Семь ошибок безопасности (инфраструктура как код)

13 февраля 2021, 23:59
Проблема №1: Ярлыки безопасности

Проблема номер один — это неспособность обеспечить надлежащую безопасность, потому что для этого требуется много времени и знаний. Например, инженеры DevOps могут не требовать сертификатов на основе протокола SSL/TLS для всех микросервисов или не применять соответствующие роли управления идентификацией и доступом (IAM) к облачным ресурсам. Такие упущения могут сделать организации уязвимыми для злоумышленников, которые смогут сделать практически все, как только получат доступ к системе.

Соблюдение требований как кодекс может помочь решить эту проблему. Эта категория программного обеспечения применяет подход "инфраструктура как код" для автоматизации внедрения, проверки и мониторинга состояния соответствия требованиям, связанным с безопасностью, защитой данных и различными бюджетными ограничениями. Различные инструменты сканирования безопасности и тестирования на проникновение могут быть вставлены в конвейер DevOps, так что сканирование среды на предмет безопасности становится частью регулярного процесса развертывания при вводе версий в производство.

Проблема № 2: Не реализована сквозная автоматизация

Слишком часто инженеры DevOps выбирают то, что они решат автоматизировать в рамках развертывания облачной инфраструктуры — автоматизировать более простые процессы, продолжая выполнять более сложные шаги вручную. Эти ручные шаги затем становятся слабыми звеньями.

Вспомните о тех случаях, когда система авиакомпании выходит из строя из-за неудачного обновления системы, что мешает путешественникам забронировать билет. Чаще всего такие сбои вызваны каким-то неправильно выполненным ручным процессом обновления, на устранение которого у технической команды уходит до 24 часов. Это хорошие примеры того, как неспособность внедрить сквозную автоматизацию может привести к недовольству клиентов и потере доходов.

Проблема № 3: Недостаточное автоматизированное тестирование

Разработчики признают ценность автоматизированного тестирования для своих приложений, но многие инженеры DevOps забывают применять подобное тестирование к своей инфраструктуре в качестве кода. Однако, как и приложения, инфраструктура по мере развития кода продолжает развиваться, и эти изменения могут привести к ошибкам, которые нарушают код. По этой причине крайне важно применять автоматизированное тестирование как к приложениям, так и к инфраструктуре как к коду, чтобы гарантировать правильную работу конфигураций инфраструктуры.

Проблема № 4: Игнорирование лучших практик оптимизации затрат

Мы видели реальные примеры, когда развертывание может стоить либо 1000, либо 100 000 долларов в месяц, в зависимости от того, как управляется облачная инфраструктура. Оптимизация может принимать форму правильного определения размера ресурсов, использования преимуществ спотовых экземпляров, идентификации незанятых ресурсов или работы на нескольких облачных платформах.

Тем не менее, в спешке, чтобы получить проект с нуля, некоторые инженеры DevOps забывают реализовать оптимизацию затрат в своей инфраструктуре как к коду. Конечно, потребуется больше времени для внедрения лучших практик оптимизации затрат, но ежемесячная экономия затрат на облачные технологии обеспечит быструю окупаемость этих инвестиций.

Проблема № 5: Создание облачного мусора

Очень легко создать новую инфраструктуру, но не так легко ее удалить. Это часто оставляет организации с бесхозными ресурсами в облаке, которые больше не нужны. И предприятия платят облачным провайдерам за этот “облачный мусор”, который все еще работает неиспользуемым на их платформах. По этой причине инженеры DevOps должны убедиться, что они автоматически не развертывают неиспользуемые ресурсы как часть своего кода инфраструктуры.

Проблема №6: Жесткое кодирование значений параметров

Жесткое кодирование-это практика встраивания специфичных для среды свойств или значений параметров непосредственно в исходный код для автоматизации DevOps. Пример такого анти-паттерна — это когда учетные данные администратора жестко закодированы в сценарии инфраструктуры как кода, что позволяет злоумышленникам использовать эти учетные данные и взломать инфраструктуру развертывания. Жестко закодированные значения также приводят к ошибкам, зависящим от конкретной среды, что затрудняет повторяемость и автоматизацию развертывания.

Проблема № 7: Монолитные скрипты

Иногда инженеры DevOps объединяют множество задач в один большой монолитный сценарий автоматизации. Если им нужен похожий сценарий, они скопируют и вставят исходный сценарий и перепишут несколько параметров. Такой подход приводит к инфраструктуре как коду, который становится слишком сложным для поддержания и расширения. Лучший подход-разбить код инфраструктуры на отдельные модули или стеки, а затем объединить их в автоматическом режиме во время развертывания. Есть несколько преимуществ для этого подхода. Во-первых, инженеры DevOps имеют больший контроль над тем, кто имеет доступ к различным частям их инфраструктурного кода. Во-вторых, это позволяет командам повторно использовать работу в будущих проектах. В-третьих, это помогает командам DevOps поддерживать и тестировать модули.
Семь ошибок безопасности (инфраструктура как код)

WebRTC теперь официальный стандарт

2 февраля 2021, 13:50
  26 января 2021 года

Web Real-Time Communications (WebRTC) https://www.w3.org и https://www.ietf.org

Консорциум World Wide Web Consortium (W3C) и Целевая группа по разработке Интернета (IETF) объявили сегодня, что Web Real-Time Communications (WebRTC), которые поддерживают множество сервисов, теперь является официальным стандартом, обеспечивающим аудио-и видеосвязь в любом месте Сети.

WebRTC, состоящий из JavaScript API для веб-коммуникаций в реальном времени и набора коммуникационных протоколов, позволяет любому подключенному устройству в любой сети быть потенциальной конечной точкой связи в Интернете. WebRTC уже служит краеугольным камнем онлайн-коммуникаций и услуг совместной работы.

"Сегодняшнее знаковое достижение является своевременным. Столкнувшись с глобальной пандемией коронавируса COVID-19, мир становится все более виртуальным. Это делает Интернет еще более важным для общества в области обмена информацией, коммуникаций в реальном времени и развлечений",-сказал д-р Джефф Джаффе, генеральный директор W3C. “Отрадно видеть, что наши технологии играют ключевую роль в создании такой критически важной цифровой инфраструктуры. Сочетание универсального охвата Интернета с богатством живых аудио-и видеопереговоров изменило то, как мир общается.”

https://www.ietf.org/blog/webrtc-standardized/



WebRTC теперь официальный стандарт

Мировые тренды 2021 года в сетях - советы от Cisco systems

8 января 2021, 19:33
  1. Обеспечивайте безопасность сотрудников, где бы они ни находились. 

    В наши дни за пределами офиса работает почти в пять раз больше людей. И гибкость в работе нужна здесь и сейчас, чтобы оставаться в той или иной форме. Таким образом, ваша команда должна обеспечить безопасный, продуктивный и совместный опыт для ваших сотрудников, где бы они ни находились: дома, в офисе или в дороге. И когда дело доходит до удаленной работы, мы обнаружили, что 65% организаций считают главной проблемой безопасность.

  2.  Привлекайте работников к  работе в офисе — смело!

    Работа в офисе будет протекать иначе, чем раньше. Потому что пандемия подталкивает многие компании к внедрению новых защитных мер. В качестве примеров:
    62% будут больше полагаться на видеоконференции
    32% будут следить за тем, сколько людей находится в одном месте
    30% будут использовать новые средства защиты, включая тепловые датчики и бесконтактное управление лифтом

    Чтобы это произошло, ваша сеть должна быть более гибкой, чем когда-либо. Поэтому ваша команда должна быть уверена, что она готова поддерживать большую доступность и автоматизацию.  

 
  1. Распределение на несколько общедоступных облаков.

    В кризис облака могут быть ключом к тому, чтобы все были на ногах. Когда вы распределяете свои приложения и рабочие нагрузки как по публичным, так и по частным облакам, вы можете быстрее развертывать сервисы и снижать риск сбоев в работе ваших систем. Пандемия уже побудила 21% организаций перенести больше рабочих нагрузок в общедоступные облака, чтобы получить больше мощностей.

  2. Автоматизировать общие задачи, адаптироваться быстрее.

    Ваша сеть должна быть готова к неожиданным скачкам из любого места. Когда разразилась пандемия, нам в Cisco пришлось масштабироваться, чтобы справиться с 300-процентным увеличением использования WebEx почти за одну ночь. И мы не смогли бы справиться с этим всплеском вручную—мы полагались на автоматизированные инструменты, чтобы сделать такие вещи, как обеспечение большей пропускной способности, балансировка пропускной способности и массовое привлечение новых людей.

    И вы можете сделать то же самое. В ближайшие пару лет 35% компаний планируют автоматизировать свою инфраструктуру и доступ к Сети Интернет на основе намерений — по сравнению всего с 4% в прошлом году.  

  3. Использование ИИ для управления штормового предупреждения.

    Среднестатистическое предприятие получает около 6000 квалифицированных сетевых оповещений каждый месяц. Слишком много событий, чтобы ваша команда могла быстро их заметить и исправить. Вот тут-то и появляется искусственный интеллект. Он может обрабатывать большую часть этих предупреждений, оставляя гораздо более управляемый срез проблем, с которыми может справиться человек. Например, было показано, что наши инструменты с поддержкой искусственного интеллекта сокращают количество сетевых оповещений на 99,6%.
Мировые тренды 2021 года в сетях - советы от Cisco systems

Утечка конфиденциальных данных Sangoma Corp

30 декабря 2020, 09:31
Маркхэм, Онтарио, 24 декабря 2020 года

Sangoma Technologies Corporation (TSXV: STC) объявила, что в результате кибератаки вымогателей на один из серверов компании вчера были раскрыты и опубликованы частные и конфиденциальные данные, принадлежащие компании.
Компания начала всестороннее расследование, чтобы полностью установить масштабы этого нарушения данных, и тесно сотрудничает со сторонними экспертами по кибербезопасности, чтобы поддержать эти усилия.

Нет никаких первоначальных указаний на то, что аккаунты клиентов были скомпрометированы, а также на то, что какие-либо продукты или услуги Sangoma были затронуты в результате этого нарушения. В то время как расследование продолжается, в рамках максимальной осторожности, компания рекомендует клиентам изменить свои пароли Sangoma.

“Мы обязуемся использовать все доступные меры для обеспечения безопасности и защиты наших данных, а также данных наших клиентов, партнеров и сотрудников”, - сказал Билл Вигналл, президент и генеральный директор Sangoma. “Мы работаем так быстро, как только можем, чтобы завершить наше расследование. По мере развития этой работы мы планируем предоставлять обновленную фактическую и точную информацию по мере ее поступления.”

Как всегда, всем клиентам Sangoma, у которых есть вопросы, рекомендуется связаться с Sangoma традиционными методами или по электронной почте: sangoma-security@sangoma.com.

Оригинал: https://www.sangoma.com/press-releases/sangoma-technologies-confirms-data-breach-as-result-of-ransomware-attack/


Утечка конфиденциальных данных Sangoma Corp

Доступна коммуникационная платформа Asterisk 18

26 октября 2020, 09:04

 
      

После года разработки состоялся релиз новой стабильной ветки открытой коммуникационной платформы Asterisk 18, используемой для развёртывания программных АТС, систем голосовой связи, VoIP-шлюзов, организации IVR-систем (голосовое меню), голосовой почты, телефонных конференций и call-центров. Исходные тексты проекта доступны под лицензией GPLv2.
Asterisk 18 отнесён к категории выпусков с расширенной поддержкой (LTS), обновления для которого будут выпускаться в течение пяти лет вместо свойственных для обычных выпусков двух лет. Поддержка прошлой LTS-ветки Asterisk 16 продлится до октября 2023 года, а ветки Asterisk 13 до октября 2021 года. При подготовке LTS-выпусков основное внимание уделяется обеспечению стабильности и оптимизации производительности, приоритетом же обычных выпусков является наращивание функциональности.

Ключевые улучшения в Asterisk 18:
    Добавлена поддержка видеокодека H.265/HEVC.
    Для приложений и каналов реализована поддержка протокола двунаправленной потоковой передачи звука AudioSocket.
    Добавлена поддержка протоколов STIR/SHAKEN для борьбы с фальсификацией идентификатора звонящего (caller ID). Поддерживается как отправка заголовка с заверением идентичности при исходящих вызовов, так и проверка звонящего при приёме входящих вызовах. с заверением идентичности при исходящих вызовов, так и проверка звонящего при приёме входящих вызовах.
    Добавлен новый режим форматирования лога "plain", при использовании которого не используются управляющие символы для выделения цветом и указывается информация о файле, функции и номере строки.

В API Streams реализованы базовые возможности для управления согласованием кодеков (ACN, Advanced Codec Negotiation)     Поведение приложения BridgeAdd приближено к приложению Bridge и также выставляет для канала переменную BRIDGERESULT, для передачи в сценарий обработки вызовов (dialplan) информации о результате совмещения каналов.     В модуле res_pjsip реализованы новые опции incoming_call_offer_pref и outgoing_call_offer_pref для определения желаемого порядка кодеков для входящих и исходящих вызовов.
...
  Оригинал статьи https://www.opennet.ru/opennews/art.shtml?num=53941
Доступна коммуникационная платформа Asterisk 18

Пока сидим дома

15 апреля 2020, 14:39
 

Зайдите на сайт http://pokadoma.ru

Создайте нужную комнату для переговоров

Пользователи подключаются по ссылке или введя название комнаты

Защищенная сеть - Защита каналов связи организуется фреймворком WebRTC, который использует протоколы шифрования SRTP для передачи видео и аудио данных

Возможность установки пароля для входа в чат

Установите пароль на нужную комнату и проводите переговоры конфиденциально.

  1. Видео веб-семинары

  2. Совещания

  3. Планерки

  4. Видео встречи с друзьями и знакомыми

  5. Прямые эфиры

  6. Групповые обучения

  7. Презентации

   

Пока сидим дома
Перейти к архиву