Fórum Root.cz
Hlavní témata => Server => Téma založeno: Elep331 21. 12. 2018, 09:12:28
-
Ahoj, chtěl bych se zeptat zkušenějších na to, jak se testují a nasazují updaty v průmyslu a velkých korporátech.
Běžné je, že velké společnosti nasazují updaty (např. RHEL) až po interním otestování a odsouhlasení. Ok. Jak to ale v praxi funguje? Já tak nějak pouze tuším, že se prostě vezmou nové updaty a nasadí se na testovacím prostředí, pokud je vše ok, tak se nasadí do produkce.
Je ještě nějaká další procedura? Vyjadřuje se k tomu nějak kyberbezpečnost? Může mi někdo ten proces vysvětlit od A do Z?
Děkuji
-
Bude velmi záležet na tom, o jaký obor jde, co je případně řízeno nějakou legislativou, vnitřníma předpisy, požadavky dodavatelů aplikačního SW a jejich záručních certifikacích (kdy řada dodává seznam povolených patchů pro OS nebo přímo vydává vlastní modifikované patche proti dodavateli OS) atd a pak to budu narážet na ekonomickou stránku věci. :-)
A o velkou setrvačnost... Pískám si, provozujejme systémy na bázi RHEL4 (a lehce se prověřuje něco novějšího), snad se zbavíme příští rok věcí na bázi RedHat 7.3 a Windows 2000. Věci zahrabaných ještě hlouběji v technologii na hodně obskurnějších technologích ani nepočítám.
Kolega objíždí plynaře a udržuje systémy na bázi WindowsNT 4.0 (stále tisícovka nasazení jen v Česku). :-)
A na řau věcí se vůbec nesahá (klidně 15 let v provozu bez zásahu do SW/HW v nějakém legacy polo-izolovoaném prostředí).
Kyberbezpečnost se do toho snaží v poslední doba hrabat, ale je to zajimavý střet reality s ideály, který si musí pak zákazník rozhodnout sám a dodavatel vyhovět...
Vysvětlit od A do Z... Když se podívám, že příslušná směrnice zakazníkova kyberoddělení má asi 700 stránek vlastního holého textu (a zhusta odkazuje na další dokumenty v rozsahu asi 3 plných DVD) a checklist postupu/procesu aktualizace asi 370 položek, tak to by bylo na dlouho. :-(
-
Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
-
updaty v průmyslu
máš druhý, menší systém, který ale obsahuje stejné komponenty jako ten produkční, takže v malém zreplikujes všechny ok, kecám, takže většinu největších problémů.
* nasadíš updaty
* sjedeš aplikační mix
* koukneš na performance a validitu
* pustíš/nepustíš na velký systém
kyberbezpečnost
s výrazem "kyberbezpečnost" jsem se ještě v praxi nesetkal.
Zní mi to asi jako "digitální video disk", nebo nechvalně známý "SŘBD".
Tudíž, je to nějaká semestrálka? :)
-
Je ještě nějaká další procedura?
Někdy taky řešíš dostupnost v kontextu SLA a možnost výpadku..
Update takového openSSL je hned, ale reboot serverů kvůli kernelu většinou zvažuješ celkem dopředu, speciálně, pokud existuje požadavek na konzistenci prostředí, a těch strojů jsou tisíce.
Tzn. pak se rozhoduje, jestli bezpečnostní přínos je tak vysoký, abys kvůli tomu ty stroje rebootoval.
Kdyžtak napiš co konkrétně řešíš, tohle je hodně široká problematika.
-
...Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Tak i tohle je řešitelné, třeba taková předsunutá F5ka se správně nastaveným ASM tohle hrave zvládne a jistě jsou mraky dalších použitelných WAF.
I když se bojím, že se nejedná o zmiňovaný případ ;-)
-
Ahoj, chtěl bych se zeptat zkušenějších na to, jak se testují a nasazují updaty v průmyslu
Bavime se ciste o tom prumyslu = 2-3 mesice beta test u par zakazniku a pak to jde dal. Pokud se ti to nezda, tak specifikuj, co rozumis pod pojmem prumysl, protoze budes zcela pravdepodobne mimo co to znamena.
-
ad priemysel: je rozdiel ci sa ti update poondi tlaciaren ciarovych stitkov, zastavi vysoku pec alebo odstavi rafineriu
-
...Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Tak i tohle je řešitelné, třeba taková předsunutá F5ka se správně nastaveným ASM tohle hrave zvládne a jistě jsou mraky dalších použitelných WAF.
I když se bojím, že se nejedná o zmiňovaný případ ;-)
Asi vime jak by to melo byt, ale situace je proste jina... ;D
-
Hele připarazitním se k dotazu.
Má někdo tu někdo zkušenost s Enterprise Pappetem?
-
Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Tohle vidím jako problém. Jde o to, že řada systémů byla historicky provozována v ostrovních režimech, takže zvenčí hrozil jen uživatel, co tam přišel a něco udělal/zaviroval. Ale dneska je tlak mít to propojeno a dostupné data i pro managmeent online atd a začíná průser, protože tyto staré systémy s něčím takovým nepočítají (a i řada dodavatelů aktuálních SCADA systémů dneska se stále tváří, že se jich to netýká) a často je trochu problém jak to udělat správně a ne všude jsou ochotni dělat fyzikálně jednosměrné komunikační kanály.
A pokud se mi do toho začne cpát oddělení kybernetické bezpečnosti, že i ty ostrovy musím nějak řešit, s tím souhlasím, protože nejvíce virů pohormadě jsem potkal na takovém ostrovním systému za trojitou betonovou zdí v prostoru s přístupem jen zcela minimálního počtu lidí, na W2K/XP stanicích, kam to natahala ta obsluha přes USB flashky (jakýsi řídící sysytém chlazení jaderné elektrárny v Rusku, naštěstí vlastní řídící část byl cluster EC alpha serverů a wokna byla jen doplňkový terminál)...
A teď zkuste dostat dneska na takovýto izolovaný systém třeba antivir a řešit jeho aktualizace - včera večer jsem se chlámal v hospodě, jak kámoš tento požadavek řešil, že Avast jim odkýval, že vše umí fungovat a off line režimu, instalace, provoz, aktualizace, ale ouha, jenom to nejde spustit bez online registrace a nějak nechápali, že ten server a stanici fakt k Interneut připojit nemůže ani na tu chvíli, že s něčím takovým už teď nepočítají, předchozí edice to ještě uměla. Chlámal jsme se proto, že kolega řešil to stejné pro Eset, a to je u méně izolovaného systému, kde je kaskáda několia na sebe navázaných ESET ERA a proxin (první je v technologii, s kteoru se baví lokální krámy, druhá je nějaké DMZ mezi technologíí a kancelářským světem a třetí mezi kacnly a inetem). Opět funguje vše skoro skvěle, až na pár maličkostí, které vyžadují, aby ty koncové stanice a poslední ERA server občas uviděly přímo ven k ESETu. Také se u ESETu divili, že to tak nefunguje. :-(
A pak nastoupí oddělení kybernetické bezpečnosti s tím, že do těch technologických provozů nacpou něco na kontorlu provozu a první chcíply tyto bedny. Inu, výrobce nepočítal, že by chtěl někdo provozovat jejich krabičky v "normálním průmyslovém prostředí", kde i vojáci ze zkušebny z Vyškova na otázku ohledně EMC vyzařování/odolnosti nějakého systému nemohli odpovědět, protože el.mag. smog a teplota v daném prostředí jim rozhodil měřící techniku (2/3 roku je tam +50°C). A buďte rádi, že to chcíplo tak rychle a tiše, tak to rychle odneste, s oddělením zodpovědné za provoz se podělte o smluvní pokusu 2 MKč/hodina výpadku a my pomlčíme, že ta krabice měla mít i papír na ATEX. A to těm klukům zabralo hodně času, než těma bednama zvládli aspoň sledovat a reálně si uvědomovat, co se děje uvnitř Modbus/TCP protokolu nebo podobné ASCII protokoly tunelované přes TCP. Při představě, že by se měli zabývát vážně něčím jako OPC, OPC-UA, IEC61850,... jen krabatili čelo. Řešitelné nasazením vhodných SW sond do těch systémů, ale to je velice rychle uklidní dodavatel řídícího SW, že v tom okamžiku za něj končí jakékoliv záruky a pokud na tom trvají, tak prvně si provede svoje ověření ve své laboratoři ve Switzerland, což bude tak rok trvat a zaplatí pár XX MKč. :-)
-
Ahoj, chtěl bych se zeptat zkušenějších na to, jak se testují a nasazují updaty v průmyslu a velkých korporátech.
... Vyjadřuje se k tomu nějak kyberbezpečnost? Může mi někdo ten proces vysvětlit od A do Z?
Vysvetlit kompletne procesy v korporatu ... no myslim ze ani od Y do Z ty trubko.
-
Ja to vidim z pohledu jednoho projektu pro jeden stat v EU. Prumyslove reseni, vlastni DC vybudovane jenom pro tohle reseni. Bezi tam stare Win, nezaplatuje se to. Vsichni zijou v naivni predstave, ze se tam nikdo nemuze nabourat. Pocitace s internetem maji samozrejme z office site pristup i k tem nezaplatovanym strojum. :D
Ono resit bezpecnost os je v podstate nemozne. Bezlecnostni certifikace stoji miliony dolaru a delaji je nejvetsi odbornici sveta. Tezko se najde firma co to po nich bude kontrolovat .... .
-
Hele připarazitním se k dotazu.
Má někdo tu někdo zkušenost s Enterprise Pappetem?
Ja ano. Co te konkretne zajima?
-
s výrazem "kyberbezpečnost" jsem se ještě v praxi nesetkal.
Zní mi to asi jako "digitální video disk", nebo nechvalně známý "SŘBD".
Tudíž, je to nějaká semestrálka? :)
https://www.google.com/search?q=kyberbezpe%C4%8Dnost
> 100 000 vysledku. To skoro vypada jako bezne pouzivane slovo....