Der Blog

Einen skalierbaren Weg finden, um Angreifer zu stoppen

von Tony Albanese 15. August 2014 | 3 Minuten Lesezeit

Evan Gilman, Betriebsingenieur bei PagerDuty, sprach kürzlich bei einem Treffen im PagerDuty Hauptquartier. Das Erste, was Evan bemerkte, war: „Sicherheit ist schwierig.“ Egal, ob Sie ein kleiner Laden mit einer sich ständig weiterentwickelnden Codebasis oder ein riesiges Unternehmen mit vielen tausend Mitarbeitern sind, es wird immer wieder Angreifer geben, also müssen Sie einen skalierbaren Weg finden, sie aufzuhalten.

Standardmäßig sicher

Evan betonte, wie wichtig es sei, in Bezug auf Dateiberechtigungen und Sicherheitsprivilegien „standardmäßig sicher“ zu sein. Wenn Sie Sicherheitsprüfungen einführen, machen Sie es anderen schwer, diese zu umgehen. Was nützen Regeln, wenn die Leute wissen, dass sie umgangen werden können? Die Prüfungen wurden nicht aus einem willkürlichen Grund eingeführt – sie sind da, um Ihre Kunden und Ihr Team zu schützen. Sichern Sie außerdem alles. Ihre Protokolle enthalten möglicherweise keine Passwörter, aber sie können vertrauliche Daten wie Kundeninformationen enthalten, daher müssen Sie alles sichern.

Seien Sie paranoid

Als allgemeine Regel, so Evan, sollten Sie davon ausgehen, dass Ihr Netzwerk feindlich gesinnt ist. Das gilt insbesondere in der Cloud.

„Sie haben keine Ahnung, was sonst noch auf dem Rack neben Ihnen läuft.“

Verschlüsseln Sie den gesamten Netzwerkverkehr – sowohl zwischen als auch innerhalb des Rechenzentrums. Wir haben festgestellt, dass die Verschlüsselung auf der Transportebene erfolgreich ist. Denken Sie auch daran, die Daten zu bereinigen, die Ihre Dateninfrastruktur verlassen, denn Sie können sich nicht darauf verlassen, dass der Anbieter auf das achtet, was Sie hinterlassen.

Automatisieren und verteilen Sie die Durchsetzung so weit wie möglich

Für Evan und das PagerDuty Team geht es bei der Automatisierung um die verteilte Durchsetzung von Sicherheitsrichtlinien. Erstellen Sie einen zentralen Regelsatz zur Verwaltung der Richtlinien und übertragen Sie ihn dann an einzelne Knoten, damit diese sich selbst durchsetzen können.

Unten sehen Sie beispielsweise einen Codeausschnitt, den wir zur Durchsetzung verteilen müssen. Er lautet: „Auf den Cassandra-Speicher auf Port 7000 sollten nur Benutzer mit Knoten mit der Cassandra-Rolle zugreifen können.“

pd_iptables

Handeln Sie, wenn etwas nicht stimmt

Letztendlich müssen alle Sicherheitslösungen, für die Sie sich entscheiden, benutzerorientiert sein – unabhängig davon, ob es sich bei Ihren Benutzern um Personen innerhalb Ihrer Organisation, die breite Öffentlichkeit oder beide handelt.

Sie müssen Überwachungs- und Warnfunktionen einrichten, die Sie informieren, wenn etwas nicht richtig läuft. Evan hat vorgeschlagen, den Verschlüsselungsgrad Ihres Datenverkehrs zu überwachen. Wenn Sie wissen, dass 80 % Ihres Datenverkehrs verschlüsselt sein sollten, dies aber innerhalb eines bestimmten Zeitraums nur bei 25 % der Fall ist, stimmt etwas nicht und jemand muss sofort benachrichtigt werden.

Da PagerDuty auf mehrere Drittanbieter verteilt ist, steht uns kein VPC zur Verfügung. Daher nutzen wir die hostbasierte Angriffserkennung (Host-Based Intrusion Detection, HIDS), um benachrichtigt zu werden, wenn Probleme auftreten.

Der wichtigste Ratschlag von Evan? Fangen Sie noch heute an. Irgendwann müssen Sie es tun, und wenn Sie jetzt anfangen, können Sie Ihre technischen Schulden reduzieren und dabei helfen, die schlechten Dinge loszuwerden, die Sie bereits haben. Sehen Sie sich seinen Vortrag unten an:

Möchten Sie weitere Vorträge von diesem Meetup sehen, schauen Sie hier vorbei:

Oder erfahren Sie mehr über Sicherheit bei PagerDuty: