Security ali devops?

Odvisno od aplikacije...

Če gre za mail, office zadeve, je izbira samo ena. MS, ki je tudi najcenejši.

Za custom aplikacije je pa zadeva že malo bolj komplicirana, odvisna od samih potreb aplikacije, števila uporabnikov, redundance, itn...

Ni enoznačnega odgovora, kot bi nekateri tukaj radi...

HotBurek je 7. feb 2023 ob 15:19 izjavil:

Po moje bi takšni kalibri, kot si ti, moral it na tečaj bralnega razumevanja. Ker ga nimate.

Lej, kopi-pejst: Če že imaš podatke izven svoje hiše, jih imej vsaj nekje v bližini.

Imej podatke pri sebi, to je plan A. Če ne, plan B, jih imej pri prvem lokalnem cloud/datacenter provajderju. Če ne, plan C in imje sistem nekje v Ljubljani. Če ne, plan Č in imej na Dunaju. Če ne, plan D in imej nekje v Nemčiji. Če ne, plan E in imej nekje v Luksemburgu.

Ali pa Milanu. Ali pa Madridu. Ali pa Parizu. Ali pa Amsterdamu. Ali pa Kopnhagnu.

Kapiš?

To, da se vse (naše) podatke meče na en kup (kalifornija), trem monopolistom (ki kvalitetno ne plačujejo davkov), pod nadzor tročrkovnim dobrodelnim organizacijam, to jo svijarija.

Zakaj vsi/nekateri rinete (podatke) v to kalifornijo, tem trem monopolistom?

Čak what the fuck, kje pa piše, da rabijo biti tvoji podatki locirani v Kalifornijskem datacentru, če jih želiš imeti v Evropi? A AWS ne omogoča regij al kaj bom danes novga zvedu tle?

Za 3/4 firm je boljš, da mečejo svoje podatke US monopolistom v DC na zahodno obalo, pod nadzorom tričrkovnih agencij, kot da gostijo karkoli v Sloveniji, kjer jim sosed, ki dela za njihovga "providerja" šnofa dnevno po podatkih. Bodo vsaj outsourcano infrastrukturo imeli na nivoju, v primerjavi z ghetto clustri, ki jih videvaš po slovenskih DCjih.

meni niti na kraj pameti ne pride npr. da bi poštne predale gostil pri slovenskem providerju, če nisem sam in edini admin strežnika. vi pa kar.. :)

HotBurek je 7. feb 2023 ob 16:52 izjavil:

Kaj pa opcija, da bi gostil (če praviš, da v sloveniji ni na nivoju) pri provajderju v Luksemburgu?

Živiš v svetu, kjer vidiš samo dve opcije; kot praviš ali slo ghetto cluster, ali pa kalifornija. Vmes med slovenijo in kalifornijo pa, kot da ni žive duše. Zakaj?

Kaj je sploh namen tvojega utrujanja?

a je Frankfurt, Ireland, London, Milan, Paris, Stockholm dovolj? kokr vem ma AWS tud tle DC-je. maš tle še contabo, digital ocean in podobne 2nd tier providerje, k znajo bit dost dobri za to kar rabiš.

Važno je, da za denar, ki ga nameniš temu cloud providerju na njihovi strani dobiš predvsem čim robustnejšo infrastrukturo, zaradi katere ne boš imel težav ti, če bo pri njih kaj narobe in seveda čim sposobnejšo ekipo, ki bo skrbela za varnost platform, na katerih ti virtualiziraš svoj kup dreka.

In jasno je, kateri cloud providerji imajo sredstva in ekipe, da ti lahko to najbolj zagotavljajo. manjši player, slabša situacija.

Jaz mislim, da lahko vsakdo dela kar pač želi, če je nekdo v branži programerskih praks, se lahko komot prelevi v sistemskega aministratorja. Seveda je tukaj potrebno upoštevati tudi kvoeficient znanja in želje po dodatnem izobraževanju.

Zanimivi pogledi na vse skupaj. Še prebiram in premlevam.

Je pa zanimivo, da je toliko nastrojenosti proci varnosti.

In veliko nastrojenosti proti MS.
Kaj je razlika ali delaš z MS, ali pa IBM, Cisco, VMware, AWS,... ?

Se pa nekako bolj nagibam v to, da bi zavil v security vode, kot nadgradnja in razširitev trenutnega znanja.

Kot rečeno ne ciljam na neko CISO pozicijo, da bi folku suhoparno citiral ISO dokumentacijo in vsiljeval menjavo gesel na en mesec (to je mimogrede že nekaj časa odsvetovana praksa).
Priporočam ogled vsebin od Cqure, recimo Advanced Windows Security Course for 2022 ali letošnjo 23, pa tudi ostale. Dejansko je ogromna razlika, ki e jo lahko naredi samo z pravilno konfiguracijo sistemov. In lahko rečem, da take konfiguracije v praksi nikjer ne srečaš niti v zgledno urejenih podjetij, ker enostavno nimajo znanja za implementacijo.
Ciljam na to, da bi bil res tehnično dober in da razumeš ozadnje delovanja stvari, ne samo da porivaš trenutno vročo stvar ali drkaš folk z nekimi predpisi.

Se zavedam, da deloma sigurno pride zraven tudi promocija raznih MS defender produktov, ampak po premisleku ne vidim neke razlike ali reklamiraš to ali pa nekaj od ostalih prej naštetih vendorjev. In vedno si lahko kolikor toliko objektiven čeprav deloma pristranski in ni potrebno biti popolen vernik zaslepljen z eno samo pravo rešitvijo.

To drži.

Lahko pa predstavim tudi drugo skrajnost: butaste serveraše / programerje / šefe / userje vseh vrst, ki ne morejo skopčati, da je še tako zanič firewall 100x bolj zanesljiv (in zato 100x manj verjetno vzrok težav, ko nekaj leti po tleh) od povprečnega serverja / aplikacije / internetne linije / hm, računalnika.

Jaz bi rekel da je najprej treba locit security na infrastrukturnem nivoju in na aplikacijskem.

Tezko je to ista oseba (dobro pa je da je ista ekipa). Namrec za aplikacijski nivo je treba kake smernice spisat itd, security review itd, torej smo ze bolj v DevOps. Ja v praksi se isti osebi ustuli ki je sistemski security guy se skrb za varnost aplikacij, ampak ravno to je narobe.

Trenutno to pri nas to kao spila tako da sem jaz neuradno "aplikacijski security guy" in me security guy veckrat sprasuje za nasvet ko pridemo na aplikacijsko podrocje. Ampak v praksi imam pac ostale zadolzitve in brez da dobim uradno rezervirane ure, da se resno lotim varnosti aplikacij (mam ze plan kaj vse bi naredil), bo pac se naprej divji zahod pri razvoju, kakor je ze od vedno. Tak je real life :) Skratka v praksi imamo zelo dobro zasciten network in core security, na aplikacijskem nivoju pa divji zahod in sklepam da je v vecini firm tako.