Voxxed Days: DevOoops di Gianluca Varisco

G.Varisco al Voxxed Days in Ticino

G.Varisco al Voxxed Days in Ticino

Cosa Fare?

Gianluca varisco consiglia le solite, usurate, semplici ma fondamentali regole alla base della security:

  1. Aggiungere l’autenticazione per i SW che gia lo prevedono (ma magari non la abilitano come Jenkins)
  2. Limitare l’esposizione delle applicazioni solo alle reti/host/servizi/tools a cui è necessario (FW)
  3. Cambiare le chiavi o le credenziali di autenticazione presenti di default
  4. Aggiornare i SW per evitare di incorrere in falle di sicurezza

Conclusioni

Discutendo con Gianluca, notavamo come molti dei problemi di sicurezza anche in questo caso derivano dalle errate o poco curate configurazioni di default che espongono questi strumenti a rischi a volte notevoli. Sarebbe auspicabile, che tutte queste applicazioni seguissero uno standard di sicurezza che le impedisse di funzionare in caso non siano stati specificati i parametri di binding delle interfacce e di sicurezza di autenticazione. Ricordo ad esempio che alcune versioni di Bacula, noto software di backup, non permettevano al demone di partire se nel file di configurazione non era stata impostata la password. Quindi fate tutti attenzione ai vostri devops per permettergli di lavorare in sicurezza.

SR

Share Us

PinIt

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.