szóval a vállalatok messze okosabbak, mint amit a nagy szolgáltató cégek erőltetnek...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Igen!

Ha pedig gikszer csúszik be, az nema cég hibája! Ékes példa:
"We were not hacked, a clever criminal convinced us to give him our data." Majd megadták social engineering alapján 23,4 millió ember személyies infóját: cikk

"Fuck the Kingsguard, fuck the city....Fuck the king!"

sajnos nem eléggé...

"Jelenleg a cloud nem más mint a sales által elhazudott és eladott utópia, egy ígéret, csalánba csomagolt mézesmadzag, amit az üzemeltetés f@$zával vernek" | Feel the power! Intel Core i7 | iPhone 14Pro 256GB | iPad Pro 2017 64GB

canon most vesztette el egy csomo pro user adatat, bocsi igy jartatok...
[link]

A camera does not make art, the artist makes art.

Pont én is Canon-nal akartam példálózni.

Lehet, hogy sokaknak bejön ez a felhősdi, de a dupla DVD (2 dvd-re ugyanaz) dupla (raid, vagy különálló) winyós házi archiválást soha nem váltja ki (főleg, hogy a mai világban az otthoni gépem a "felhő", hiszen bárhonnan elérhetem (már jó ideje, akár olyan fapados megoldással, mint teamview-er, meg persze egyéb védettebb alkalmazással), akkor meg minek bíznám az adataimat másokra?

[ Szerkesztve ]

Ha betörnek, elázik, villám csapás, tűz keletkezik... jó a felhő, plusz lokális online, és offline mentés.

[ Szerkesztve ]

Ezt attól a tengernyi, marketing-vezérelt birkától kérdezd. Mindig van valami lélekemelő szövegük.

Teamviewer-el pont egy ablakot nyitsz bárki felé aki be akar törni a gépedre. Egy időben biztosan, de szerintem most is az van, hogy a tűzfalon átmegy simán a Teamvieweres kérés, szal aki ezt el akarja csípni, az máris hozzáfér a cég teljes belső hálózatához. Nem véletlenül nem engedélyezik a komolyabb cégek a Teamviewer használatát, max akkor, ha az adott gép le van választva a belső hálózatról, szal a Teamviewer nem megoldás, ellenben szívás céges szinten. Már akit érdekel a biztonság...

A DVD-t meg hagyjuk, mint backup. Ez a megoldás már 10 éve is nevetséges volt vállalati szinten, de sima userként sem használnám. A RAID meg csak fél megoldás. RAID 50, 60 esetleg, csak ahhozt sok winyó/ssd kell (ha sok adat van, akkor méretben is nagyok, vagyis komoly költség), ráadásul különböző típusokat érdemes használni, plusz különböző helyekről beszerezve, hogy ne legyen az, hogy egyazon gyártósorról jöjjenek le, így akár 1 héten belül megy tönkre az összes...Erre szintén figyelnek a komoly cégek.

Szal a felhő megoldás életképes, csak nem mindegy, hogy kiét válasszuk. A ZS kategóriás szolgáltatók felhős megoldását kerülni kell, mind az SA, mind a biztonság miatt (minimum hogy beloggolás userek esetén minimum kétfaktoros hitelesítés legyen stb).

[ Szerkesztve ]

Nem is csodálom, hogy aggódnak. De akkor miért használják? Ja, hogy olcsóbb...
Érzékeny adatot nem tennék oda... Publikusaknak, nagy tömegűnek viszont tök jó, csak az ugye nem akkora piac.

"a meglévő biztonsági eszközök és a nyilvános felhők: 82% nyilatkozott úgy, hogy a hagyományos biztonsági megoldásaik vagy egyáltalán nem, vagy csak korlátozottan tudnak működni a felhő környezetekben –"
Ne már, az a baj, hogy a nem felhős security nem felhős security?

@pintermiki : Ennyi... A fehő lehet egy backup, de egy backup nem backup. Viszont a backup egyik lábának pont jó, az védve van a természeti katasztrófák ellen.

[ Szerkesztve ]

Mutogatni való hater díszpinty

teljesen mindegy, kiét választod, mindegyik betérdelt már az utóbbi időben 2-3 alkalommal. tehát a mérőszámok szerint a jelenlegi felhők rendelkezésre állása elfogadhatatlan.

a másik probléma, hogy amíg törvény van rá, hogy a felhőben tárolt adat "nyilvános" a szerveknek, addig a felhő bizalmassága nulla, és teljesen mindegy, hogy erről mit pofáznak a managgák.

a publikus felhővel kapcsolatban egyetlen épelméjű megoldás létezik, amiről tudni lehet, hogy nem ignorálja a szakmai érveket: elkerülni messzire.

ettől teljesen különböző téma a publikus felhőben alkalmazott technológiák alkalmazása magán rendszereken. az csak szimplán felesleges, de nem ostobaság

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Ez így nagyon nem igaz.
Tavaly és tavalyelőtt az akkori munkahelyem saját felhője egy külsős szerverparkban (99,999%-osat garantálnak) egyszer sem térdelt le, és az Azure-t is használtuk többszörösen is, de nem volt számottevő kiesésünk, csak annyi, amennyit mindenki vállal SLA-ként évente.

[ Szerkesztve ]

próbáljunk meg értelmezve olvasni, az általam tett állításokhoz nem sok köze van annak, hogy nektek volt privát felhőtök.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Akkor próbálj meg te is értelmezve olvasni:
1. Akár mi építettünk felhőt, akár más, az publikus felhő (főleg hogy ügyfelek csatlakoznak rá), úgyanúgy kell üzemelnie, mint bárki más felhőjének, csak itt mi feleltünk érte (részben), szal ez nem kifogás részedről, hogy nem idetartozó
2. Említettem az Azure-t is. Azt gondolom mondanom sem kell, hogy ki üzemelteti...ha igen, akkor az gáz.

[ Szerkesztve ]

publikus felhő az, ha valaki épít egy felhőt és azt másoknak árulja.
privát felhő az, ha fogod a publikus felhőkben használt technológiákat és a saját pincédben, mindenki mástól elzártan építesz egy felhőt.

persze, említetted az azúrt is. az azúr rendelkezésre állása számomra elfogadhatatlan szinten van. de az aws-ről is volt elég sok rossz hír. ezeket csak tetézi, ha a vasra, amin a lambdád fut, beengednek mást is, aki békésen leolvaszthatja a kísérteteivel a rendszeredet.

és tényleg, nem kell mondanod, ki üzemeltetni az azúrt. annál nagyobb ellenérvet, mint hogy az ms üzemelteti az azúrt, nem is tudok felhozni ellene. normális ember nem vesz fel közismert pedofilt bébiszitternek.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Alap, hogy az ilyen felhőtárhelyek nem egy helyen tárolódnak, hanem valamilyen elosztott filerendszeren, földrajzilag több lokáción.

@bambano : Az előző melóhelynek volt olyan magánfelhője, ami globális szolgáltatást adott cégen belül, csomó mindenre jó volt (storage-tól alkalmazáshostingig minden), az pl. nagyon nem volt felesleges. Elosztott filerendszer volt alatta, hibatűrő infrával, elég jól össze volt rakva.

@Shycii : És akkor pl. Azure AD alapú login cégeknél? Majd a MS-nak kell elhinni, hogy nem tudnának akármikor bejutni a hálódra - de ha nem ők, akkor elég a MS-t meghackelni... Nem mellesleg ugye emellé az Office365 nevű csoda, hogy még a bizalmas doksijait is tartsa ott a cég... (és olyan licencelési / hozzáférési problémákat látunk belőle naponta, hogy még).

[ Szerkesztve ]

Mutogatni való hater díszpinty

azt kellene érteni, hogy a felhőnél egy alapvető vízválasztó, hogy egy érdekcsoport használja, akik felől kevésbé várható támadás és egyszerű rájuk megfelelő szabályokat kényszeríteni, vagy több.

Ha több, akkor ment az egész a levesbe. ha az üzemeltetést jogszabályban előírtan ellenérdekelt fél végzi, akkor még hülye is, aki oda vitte a dolgait.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Valahogy így.

Ellenben, pl. ilyen jellegű dolgok alá, hogy videómegosztó, képmegosztó oldalak, stb., jó megoldás a publik felhő. Ahol nagy tömegű, nem érzékeny adat van, lehetőleg úgy, hogy ne legyen rajta mit ellopni. De ez nagyon kevés eset.

De azért az ilyen "bevezetünk egy új endpoint védelmet, amit telepítsetek a szerverekre" kérésnél néztem, hogy tegyek fel egy csomagot, ami root jogú management cuccot tartalmaz, amit az Amazon AWS-en futó szekuriti szolgáltatásról felügyelnek... Mondom hogy a micsoda... (A konzolhoz nem kaptunk jogot...) Biztonság kimaxolva...

Mutogatni való hater díszpinty

bambano
No, akkor mégegyszer leírom. A mi általunk épített felhőt az ügyfeleink használták, ergo árultuk, dolgozhattak abban pl azon előnyöket kihasználva, hogy nem kellett szervert üzemelniük, bármikor bárhonnan elérhető volt. Ez akárhogy nézem publikus.
Ahhoz képest, hogy az Azure elfogadhatatlan szinten van, a vállalt SLA-kat teljesítik, ami 99% fölött van náluk is szerintem. Hogy ez mitől vállalhatatlan...Pedig mi még webes apikat is működtettünk ott, és sose volt gondja az ügyfeleinknek, hogy jaaaj elérhetetlen, hogy nem működik stb.
Az utolsó mondatod meg no comment. Látszik, hogy tipikusan azaz ember vagy, aki előítéletes, és akkor se képes beismerni ha gtévedett, mikor egyértelmű. Mindezt úgy írom, hogy én Linux-ot használok (Arch linux), mielőtt MS imádónak titulálsz...

hcl
Mi a probléma az AzureAD-val? Komolyan azt gondolod, hogy azokat az adatokat szöveges file-ban tárolja? Ennyi erővel akkor az Apple is hozzáfér az ujjlenyomatodhoz az iOS-en keresztül, hisz az Apple csinálta az iOS-t, pedig nagyon nem így van. Szerintem olvasd el az AzureAD technológiát (ne a Wikipedian-s), és utána gondold végig.
Office365-ot a mostani cégnél is használunk, előzőnél is. Soha nem volt sem hozzáférési, sem licencelési gond. Nem igazán értem mire gondolsz, de leírhatnád mi az a licencelési gond amitől használhatatlan.

Sárosy Gyula
Ezzel mi a gond? Pont azt a lényeg, hogy kapjon folyamatosan frissítést. Olyan szoftver nincs, amiben nincsen biztonsági rés. A kérdés az, hogy milyen gyakran frissítik, és nem az, hogy hibátlan legyen. Linuxban is bőséggel van biztonsági frissítés, hiba, de ettől még nem szar, nem hulladék. Minnél bonyolultbann egy szoftver, annál nagyobb valószínűséggel lesznek ezek a gondok, de ezek javíthatóak. Nézd meg a hálózati eszközöket, pl routereket. Olyan ordas nagy hibákat találnak időnként, és egyáltalán nem egyértelmű, hogy azt a gyártó javítani fogja, és ha javítja is, akkor se települ magától, frissül magától. Én inkább a hardverhibák, hardverek biztonsági problémái miatt aggódnék...

@Shyciii : Az alapelv Ember, a hitelesítést olyasmire bízni, ami nem áll az ellenőrzésed alatt? Ráadásul egy olyan cégre, ami közismert a disznóságairól?
Nyilván nem gondolja senki, hogy plaintextben vannak a jelszavak (mondjuk nem is írtam ilyet), de alapvetően ilyen szintű biztonsági infrát nem hiszem, hogy érdemes public cloudba tenni. Főleg nem olyankor, amikor rendszeresen derülnek ki olyan hardveres hiányosságok, amik lehetővé teszik virtuális környezetben a jogosulatlan memóriaolvasást.

"Office365-ot a mostani cégnél is használunk, előzőnél is. Soha nem volt sem hozzáférési, sem licencelési gond."
De jó neked Magától képes eldobni a licencet, meg néha akkor is aktiválatlan terméket mondani, amikor van a userre kiadva licenc...
Meg amikor a support azt mondja, hogy ja, erre igazából a profilreset a megoldás, akkor néztük, hogy miért nem a gépet kell cserélni...

[ Szerkesztve ]

Mutogatni való hater díszpinty

Ennyi erővel a lokális Windows Servered csak az ellenőrzésed alatt. Te pontosan tudod minden kód sorát, hogy mit csinál? Szerintem biztosan nem, ergo veszélyes használni lokálisan sem. Bocsi, de ez az érved nagyon erőltetett. És akkor még nem említettem a Google fiókot, Apple ID-t stb, amik mind nincsenek az ellenőrzésed alatt.

Sorry, de nekünk az Office365 licenc nem csinált semmilyen eldobálásokat sem, pedig az előző cégnél 100 feletti licencünk volt, és akkor még ott voltak a devops-os licencek is pluszban, ahol szintén nem volt ilyen gond. Ott max az volt a szívás az elején, hogy a licenceknek kellett 1 nap mire beaktíválódtak, és a Visual Studio felismerte, de már ez a probléma sincsen. 1-2 óra alatt beaktíválódnak már. Mostani cégnél már nincs ennyi licencünk, de amióta bevezettem ide, azóta működnek gond nélkül.

Így van, ha jót akarnak maguknak otthagyják az egészet. Tavaly már határozottan látszott a pozitív folyamat ami azt jelenti, hogy még azok is akiket behülyítettek visszatáncolnak onnan, de sajnos, most a koronavírus lassítja ezt a folyamatot. Bár ez a koronavírus kétélű fegyver, lehet sokan most csatlakoztak, de én sok olyan történetet is láttam, hogy utálják amit láttak.

Tavaly amikor a felhőt már temettem:

"az informatikai vezetők 73%-a dolgozik azon, hogy a nyilvános felhőből egyes szolgáltatásokat visszavigyenek egy privát felhőalapú megoldásba vagy hagyományos adattárolókba (de csak 22% mondta azt, hogy több mint ötféle szolgáltatást mozgatnak vissza),"

"...60%-uk szerint a biztonság az egyik legfontosabb szempont, ha a felhővel kapcsolatos stratégiát építik,"

https://www.portfolio.hu/uzlet/20191118/ebben-latjak-most-a-vezetok-az-informatika-jovojet-407441

A számítástechnika új negatív trendjei: ujtechkor.blog.hu

"Ennyi erővel a lokális Windows Servered csak az ellenőrzésed alatt. Te pontosan tudod minden kód sorát, hogy mit csinál?"
Ezért nem szoktam preferálni Windows használatát.
De ha már, akkor abból is local AD, ott legalább nem az van, hogy még a hitelesítő adataid is valahol vannak, ahol becsszóra nem néz bele a szolgáltató. (Meg ha a szolgáltatót meghackelik...)

"És akkor még nem említettem a Google fiókot, Apple ID-t stb"
Céges környezetről volt szó. Amúgy ezek sem tetszenek, privát használatra sem, csak nem tudom kikerülni.

"pedig az előző cégnél 100 feletti licencünk volt, "
Itt ezresével van... 100 usernél jóhogy nem tűnnek fel a gondok...

Mutogatni való hater díszpinty

Nos ha több ezernek kell lennie, hogy feltűnjön, akkor talán még sem gyakori probléma, mint mondod

Az a baj, hogy szerintem te nem ismered a Windows-t, sem az AD-t és annak tárolását. Az AD teljes hitelesítő adataidat nem tudod kiolvasni te sem lokális rendszer esetén sem. Úgy tárolja a rendszer, hogy te nem fejtheted vissza. Márpedig akkor teljesen mindegy hol van tárolva, mert akkor a szolgáltatód sem lesz képes rá. Azért ez nem egy nagy cucc.
iPhone-t sem azért nem tudta az FBI feltörni, mert lokálisan vannak tárolva az auth-hoz szükséges adatok, hanem azért mert úgy vannak tárolva, hogy nem tudják visszafejteni. nyilván az AD is így van, és elég sok más is. De igazából tök mindegy, mert aki MS-t akar köpködni, az úgyis azt csinálja függetlenül, hogy mennyire ért hozzá.

Csak egy megjegyzés: A lokális Windows szerveredet a lokális tűzfalad mögé rakod, amin csak az a hálózati forgalom megy ki amit te szeretnél, tehát nagyon nem ugyanaz mint a felhőbe rakni.

Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.

"Nos ha több ezernek kell lennie, hogy feltűnjön, akkor talán még sem gyakori probléma, mint mondod "
Ja, jó, ha száznál még nem olyan gyakori, akkor nincs is gond?

" Az AD teljes hitelesítő adataidat nem tudod kiolvasni te sem lokális rendszer esetén sem."
És más sem. Ez a lényege.

"Márpedig akkor teljesen mindegy hol van tárolva, mert akkor a szolgáltatód sem lesz képes rá. "
Ez hogy következik? (Amúgy nem kell konkrétan visszafejtenie a jelszavakat.)

"iPhone-t sem azért nem tudta az FBI feltörni, mert"
Fals, törhető.

Nézd, a gond azzal van, hogy nem te felügyeled azt a szolgáltatást, amin a hitelesítésed fut. Innentől kezdve a szolgáltató szaván kívül semmiben nem bízhatsz, hogy ahhoz más nem fér hozzá. Érzékeny adatok esetén ez nagyon kevés. Még egy Apple szerű konzumer izé esetén szódával elmegy, de céges adatokat ilyesmire bízni?
Nem mellesleg ha a szolgáltatót meghackelik, akkor sok cég adatait lehet együtt ellopni.

[ Szerkesztve ]

Mutogatni való hater díszpinty

De szamodra minden elfogadhatatlan, ha nincs benne kernelforgatas, nemdebar? :)

Ez a megmondoember hanglejtes valos peldak nelkul eleg hiteltelenek szamomra.

Ikea Tafjord, Kínai indukciós töltő, Victorinox Traveler, 10 Tojás M (3 már hiányzik),Rádiós ébresztőóra piros kijelzővel, Varta akkutöltő

Vannak akik céget is alapítanak arra, hogy egy sufniban fut a szerver 100%-os rendelkezésre állással mindaddig, amíg el nem romlik, mert akkor vége Aztán indítanak egy másik vállalkozást tiszta lappal.
Ha már tényleg van rendes megoldás, többfelé betáppal, szünetmentesítéssel, generátorral, internetből is több független kapcsolattal... akkor már csak több telephely, lehetőleg másik kontinensen hiányzik.
Lokálisan pedig akkor is lehet kiesés, ha a szerverterem működik, csak épp a megyében vagy országban nincs rendes internet, mert az ügyfelek által elérhető netszogáltatások padlót fogtak.

VPN. Anydesk (bár én SSH-n oldom meg és tunnelen belül). Elosztott fájlrendszer.

A raid meg rendelkezésre állás, nem backup megoldás, ha már a DVD-t szóba hozta valaki. Szezon és fazon. Persze jó cucc (a raid), ha tudja az illető, miért csinálja.

A felhő totális kontroll a tömegek és vállalatok felett egyaránt, semmi más. Vannak csilivili KPI-ok, mutatók, CI/CD, anyámkínja (amik felhős technológiával on-prem ugyanúgy kiválóan megléphetők mindenféle felhőszolgáltató nélkül), cserébe sokminden jogi oldalról minimum kérdőjeles, de a legnagyobb probléma velük még mindig nem ez.

Hanem: amikor az egész világ arrafele halad, hogy bezárkóznak, kakaskodnak egymással politikusok, országok, korábbi szövetségesek, vagy két irányba is nyalnak és mikor melyiknek jobban, mennek az adok-kapok dolgok, a felhőben lévő adatok fölötti kontroll mégiscsak 1 kezében lesz: a felhőszolgáltatóéban. Pár kattintás egy AWS-en és még az Outpost-okban onprem is viszlát a cuccnak, ha egy trámp úgy rendelkezik, mert [...] <- ide rengeteg n+1 ilyen-olyan mondvacsinált indok írható.

Tehát az semmi, amikor egy Huawei-t bannolunk, hogy júj, csúnyák, így-úgy. Majd az, amikor a nagy nemzeti és izolációs és gazdaságvédelmi dolgoknak köszönhetően elkezdenek a felhőben "kapcsolgatni" komplett zónákat, vagy ennek belengetésével nyomást gyakorolni egy ott lévő félre, akkor leszek kíváncsi a sok felhős arcára. Persze ilyen nyíltan nemigen menne, zárt ajtók mögött meg bármi. Bár ebben a mondatban most nem vagyok biztos.. ma már .. tudjuk jól .. bármit elbír a sajtó ..

Emberek. Úgy van ez pontosan, ahogy a jó öreg mém mondja: it's just someone else's computer. Ezen nincs mit beszélni. És ez túlmutat azon, hogy az ember érti-e vagy sem a felhőtechnológiát. Azt kell érteni, mindez mit implikál őrá nézve. Eddig már a legtöbb managga agya nem ér el, vagy úgy van vele, megkapja a vastag lóvét, vállvonás, gyereknek van mit enni, hitelt kicsengeti a kétszázmilkós házra relatív gyorsan, min kéne hogy görcsöljön akkor. Az ilyen managga ahogy felhőbe megy, túl azon, hogy megváltozhat a pénzügyi modelljeiben a CAPEX/OPEX arány, meg jönnek a csilivili hatékonysági mutatók, aminek Mr. managga vagy örül, vagy sem, baszhatja a kontrollt adatai felett. Békeidőben el van vele hitetve, hogy ő az ura mindennek és über security van, buksisimi, nem-békeidőben meg csak egy vállvonás (tollvonás) és meg vannak szorongatva az adott cég tökei azonnal. Ez nem hatékonyság, vagy mondjuk úgy, némi hatékonyság (ami on-prem balfaszkodás miatt van általában) előnyét meglovagoló bújtatott kontroll minden felett.

Kisembernek az meg, hogy felhőbe betegyek backup-ra 10 terát, hogy ha itthon leég, elszáll, stb, -> tegyük fel, oké, egy 1000-es net párszázas upload-ja mentén előbb-utóbb felér, kivárom, türelmes vagyok elsőre, utána meg inkrementálissal vidáman mosolygok. Aztán jön a gebasz - töltsél már le 10 terát a felhőből (A pénztárcád tartalmát azért poll-old rendszeresen, nehogy meglepődj és ez cégekre is igaz, akik nem biztos, hogy csak ennyit tolnak fel).

A tűzfalon az megy át, amit engednek neki. Egy megfelelően összerakott és konfigurált WAF-al azért lehet jókat alkotni, ha tudja az ember, mit csinál, beleértve még a https kicsit máshogy "kezelését" is.

[ Szerkesztve ]

Lá lá lá lá lááá lááá.. Lá lá lá lá lááá lááá .. Lá lá lá lá lááá lá lááá lá lá lá lááááá láááá