Improve your security - 2018

IMPROVE YOUR SECURITY, DUDE
2018-05-02
или «Переезжаем из гаража в производственный цех»

Hi there.
I’m Nikolay Saskovets
Software Engineer @ iTechArt

44
D2D D2IMPROVE YOUR SECURITY, DUDE
Многие проекты начинаются с MVP
● MVP (minimum viable product) — минимально жизнеспособный продукт,
который позволяет получить осмысленную обратную связь от
пользователей, понять что им нужно, понять пути дальнейшего развития
продукта.

55
MVP

66
MVP

77
MVP

88
● Цели MVP:
● Тестирование гипотез о продукте с минимальными затратами.
● Ускоренное получение информации, требуемой для создания решения.
● Экономия времени на разработку.
● Быстрое предоставление продукта, решающего, как минимум, одну
проблему, ранним пользователям.

99
Одна из целей MVP:
Экономия времени на разработку.
Следовательно:
Мы стараемся не разворачивать инфраструктуру уровня гигантов, а
обходимся малым

1010
Не нужно гигантов на старте, если вы не гигант
Obama for America AWS Architecture https://s3.amazonaws.com/OM-SHARE/AWSOFA-Print-27x240.pdf

1111
Обходимся малым
● Пара-другая виртуальных машин
● Одна база данных. Возможно, кеш
● Повторяем то же самое, но для demo или qa целей
● И всё это в рамках одной сети
● Используем SaaS платформы для хранения кода и сборки приложения
● Используем простой менеджер паролей
● Используем хранилище для “артефактов” (Google Drive, Dropbox)

1313
К проекту в стадии MVP может неожиданно прийти успех
● Могут появиться
● Серьёзный инвестор с серьёзными намерениями
● Серьёзный клиент с серьёзными требованиями к безопасности
● Серьёзный компания, желающая купить стартап

1414
Серьёзные ребята — серьёзные правила
● Пересмотреть и усилить безопасность
● Выполнять требования стандартов и региональных законов
− HIPAA, HIPAA-HITECH
− PCI-DSS (Payment Card Industry’s Data Security Standard)
− ISO/IEC 15408, ISO/IEC 18045
− Другие нормативные и подзаконные акты
− GDPR
● Пройти проверку внешним security-аудитором

1616
Серьёзные ребята — серьёзные правила
Зачастую вы оказываетесь не готовы следовать таким правилам
Зачастую результаты security-аудита могут быть неутешительными

Цитаты знаменитых людей
«Твой софт —
г**но!»
Иван Ванко, к/ф «Железный человек 2»

1818
Как улучшить безопасность вашего проекта
● Ревизия имеющейся системы
● Сетевое разделение
● Все critical сервисы — self-hosted
− и обеспечение high availability этих сервисов
(дублирование, multi-az, мониторинг и т.д.)
● Менеджмент паролей
● Single Sign On
● Обучение сотрудников, создание правил поведения и следование им
● …

Сетевое разделение

2020
● Проблемы в development/qa окружении не влияют на prod
● Исключается вероятность испортить данные в prod БД из-за “миссконфига”
приложения (ситуации ряда “случайно указали хост prod БД, вместо qa”)
● Если, всё же, скомпрометируют dev или qa, то не получат доступа к
данным в prod
Зачем нужно сетевое разделение

2121
Что использовали

2222
● AWS (Amazon Web Services)
− VPC (Virtual Private Cloud)
− Route 53 (управление DNS)
− ELB, CLB (Elastic Load Balancer, Classic Load Balancer)
− EC2 (Elastic Compute Cloud, виртуальные сервера)
− RDS (Relational Database Service)
● MySQL
● PostgreSQL
− ElastiCache (БД для кэширования)
● Redis
● Ansible
Что использовали

2323
Как было

2424
Как было

2525
● Разделение production окружение и development окружений
● Развязать зависимости между dev-окружениями (qa, devel)
● Ограничение доступа извне к development окружениям
● Контроль доступа извне к production окружению
● Ограничить количество production-сервисов, которые доступны извне по
публичной сети
●
Какие изменения были необходимы

Ограничение доступа

2727
Возможные и рассматриваемые решения для ограничения доступа
к сервисам внутри AWS VPC
● Машины с публичными IP-адресами
− Белые списки
● Машины только с приватными IP-адресами
− Single ssh-entrypoint, т.н. “Bastion”
− VPN

2828
Зачем нужно ограничение доступа
● Меньше точек воздействия на ваш сервис со стороны злоумышленников
− Нет нагрузки от брутфорса паролей
− Нет нагрузки от скана портов
● Страхуемся от случая “подняли новый сервис, не настроили секьюрити, а
потом забыли, и в таком виде стали использовать для прода”
● Страхуемся от 0-day уязвимостей

2929
Разделение окружений, контроль доступа

3030
Что использовать для менеджмента разделенных окружений
● Вариант 1
− Terraform
− Docker/EC2 instances
− AWS ECS (Elastic Container Service)
− Куча CloudFormation темплейтов
− Docker/EC2 instances
− Convox, который скрывает за собой работу с AWS ECS и генерацию
CloudFormation магии
− Docker
● Вариант N
− ...

3131
Какие ограничения накладывает ограничение доступа
● Вы не можете подключиться к сервисам/серверам с произвольного
компьютера
● На всех ваших рабочих станциях настроен VPN
●

3232
Неожиданные плюсы VPN

3434
Почему вам могут быть нужны self-hosted решения
● HIPAA, HIPAA-HITECH
● Другие нормативные и подзаконные акты, требующие или иметь свою
собственную инфраструктуру, или подписывать расширенные соглашения
с поставщиками инфраструктурных решений и сервисов
● Хотим держать всё под личным контролем

3535
Что именно можно развернуть в self-hosted варианте
● Система управления версиями
Version Control System (VCS):
− Git, Mercurial, SVN
● Системы непрерывной интеграции и непрерывной доставки
Continuous integration (CI) & Continuous delivery (CD) systems
● Репозитории пакетов языка программирования
● Репозитории пакетов операционной системы
● Репозитории Docker образов
● etc…

3737
Зачем использовать self-hosted решения для Git
● Код доступен только сотрудникам компании
● Не зависим от глобального интернета
● Не зависим от “живучести” внешних сервисов
− 2017: GitLab.com database incident
● Не зависим от security багов публичной SaaS платформы
− 2012: Коммитать в github без прав из-за “бага” в Rails
https://habrahabr.ru/post/139399/
− 2012: Добавить свой SSH ключ в чужой аккаунт
https://habrahabr.ru/sandbox/41974/
− 2014: Получить доступ к приватным репозиториям
https://habrahabr.ru/post/211845/

3838
Что использовать для Git
Gitea Gogs
Gitolite
Gitlab

3939
Как это меняет вашу жизнь
● Нужно следить за живучестью вашего git-сервера самостоятельно
● Своевременно обновлять
● Своевременно бекапить
● И проверять бекапы
● …
●
● Но теперь нет ограничения на количество репозиториев
● Нет ограничения на количество человек в команде

Self-hosted Continuous Integration &
Continuous Delivery Services

4141
Зачем использовать self-hosted CI/CD решения
● Код доступен только сотрудникам компании
● Не зависим от глобального интернета
● Не зависим от “живучести” внешних сервисов
● Не зависим от security багов публичной SaaS платформы
− 2018: Travis CI поломали свою базу, а при восстановлении случайно
выдали некоторым пользователям доступ к коду чужих проектов
https://www.opennet.ru/opennews/art.shtml?num=48414

4242
Что использовать для CI
Drone.io
Gitlab CI
Jenkins
SimpleCI
CircleCI

4343
● Нужно следить за живучестью вашего ci-сервера самостоятельно
● Следить, чтобы не отвалилась интеграция
● Своевременно обновлять

Self-hosted Package Repository

4545
Зачем приватная копия репозитория пакетов
● Защищаемся от таких проблем, как:
− Удаление пакета из основного репозитория
− Перезаливка пакета с новым кодом, но без изменения версии
● Не зависим от глобальной сети
● Не зависим от “живучести” основного репозитория
● Можем публиковать и распространять свои приватные пакеты
приватно

4646
Что использовать для приватного репозитория пакетов
S3PyPI
pypiserver
pypiclouddjangopypi

4747
develop:$ cat requirements.txt
aiohttp==2.1.0
MYutils==1.0.0
MYstubs==1.0.0
aiotools==0.0.2
develop:$ cat ~/.pip/pip.conf
[global]
index_url = https://my-devpi.my.org/my-org/devel/+simple/
[search]
index = https://my-devpi.my.org/my-org/devel/
develop:$ cat ~/.pydistutils.cfg
[easy_install]
index_url = https://my-devpi.my.org/my-org/devel/+simple/

4848
SaaS vs Self-Hosted
SaaS
+ легче на старте
+ не нужно девопсить
+ дешевле в начале
- лежит SaaS — работа стоит
- популярный SaaS — популярен
у “исследователей уязвимостей”
- может сильно дорожать с вашим
ростом
Self-Hosted
- порог входа повыше
- нужно девопсить
- дороже в начале
+ живучесть в ваших руках
+ пытаемся быть неуловимыми,
как Джо
+ может оказаться дешевле,
когда вы выросли
+ выше гибкость

● Менеджмент паролей

5050
Password Managers
● Нужно помнить только один пароль — мастер-пароль
● Можно шарить доступ между людьми и группами
● Администратор может контролировать надёжность используемых
паролей
● Список всех используемых сервисов в одном месте
● Легче подключать к работе нового сотрудника
● Можно использовать Single Sign On

5151
● Все нужные пароли быстро доступны
● Нужно не забывать добавлять новые пароли в менеджер
● Нужно следить, чтобы остальные члены команды не забывали добавлять
новые пароли в менеджер

5353
Single Sign On
● логин в сервисы одним кликом
● легко отозвать доступ к сервисам компании у сотрудников
(в теории)

5454
Почему отзыв доступа может не работать
● Не все сервисы поддерживают SSO в полном объёме
● Некоторые сервисы позволяют пользователю переключаться с SSO на
обычный доступ по логину и паролю
● Прикрутить к некоторым сервисам SSO может быть затратно или по
деньгам, или по усилиям
● Многие сервисы не поддерживают SSO вовсе

5555
Что можно использовать для SSO и менеджмента паролей

5656
Bitium, интерфейс

5757
Вход в Slack через Bitium

Обучение сотрудников

«Административные» меры

6060
SUMMARY
● Гаражные развлечения
− Следуем рекомендациям вашего фреймворка и базовым best practices
− Настраиваем доступ по ssh правильно, не ходим по паролям
− Используем SaaS платформы для Git, не ходим туда по паролям,
используем ssh-ключи
− Используем простой менеджер паролей (LastPass Free)
− Не работаем с банковскими картами самостоятельно (Stripe, Recurly)
● Серьёзные игры
− “Физически” отделяем prod окружение от окружения разработки (да и qa
отделяем от development)
− Устанавливаем VPN
− Ставим self-hosted инструменты для Git, CI, пакетного менеджера
− Используем корпоративный менеджер паролей/доступа с поддержкой SSO
− … а дальше ...
− Отдельный Amazon-аккаунт для prod-окружения
Хакеры сломали аккаунт Tesla на Amazon и майнили биткоины
https://www.securitylab.ru/news/491663.php
− ...

6161
Выводы
● Не надейтесь, что вы — Неуловимый Джо
− Существует множество ботнетов, которые бьют по площадям, выискивая
уязвимости по всем публично доступным адресам
− Вы можете перестать быть “Джо”
● Применяйте различные технические, архитектурные и организационные
решения тогда, когда это необходимо
− На разных стадиях проекта необходимы разные решения
● Следование хорошим практикам обеспечения безопасности требует
серьёзных ежедневных волевых усилий и контроля

6262
● Одна из целей MVP:
● Экономия времени на разработку.
●
Следовательно:
Мы стараемся не разворачивать инфраструктуру уровня гигантов, а
обходимся малым:
● Пара-другая виртуальных машин
● Одна база данных. Возможно, кеш
● Повторяем то же самое, но для demo или qa целей
● И всё это в рамках одной сети
● Используем SaaS платформы для хранения кода и сборки приложения
● Используем простой менеджер паролей
● Используем хранилище для “артефактов” (Google Drive, Dropbox)

6363
“Сцена после титров”
● A developers guide to HIPAA compliance and application development
https://github.com/truevault/hipaa-compliance-developers-guide
●
● ISO/IEC 15408 https://www.iso.org/standard/46413.html
● ISO/IEC 18045 https://www.iso.org/standard/30830.html
● Инструмент проверки базовых правил безопасности для #django:
https://www.ponycheckup.com/
● Obama for America AWS Architecture
https://s3.amazonaws.com/OM-SHARE/AWSOFA-Print-27x240.pdf
● Open Web Application Security Project
https://www.owasp.org/index.php/Top_10-2017_Top_10

6464
Как выглядит приватная сеть, создаваемая Convox

6565
Что предлагает Convox

6666
Что предлагает Convox

6767
Проблемы

Improve your security - 2018

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Improve your security - 2018

Similar to Improve your security - 2018 (20)

Improve your security - 2018