Requisitos Checklist para escolher um Cloud Backup e Recovery Service Provider
Startup nuvem empresa ProfitBricks foi amarrada por um pesquisador de segurança para alguma segurança screw-ups descoberto depois que renovou os seus preços para minar Amazon Web Services.
Em um telefonema na sexta-feira, ProfitBricks co-fundador Andreas Gauger confirmou que o MasterImage de uma das imagens Linux de sua empresa havia sido construído em um computador voltado para a Internet, e que a empresa estava indo para inspecionar todas as imagens do sistema operacional disponíveis para quaisquer sujeiras líquidas que podem ter havido dentro
Os bugios segurança foram destacados por Kenneth White, que disse ao The Register na quinta-feira que, depois de ouvir sobre ProfitBricks redução de preço enorme no início da semana , ele começou a investigar a nuvem, e tropeçou em alguns problemas sérios.
Branca descobriu que a imagem CentOS 6.3 aparentemente tinha sido construída em um computador voltado para a Internet pública.
"O fato de o equivalente a imagem do sistema operacional 'gold master' a confiança foi originalmente construído em uma caixa voltados para o público é insondável para mim", disse White via e-mail. "Imagine se você colocar uma caixa nu Windows XP / Windows 7 na internet e, em seguida, * corri * Atualização do Windows, ao longo de dois dias. Você confiaria que construir para armazenar seus dados sensíveis?"
ProfitBricks reconheceu o problema e Gauger descreveu como um "erro humano". ProfitBricks é colocar em prática medidas para se certificar de que não volte a acontecer, disse ele, afirmando que "no futuro, vamos fazer cumprir a política mais segurança."
A empresa está inspecionando todas as imagens existentes, disse ele. "Estamos passando por todas as imagens agora e ter certeza que eles não têm quaisquer vulnerabilidades .... certamente que temos agora de passar por todas as imagens e levar algum tempo e verifique se há vulnerabilidades [estão] em si." No domingo, ProfitBricks confirmou em seu blog que as imagens eram bem.
Ao investigar mais, White também sinalizou um número alarmante de (in) medidas de segurança na nuvem. Algumas das falhas percebidas incluem o fato de ProfitBricks gera senhas de raiz para cada instância do Linux e e-mails a senha para o titular da conta, que não há uma maneira de empurrar as chaves SSH públicas e ir sem senha pré-boot, que não existe firewall no lugar em casos de defeito, e que para ganhar acesso ao console da VM através do GUI ProfitBricks você precisa instalar o Java em seu laptop.
"É loucura para enviar senhas e ter tudo ativado por padrão na web hostil", disse White.
Essas políticas frasco com as presentes nos grandes nuvens de Google e Amazon, por exemplo, ambos os quais instâncias começar em um estado não-escuta segura, com a abertura de administração o acesso manualmente.
Ambas as empresas também usam chaves em vez de senhas que é muito, muito mais seguro. Isso significa Amazon nunca precisa criar ou enviar uma senha para um administrador e, em vez através do uso de pares de chaves de uma instância pode ser assegurada com o risco distribuídos entre ambos Amazônia e do administrador.
"Por outro lado aqui - para SSH, eu penso que nós podemos mudar isso o mais rápido possível", disse Gauger. "Estamos trabalhando em um processo de inscrição de qualquer maneira agora. Espero que possamos começar este para este projeto."
No post do blog, no domingo, ProfitBricks confirmou que a mudança para um par de chaves público-privada está prevista para 2013 a liberação de setembro. No entanto, o título do post - "ProfitBricks e Transparência" - em vez ordenadamente deixa de fora todas as palavras que possam ter um administrador preocupado com a segurança de clicar, ou mesmo tirar qualquer tipo de atenção em tudo. ®
via Alimentar (Feed)
Nenhum comentário:
Postar um comentário