我應該對“私有”網路上不安全的 HTTP 有多擔心?
所以我加入了一個新團隊,該團隊開發和運營網際網路上提供的服務。它的目標是 B2B 使用而不是消費者,儘管任何人都可以註冊一個低級帳戶來檢查它(如果你的潛在客戶的開發人員在西裝簽署交易之前不能玩,你將無處可去! )。
令我驚訝的是,我最近了解到,我希望通過 HTTPS 提供給一組嚴格控制的客戶端證書的一些東西是通過開放的 HTTP 而不進行任何類型的身份驗證。諸如 Consul 鍵/值儲存,其中一些值是密碼,或 Docker 私有系統資料庫,其中一些圖像包含私鑰(有一個項目正在進行中,從圖像中刪除密鑰並在執行時注入它們,但舊圖像仍在系統資料庫中,我不想押注已更改的密鑰)。可能還有其他類似位置的服務我還沒有找到。
我問過這個問題的同事同意這並不理想,但相當不關心,因為這些服務只暴露在(第三方託管的)數據中心內的專用網路上。謝天謝地,它們不能(如果一切正常)從 Internet 路由。儘管如此,這似乎對網路路由配置有很大的信任,更不用說如果其中一台伺服器確實受到了威脅,它對內部網路的訪問意味著其餘的都是坐著的鴨子。
這是我第一次執行公共服務,到目前為止,我一直在“shrinkwrap”世界工作,我們銷售軟體,但我們的客戶安裝並執行它。所以我不知道這有多糟糕。我將提高它並嘗試修復它,但我想由一個擁有更多執行生產服務經驗的社區來執行它,以校准我應該大喊大叫的聲音。這真的很糟糕,我們應該放棄一切直到它修復,還是不好但實際上並沒有那麼罕見?
作為客人發帖,因為我不想提供任何關於這是誰的服務的線索:)
我認為這不是什麼大問題,有一個警告:如果連接私有伺服器(無論是虛擬的還是物理的)的網路已切換,這不是什麼大問題。
我通常的口頭禪是,沒有抽象的安全之類的東西,只有威脅和回應,適當的和其他的。那麼你的威脅模型是什麼?攻擊者破壞了面向網際網路的伺服器;他現在能做什麼?
網路上的 SSL(包括 HTTPS)提供兩種服務,加密和身份驗證。加密無法針對這種威脅模型提供保護:如果切換後端網路,攻擊者只能看到進出受感染伺服器的流量。由於那是一個 SSL 端點,他無論如何都可以讀取所有流量。身份驗證提供了一點好處,但它只是跟踪:即使他們沒有使用通常的自簽名證書(傾向於直接驗證),您也可以相當確信您確實在與後端伺服器交談,因為你控制內部網路,威脅模型沒有指定網路基礎設施的滲透。
簡而言之:您寫道“如果其中一台伺服器確實受到威脅,它對內部網路的訪問意味著其餘的都是坐著的鴨子”。確實如此,但僅僅因為內部串擾是加密的,這同樣是正確的。
當您在上面對 Ryan 評論說“從辦公室到託管專用 LAN 的訪問是通過 VPN 進行的,並且生產服務的操作是通過專用的 Linux 筆記型電腦而不是開發人員的主機完成的”,我看到一家公司實際上正在考慮威脅模型和響應,而不是像某種閃亮的安全毯一樣揮舞加密貨幣,並假設它們現在是安全的,因為加密貨幣。聽起來他們努力保護受益於安全性的位,而不是擔心沒有安全性的位。