Несколько десятков человек отметилось в теме, несколько сотен (или тысяч) прочитали… а вот интересно, сколько решили подать в суд за клевету или хотя бы проконсультировались у юриста?
Вы отлично проиллюстрировали поговорку про ложь, наглую ложь и статистику. :) Посмотрите на описания тех уязвимостей. В случае IE это, как правило, вполне конкретный баг. Для Хрома же в половине случаев уязвимости описаны как Multiple unspecified vulnerabilities, да и в остальных не всегда понятно, идет ли речь о конкретном баге или тоже о множественных.
То есть шутеры, рпг, гонки, стратегии и спортивные симуляторы не подходят под данный тип
Уважаемый автор, вы что, серьезно? :) Как человек, обязанный подъему английского с уровня «с трудом натянул на четверку в средней школе» до свободного чтения именно RPG и пошаговым стратегиям, решительно не согласен.
Тем более забавно, когда попутно вы утверждаете, что онлайн-игры тут подходят больше. Для успешной игры в онлайновые игры собственно знания языка нужны минимальные — как правило, достаточно игрового слэнга, а зачастую даже он не нужен, потому что разработчики стремятся максимально упростить создание групп и освоение большинства контента. Для примера, если 10 лет назад в WoW найти группу и пройти актуальный инстанс без общения было практически невозможно, то сейчас то же самое можно делать, не обменявшись с соратниками ни единым словом.
Да, конечно, онлайновые игры можно использовать именно как площадку для общения, но в этом плане они не лучше, чем любая другая площадка для общения по интересам. То есть вам интересно играть в MMORPG и попутно вы хотите подтянуть язык — не вопрос, сработает. Но, скажем, какой-нибудь просмотр сериалов с их обсуждением на форумах уж всяко будет поэффективнее. :)
А вот когда я запускал что-нибудь вроде Ultima Underworld или Daggerfall, и без языка было никак не разобраться, что тут делать и куда идти (а то и вменяемого персонажа не сделать), тут-то и приходилось брать в руки словарик… Современные игры, конечно, в этом плане попроще, но все же пройти серии Dragon Age или Mass Effect без знания языка несколько сложнее, чем крошить мобов в MMORPG или кооперативных шутерах. А то, что в RPG не нужно «изучать язык» постоянно, а есть большие перерывы на бои или брожение по миру, так это большой плюс — игра остается игрой, а не непрерывным уроком английского, как в случае ряда приведенных вами игр.
Одно неотделимо от другого, ибо любая программа есть воплощение некоего алгоритма. Не надо «курса по алгоритмам», можно просто ненавязчиво объяснять, что сначала надо понять, что и в каком порядке должна программа делать, а потом уже писать.
Выделенная сеть делается точно так же — если у вас два адаптера, то в простейшем случае один настраиваете просто как обычный сетевой адаптер (он и будет служебным), а на второй вешаете виртуальный свитч со снятой галкой «Allow management operation system to share this network adapter» (соответственно, через него будет ходить весь трафик гостей).
«Приличный объем» — это сколько конкретно в цифрах, вы у себя реальный трафик меряли? «Много» (для современных сетей) бывает довольно редко, особенно в ситуации, когда всего-то пара серверов.
К тому же best practice в любом случае советует разделять сети хостов гипервизоров и гостей, то есть служебная подсеть и так выделяется.
Возможно, «официально» это не работает, потому что нет смысла специально работать над этой фичей. Зачем может понадобиться выделенная сеть именно для Hyper-V Replica?
Итак, что же нам предлагает Microsoft из коробки:
…
•Всё, что может быть виртуализовано, можно реплицировать.
…
Это, прямо скажем, не совсем так. Здесь прямым текстом сказано, что Exchange не поддерживается. С AD тоже могут быть проблемы, как и в принципе с любой системой, где есть собственные механизмы репликации, работающие параллельно с Hyper-V Replica. Так что в вашем чеклисте пункт про консистентность данных и поддержку приложений я бы вынес на первое место — для начала надо выяснить, стоит ли вообще пытаться включать репликацию, а уж потом разбираться с тем, куда и как.
К сожалению, часто встречается ситуация, когда видео начинают использовать для замены текстового контента, а не для дополнения. Когда вместо странички текста, которую за несколько секунд можно окинуть глазами и вычленить нужную информацию, мне подсовывают видеоролик — я, как правило, просто закрываю сайт.
Поясняю. Допустим, у нас есть система с CoW. Мы сделали очередной снэпшот. Идет-идет запись, и тут место под снэпшот кончается. Последствия — дальше снэпшот не пишется, запись на основной LUN как шла, так и идет.
Теперь мы обнаруживаем ту же ситуацию, но при алгоритме «всегда в новое место» — «нового места» для записи нового блока нет. Что будет происходить?
Таким образом, админы делятся на тех, кому пофиг (сценарии 1 и 2), и тех, кто уже и так всё знает (сценарий 3). Последние, вероятно, черпают знания прямым подключением в ноосферу. Отсюда делаем вывод, что писать что-либо бессмысленно в принципе. :)
А если серьезно, жизнь немного сложнее. Хотя бы в том же SMB секторе обычно специалистов по ИБ, да ещё и скилованных, не густо, а работать надо. И, думается мне, собственную работу лучше стараться выполнять добросовестно. Тем более, что «всем до одного места» ровно до тех пор, пока таки не случается факап и админ не огребает по полной программе. Да и в крупных структурах очень разные по уровню подготовки люди работают.
так была изобретена технология снепшотирования COW. Отличие этой технологии заключается в основном в том, что все другие файловые системы, как правило, не обладали встроенным механизмом записи «в новое место»,
О каких именно файловых системах в контексте СХД идет речь? Обычно СХД в своей основе — блочные устройства, и снэпшоты делаются на уровне блоков.
Чем больше таких снепшотов тем больше дополнительных паразитических операций
Можете пояснить этот момент? Насколько я понимаю, при CoW делается копия блока, в который ведется запись, в количестве одной штуки, сколько бы там снэпшотов ни было. Какие дополнительные операции будут при большом числе снэпшотов (при условии, что работаем мы, как правило, все же с последней копией, а не со всем деревом)?
Ещё вопрос — на томе кончилось место, что будет происходить со снэпшотами в WAFL?
Я не столько что-то опровергаю, сколько предлагаю людям задуматься над тем, что они делают и что советуют. В частности, описываю последствия бездумного применения того, что многими считается «простым» и «общепринятым». По сути, люди сами дают в руки злоумышленнику дополнительный инструмент для создания проблем. Не очень хорошо так делать, и вдвойне нехорошо советовать, не описывая возможные последствия. Лично мое мнение — блокировку надо применять в исключтельных случаях, и как минимум предприняв какие-то меры против потенциальной полной блокировки AD.
Про стандарты и сертификацию по ним отчасти ответил выше — меры по ИБ, в том числе описанные в разных стандартах, включают в себя не только защиту учеток, но и обеспечение доступности информационной системы. И в ситуации, когда реально стоит выбор между борьбой с перебором паролей и доступностью, этот выбор должен делаться осознанно, а не просто потому, что в какой-то бумажке так написано.
В виде отдельной статьи я в данном случае писал исключительно потому, что единственным доступным мне вариантом был пост в песочницу. Иначе я бы ответил развернутым комментарием. Что до систематизированных рекомендаций… Во-первых, я сам не безопасник, во-вторых, рекомендации могут сильно отличаться в зависимости от конкретных требований бизнеса и/или государства. Увидеть явные косяки в предлагаемых решениях я, как правило, могу. Дать конкретные советы в конкретной ситуации — когда как. Писать общие систематизированные рекомендации «как надо» — для меня пока слишком. Но я подумаю. :)
Попутно отвечая на нижний комментарии о требованиях государственных и ведомственных нормативных актов — если мы откроем методический документ ФСТЭК, который указан в ваших ссылках, то прочитаем там на стр. 10 буквально следующее:
«При невозможности реализации в информационной системе в рамках ее
системы защиты информации отдельных выбранных мер защиты информации
на этапах адаптации базового набора мер защиты информации или уточнения
адаптированного базового набора мер защиты информации могут
разрабатываться иные (компенсирующие) меры защиты информации,
обеспечивающие адекватное блокирование (нейтрализацию) угроз
безопасности информации.»
Иными словами, будь я системным администратором, ответственным за функционирование IT-инфраструктуры в госструктуре, то для меня было бы два варианта действий:
1. Мне пофиг. Беру под козырек и тупо следую инструкции.
2. Мне не пофиг. Пишу служебку (или инициирую совещание, в зависимости от ранга), где подробно описываю возможные последствия (в том числе можно сослаться на положения тех же нормативных актов в части, где они регламентируют доступность информационной системы, ибо тут будет очевидное противоречие), и предлагаю компенсирующие меры.
Конкретика, ясное дело, будет зависеть от местных условий.
Я не очень понимаю суть ваших комментариев. Вы считаете, что онлайн-сервисы по какой-то причине должны обязательно каждый иметь отдельную базу данных пользователей для аутентификации, причем этой базой не должна являться AD?
Уважаемый автор, вы что, серьезно? :) Как человек, обязанный подъему английского с уровня «с трудом натянул на четверку в средней школе» до свободного чтения именно RPG и пошаговым стратегиям, решительно не согласен.
Тем более забавно, когда попутно вы утверждаете, что онлайн-игры тут подходят больше. Для успешной игры в онлайновые игры собственно знания языка нужны минимальные — как правило, достаточно игрового слэнга, а зачастую даже он не нужен, потому что разработчики стремятся максимально упростить создание групп и освоение большинства контента. Для примера, если 10 лет назад в WoW найти группу и пройти актуальный инстанс без общения было практически невозможно, то сейчас то же самое можно делать, не обменявшись с соратниками ни единым словом.
Да, конечно, онлайновые игры можно использовать именно как площадку для общения, но в этом плане они не лучше, чем любая другая площадка для общения по интересам. То есть вам интересно играть в MMORPG и попутно вы хотите подтянуть язык — не вопрос, сработает. Но, скажем, какой-нибудь просмотр сериалов с их обсуждением на форумах уж всяко будет поэффективнее. :)
А вот когда я запускал что-нибудь вроде Ultima Underworld или Daggerfall, и без языка было никак не разобраться, что тут делать и куда идти (а то и вменяемого персонажа не сделать), тут-то и приходилось брать в руки словарик… Современные игры, конечно, в этом плане попроще, но все же пройти серии Dragon Age или Mass Effect без знания языка несколько сложнее, чем крошить мобов в MMORPG или кооперативных шутерах. А то, что в RPG не нужно «изучать язык» постоянно, а есть большие перерывы на бои или брожение по миру, так это большой плюс — игра остается игрой, а не непрерывным уроком английского, как в случае ряда приведенных вами игр.
Для этого не нужен сетевой интерфейс в той же сети, нужна маршрутизация между сетями.
Выделенная сеть делается точно так же — если у вас два адаптера, то в простейшем случае один настраиваете просто как обычный сетевой адаптер (он и будет служебным), а на второй вешаете виртуальный свитч со снятой галкой «Allow management operation system to share this network adapter» (соответственно, через него будет ходить весь трафик гостей).
К тому же best practice в любом случае советует разделять сети хостов гипервизоров и гостей, то есть служебная подсеть и так выделяется.
Это, прямо скажем, не совсем так. Здесь прямым текстом сказано, что Exchange не поддерживается. С AD тоже могут быть проблемы, как и в принципе с любой системой, где есть собственные механизмы репликации, работающие параллельно с Hyper-V Replica. Так что в вашем чеклисте пункт про консистентность данных и поддержку приложений я бы вынес на первое место — для начала надо выяснить, стоит ли вообще пытаться включать репликацию, а уж потом разбираться с тем, куда и как.
Теперь мы обнаруживаем ту же ситуацию, но при алгоритме «всегда в новое место» — «нового места» для записи нового блока нет. Что будет происходить?
А если серьезно, жизнь немного сложнее. Хотя бы в том же SMB секторе обычно специалистов по ИБ, да ещё и скилованных, не густо, а работать надо. И, думается мне, собственную работу лучше стараться выполнять добросовестно. Тем более, что «всем до одного места» ровно до тех пор, пока таки не случается факап и админ не огребает по полной программе. Да и в крупных структурах очень разные по уровню подготовки люди работают.
О каких именно файловых системах в контексте СХД идет речь? Обычно СХД в своей основе — блочные устройства, и снэпшоты делаются на уровне блоков.
Можете пояснить этот момент? Насколько я понимаю, при CoW делается копия блока, в который ведется запись, в количестве одной штуки, сколько бы там снэпшотов ни было. Какие дополнительные операции будут при большом числе снэпшотов (при условии, что работаем мы, как правило, все же с последней копией, а не со всем деревом)?
Ещё вопрос — на томе кончилось место, что будет происходить со снэпшотами в WAFL?
Про стандарты и сертификацию по ним отчасти ответил выше — меры по ИБ, в том числе описанные в разных стандартах, включают в себя не только защиту учеток, но и обеспечение доступности информационной системы. И в ситуации, когда реально стоит выбор между борьбой с перебором паролей и доступностью, этот выбор должен делаться осознанно, а не просто потому, что в какой-то бумажке так написано.
Попутно отвечая на нижний комментарии о требованиях государственных и ведомственных нормативных актов — если мы откроем методический документ ФСТЭК, который указан в ваших ссылках, то прочитаем там на стр. 10 буквально следующее:
«При невозможности реализации в информационной системе в рамках ее
системы защиты информации отдельных выбранных мер защиты информации
на этапах адаптации базового набора мер защиты информации или уточнения
адаптированного базового набора мер защиты информации могут
разрабатываться иные (компенсирующие) меры защиты информации,
обеспечивающие адекватное блокирование (нейтрализацию) угроз
безопасности информации.»
Иными словами, будь я системным администратором, ответственным за функционирование IT-инфраструктуры в госструктуре, то для меня было бы два варианта действий:
1. Мне пофиг. Беру под козырек и тупо следую инструкции.
2. Мне не пофиг. Пишу служебку (или инициирую совещание, в зависимости от ранга), где подробно описываю возможные последствия (в том числе можно сослаться на положения тех же нормативных актов в части, где они регламентируют доступность информационной системы, ибо тут будет очевидное противоречие), и предлагаю компенсирующие меры.
Конкретика, ясное дело, будет зависеть от местных условий.
И даже если этого нет, в общем случае защита на периметре — не повод оставлять дырки внутри.