È mai ok non aggiornare VM senza IP esterno in esecuzione nel cloud?

-3

Abbiamo alcune macchine virtuali basate su Linux (ubuntu) che girano nel cloud in una rete privata e non hanno un indirizzo IP esterno / pubblico. Abbiamo alcune app in esecuzione su quei server e tutto funziona correttamente. La mia domanda è: ci sono argomenti per fare aggiornamenti regolari su quelle macchine? Che ne dici di patch di sicurezza solo?

Gli argomenti del contatore che ho trovato sono:

  • Gli aggiornamenti creerebbero alcuni tempi di inattività per il nostro servizio
  • gli aggiornamenti possono rompere le cose
  • il tempo impiegato per l'aggiornamento + i test funzionano ancora dopo che l'aggiornamento può essere speso altrove
  • queste macchine non dispongono di accesso a Internet, pertanto è necessario abilitarlo durante gli aggiornamenti che sono di per sé un rischio per la sicurezza.

PS: Ovviamente, gli host bastion saranno completamente protetti / corretti.

    
posta Caner 08.10.2018 - 16:46
fonte

2 risposte

3

Sì, ogni VM connessa a una rete dovrebbe essere aggiornata!

Diamo un'occhiata ai tuoi argomenti:

  • violazioni della sicurezza creerebbero alcuni tempi di inattività per il nostro servizio
  • Le violazioni della sicurezza possono rompere le cose
  • il tempo trascorso a ripulire dopo una violazione della sicurezza può essere speso da qualche altra parte

Dai un'occhiata ad alcune recenti violazioni della sicurezza e vedrai che in alcuni casi gli aggressori hanno trascorso mesi all'interno di una rete alla ricerca di collegamenti deboli.

Immagina quanto saranno eccitati quando troveranno una gran quantità di VM senza patch sulla rete, dando loro molte opportunità di exploit.

Solo l'installazione di patch di sicurezza è un buon inizio, ma a volte la migliore patch di sicurezza si sta aggiornando a una nuova versione. I fornitori di software non rilasciano le patch di sicurezza per le vecchie versioni per sempre.

...patching the security hole was labor intensive and difficult, in part because it involved downloading an updated version of Struts and then using it to rebuild all apps that used older, buggy Struts versions.

Failure to patch two-month-old bug led to massive Equifax breach

    
risposta data 08.10.2018 - 17:07
fonte
2

L'aggiornamento corretto richiede davvero un gran numero di risorse. È necessario testarlo, applicarlo e gestire eventuali tempi di inattività o problemi causati dall'aggiornamento. Per i veri interessati è inoltre necessario verificare / sapere quali problemi sono stati risolti e quali nuovi problemi potrebbero essere esposti. Può essere molto allettante saltare l'aggiornamento.

C'è un caso in cui posso pensare a dove l'aggiornamento potrebbe non valerne la pena. Questo è il momento in cui si aggiornano le istanze di lavoratore di breve durata, che sono isolate dalla rete. Un ottimo esempio di questo è un'app su cui ho lavorato. Dovrebbe elaborare immagini e video. Quando era il momento di elaborare il video, generava un'istanza, con il file video in una posizione, avviava l'istanza, elaborava, spostava il file su un altro server e quindi spegneva l'istanza ed eliminava. L'intera istanza è durata forse un'ora. Non abbiamo mai aggiornato "quelle istanze" e invece aggiornavamo l'immagine da cui provenivano. Ma anche allora non abbiamo aggiornato frequentemente, perché il rischio non era proprio lì.

Detto questo, normalmente qualsiasi macchina connessa di rete (non solo internet) dovrebbe essere aggiornata. Questo perché qualsiasi altra macchina sulla rete potrebbe essere stata infettata. Ci sono molti "vermi" che fanno proprio questo. Entrano in una rete protetta tramite una macchina compromessa, quindi "vanno in città" perché le altre macchine in rete non dispongono di protezioni.

Un altro buon motivo è che, a meno che non sia il tuo fortunato (o sfortunato) tuo non l'unico detentore di chiavi. Chissà quali sciocchezze, sciocchezze e semplicemente cose stupide l'altro farà. Ricorda i giorni di Windows XP. Avresti avviato la macchina e, grazie a questo nuovo modem via cavo, prima che tu potessi avviare, avresti ottenuto un virus o due. 1 idiota che imposta i permessi sbagliati per 30 secondi potrebbe totalmente bloccare la tua rete.

Indossa sempre l'impermeabile. The End.

    
risposta data 08.10.2018 - 19:02
fonte

Leggi altre domande sui tag