29 Aug 2019, 03:50 PM
Na przykład mamy serwery z Ubuntu 12.04 i migracja ich zajmie nam wieczność. Jaki pakiet bezpieczeństwa polecić w celu ochrony przed lukami, a co ważniejsze, aby przejść audyt PCI DSS?
29 Aug 2019, 03:50 PM
29 Aug 2019, 03:53 PM
Poza PCI DSS, kto będzie kontynuował luki w łatkach i backportach znalezione w późniejszej wersji systemu operacyjnego, jeśli nie płacisz za dodatkowe wsparcie poza EOL oprogramowania?
29 Aug 2019, 03:56 PM
Przepraszam za późną odpowiedź. Wszystkie są hartowane zgodnie ze standardem CIS i większość z nich nie jest publicznie dostępna. Chciałbym myśleć, że jesteśmy całkiem bezpieczni Po prostu szukamy ekonomicznego oprogramowania, które spełni wymagania audytu. Ktoś polecił Trend Micro Deep Security, ale nadal chcielibyśmy mieć więcej opcji do porównania. davidktw napisał: Poza PCI DSS, kto będzie kontynuował łatanie i luki w zabezpieczeniach występujące w późniejszej wersji systemu operacyjnego, jeśli nie płacisz za dodatkowe wsparcie poza EOL oprogramowania?
29 Aug 2019, 03:59 PM
muji4832 napisał: Przepraszam za późną odpowiedź. Wszystkie są hartowane zgodnie ze standardem CIS i większość z nich nie jest publicznie dostępna. Chciałbym myśleć, że jesteśmy całkiem bezpieczni Po prostu szukamy ekonomicznego oprogramowania, które spełni wymagania audytu. Ktoś polecił Trend Micro Deep Security, ale nadal chcielibyśmy mieć więcej opcji do porównania. Jeśli uważasz, że jest wystarczająco bezpieczny, czy pomyślisz, że może on przejść kontrolę bezpieczeństwa? To nie tak normalnie działa zgodność bezpieczeństwa. Problem polega na tym, że system został już wzmocniony, nie będzie już otrzymywać dalszych aktualizacji luk w zabezpieczeniach, które można znaleźć we wszystkich częściach systemu, takich jak jądro, biblioteki i tak dalej. O ile Twój system nie jest całkowicie odizolowany od reszty świata, samo wysłanie prostego żądania http potencjalnie naraziłoby go na ataki hakerskie. Co się stanie, jeśli serwer aplikacji lub demon obsługujący to żądanie HTTP ma nowo odkrytą lukę, a ponieważ system operacyjny ma EOL i nie jest już załatany? Oznacza to, że będzie na zawsze, dopóki nie zmienisz komponentu lub systemu. Moim zdaniem ta część sama w sobie nie przekroczyłaby zgodności z wymogami bezpieczeństwa. Oczywiście to Twoja firma audytorska ma decydujący głos. W każdym razie EOL oznacza brak wsparcia, chyba że zleceniodawca zaoferuje przedłużone utrzymanie, które klienci będą musieli zapłacić poza wsparciem w całym cyklu życia.
29 Aug 2019, 04:02 PM
Nie mówię, że nie będziemy aktualizować tych serwerów. Zajmie to dużo czasu ze względu na starsze kody. Całkowicie rozumiem, skąd pochodzisz i dlatego szukamy tymczasowych rozwiązań. davidktw napisał: Jeśli uważasz, że jest wystarczająco bezpieczny, czy pomyślisz, że może on przejść kontrolę bezpieczeństwa? To nie tak normalnie działa zgodność bezpieczeństwa. Problem polega na tym, że system został już wzmocniony, nie będzie już otrzymywać dalszych aktualizacji luk w zabezpieczeniach, które można znaleźć we wszystkich częściach systemu, takich jak jądro, biblioteki i tak dalej. O ile Twój system nie jest całkowicie odizolowany od reszty świata, samo wysłanie prostego żądania http potencjalnie naraziłoby go na ataki hakerskie. Co się stanie, jeśli serwer aplikacji lub demon obsługujący to żądanie HTTP ma nowo odkrytą lukę, a ponieważ system operacyjny ma EOL i nie jest już załatany? Oznacza to, że będzie na zawsze, dopóki nie zmienisz komponentu lub systemu. Moim zdaniem ta część sama w sobie nie przekroczyłaby zgodności z wymogami bezpieczeństwa. Oczywiście to Twoja firma audytorska ma decydujący głos. W każdym razie EOL oznacza brak wsparcia, chyba że zleceniodawca zaoferuje przedłużone utrzymanie, które klienci będą musieli zapłacić poza wsparciem w całym cyklu życia.
29 Aug 2019, 04:05 PM
muji4832 napisał: Nie mówię, że nie będziemy aktualizować tych serwerów. Zajmie to dużo czasu ze względu na starsze kody. Całkowicie rozumiem, skąd pochodzisz i dlatego szukamy tymczasowych rozwiązań. Cóż, nie wiem, czy ktoś chciałby wystawić swoją reputację na certyfikację, aby twój system był bezpieczny, jeśli nie ma sposobu na załatanie luk w zabezpieczeniach Jeśli zostanie wykryta jakaś luka, nie masz nawet szansy na jej załatanie, chyba że luki te są wystarczająco duże, aby wstrząsnąć branżą, na przykład Heartbleed. Jeśli pytasz, czy istnieje rozwiązanie innej firmy do załatania twojego systemu EOL, nie mam nadziei, że jest to bezpłatne. Nawet za opłatą często muszą wracać do zleceniodawców. Firmy ochroniarskie nie dostarczają łatek. W przypadku Red Hata zdarzały się przypadki, w których można użyć repozytorium innej firmy, takiego jak EPEL, w celu przedłużenia żywotności wsparcia, dzięki czemu opiekunowie mogą kontynuować poprawki backportu z późniejszych wersji repo do tych repozytoriów. Ale nie jestem świadomy istnienia repozytorium Ubuntu / Debian. Może ktoś inny będzie wiedział. Zasadniczo problem polega na tym, że istnieje zgodność w zakresie bezpieczeństwa, która weźmie pod uwagę twój przestarzały system, jeśli jest w wersji N starszej niż najnowsza. To zależy od twoich potrzeb. Jeśli nie będziesz przestrzegać zasad, możesz nawet nie łatać na własne ryzyko. Jeśli będziesz musiał się zastosować, będzie to ograniczone.