前提
- 外部にWebサービスを提供している
- lvs,Web,redis,DNS
- CentOS
質問内容
外部に対してwebサービスを提供するにあたってのセキュリティがよくわかっていません。
そこでセキュリティについて質問になります。
カーネルやソフトウェアに重大な脆弱性が発見された場合、
【即時に対応】
するに関して質問です。
一つ目
仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合、カーネルやソフトウェアで重大な脆弱性が発見された場合、即時に対応するなんて必要ないでしょうか?
二つ目
どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合
この前提がおかしいと思います。ルーターに「悪意のある通信」を見分ける能力はありません。
特定の脆弱性を攻撃するためには、特定ポートが開いている必要があるという状況ならよくあります。そのため、ルータでそのポートが閉じられている場合は、即時の対応は必要でないケースが多いと思います。
また、ライブラリの脆弱性であれば、通常は、脆弱性のある機能(関数やメソッド)を呼び出していなければ、脆弱性の影響は受けません。この場合も、即時の対応は必要ありません。
しかし、言葉尻を捉えるようで恐縮ですが、もし本当に「外部に対してwebサービスを提供するにあたってのセキュリティがよくわかっていません」という状態であれば、上記の判断は難しいのではないでしょうか?もしそうであれば、安全を期するためには、全ての脆弱性に対してできるだけ早く対応するしかないような気がします。
そういう意味では、
どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか?
これに対する答えはYESです。ただし、即時対応が常にできるわけでもないので、(堂々巡りの感はありますが)即時対応が必要かどうかの判断(セキュリティの世界でもトリアージと言います)を行うわけです。
脆弱性対応の中でも、影響切り分けは難度の高いものなので、がんばってできるになって欲しいとは思いますが、そんなに簡単に身に着けられるものでもありません。
投稿2017/01/04 05:54
総合スコア11701
0
質問の内容から見て、運用中のサービスがありながら、セキュリティに関しての理解が全く足りていない状態だと思います。
本業がWebサービスの提供なのであれば、そこにリソースを絞る方向で検討されてはいかがでしょうか?
PaaS、SaaSを前提にすることで、理解しなければならない範囲をおおいに狭めることが可能となります。
ちなみにですが、究極の即時対応は、サービスの提供停止/リソースのネットワークからの切り離しです。
通常は、脆弱性の内容を検討し、その影響範囲を精査し、パッチの適用の検討、テスト等の工程を経て、アナウンス、メンテナンス実施となるため、かなり時間がかかってしまいます。
脆弱性発見の段階でサービス停止を実施するケースは無いかと思いますが、サービス停止をする判断基準(例えば、脆弱性発見ではなく、脆弱性を利用された痕跡の発見やそれによるデータ流出の痕跡発見等)を事前に決めて、経営層の承認をもらっておくことで、一番混乱する時期に正しい判断を下す余裕ができる事があります。
合わせて検討されてはいかがでしょうか。
投稿2017/01/05 00:36
退会済みユーザー
総合スコア0
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
ベストアンサー
ルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能
端的に言えば不可能です。なのでこの点は質問が成立しません。
例えばSQLインジェクションなどはhttp通信を使うので、ファイアウォールで遮断することはできません。
ではIDS/IPS、WAFを使えばいいのかと言うと、ゼロデイ攻撃というものが存在するので事はそう簡単ではないです。
※何らかの手段で悪意ある通信を100%遮断できるならラクなんですけどね…
万一のことを考えて即時対応となる、ということで良いのでしょうか
基本的にはそれでよいと思います。
ただし「即時」と言っても事前検証、各種根回しや告知が必要になると思うので、数時間から1日くらいはタイムラグが出てしまう可能性があります。
何も考えずに(事前確認も何もせずに)いきなり適用、というのもあり得る話ではありますが、その辺は脆弱性の内容次第になるかと思います。
投稿2017/01/04 05:44
総合スコア1894
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/01/05 00:06
0
一つ目
仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合、カーネルやソフトウェアで重大な脆弱性が発見された場合、即時に対応するなんて必要ないでしょうか?
ものによります。極めて重大な脆弱性の場合は即時対応必須かと思います。
ただ、その「即時」のレベルがサービス内容によって変わってきます。
二つ目
どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか?
どのレベル感か?にもよるのですが、、、
一般的に最低限求められる、クロスサイトスクリプティングなどの対応は必須かなと。
その上でどこまで必要なのか?はやはりサービス次第です。
もし開発されているサービスが請負なのであれば請負元に確認、
自分がオーナーであるサービスなのであれば、自分が許せる範囲で最低限の対応をしておく、が良いかと。
投稿2017/01/04 12:53
総合スコア93
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/01/05 00:06
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/01/05 00:06