zabezpieczeniach Jeśli wykryta zostanie jakakolwiek luka, nie masz nawet możliwości jej poprawienia, chyba że ta podatność jest wystarczająco duża, aby wstrząsnąć branżą, taką jak Heartbleed. Jeśli pytasz, czy istnieje rozwiązanie innej firmy do łatania dla twojego systemu EOL, nie mam nadziei, że jest jakikolwiek za darmo. Nawet za opłatą często muszą wrócić do zleceniodawców. Firmy zabezpieczające nie zapewniają poprawek. Jeśli chodzi o czerwony kapelusz, zdarzało się, że wiem, że możesz użyć repozytorium zewnętrznego, np. EPEL, aby wydłużyć żywotność wsparcia, ponieważ opiekunowie mogą kontynuować poprawki backportu z późniejszych wersji repo do tych repo. Ale nie jestem świadomy tego, że robi to jakaś repo Ubuntu / Debian. Może ktoś inny będzie wiedział. Zasadniczo problem polega na tym, że istnieją zasady bezpieczeństwa, które uznają twój system za przestarzały, jeśli jest to wersja N starsza niż najnowsza. To zależy od twoich potrzeb. Jeśli nie masz zgodności z przepisami, możesz nawet nie korygować, na własne ryzyko. Jeśli będziesz musiał się dostosować, będzie to ograniczone.