Interview multiple candidates
Lorem ipsum dolor sit amet, consectetur adipiscing elit proin mi pellentesque lorem turpis feugiat non sed sed sed aliquam lectus sodales gravida turpis maassa odio faucibus accumsan turpis nulla tellus purus ut cursus lorem in pellentesque risus turpis eget quam eu nunc sed diam.
Search for the right experience
Lorem ipsum dolor sit amet, consectetur adipiscing elit proin mi pellentesque lorem turpis feugiat non sed sed sed aliquam lectus sodales gravida turpis maassa odio.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit.
- Porttitor nibh est vulputate vitae sem vitae.
- Netus vestibulum dignissim scelerisque vitae.
- Amet tellus nisl risus lorem vulputate velit eget.
Ask for past work examples & results
Lorem ipsum dolor sit amet, consectetur adipiscing elit consectetur in proin mattis enim posuere maecenas non magna mauris, feugiat montes, porttitor eget nulla id id.
- Lorem ipsum dolor sit amet, consectetur adipiscing elit.
- Netus vestibulum dignissim scelerisque vitae.
- Porttitor nibh est vulputate vitae sem vitae.
- Amet tellus nisl risus lorem vulputate velit eget.
Vet candidates & ask for past references before hiring
Lorem ipsum dolor sit amet, consectetur adipiscing elit ut suspendisse convallis enim tincidunt nunc condimentum facilisi accumsan tempor donec dolor malesuada vestibulum in sed sed morbi accumsan tristique turpis vivamus non velit euismod.
“Lorem ipsum dolor sit amet, consectetur adipiscing elit nunc gravida purus urna, ipsum eu morbi in enim”
Once you hire them, give them access for all tools & resources for success
Lorem ipsum dolor sit amet, consectetur adipiscing elit ut suspendisse convallis enim tincidunt nunc condimentum facilisi accumsan tempor donec dolor malesuada vestibulum in sed sed morbi accumsan tristique turpis vivamus non velit euismod.
Dies ist der fünfte und letzte Artikel in dieser Reihe von Beiträgen. Die ersten beiden Artikel (Artikel I., Artikel II.) der Serie konzentrierten sich auf die Härtungsmöglichkeiten auf Projektebene mit Google Cloud Platform. Der dritte Beitrag beleuchtete das Thema der integrierten GCE-Sicherheit. Im vierten Artikel der Serie haben wir verschiedene Schutztools auf Netzwerkebene vorgestellt, die für Ihre Google Compute Engine-Instanzen verfügbar sind.
In diesem Artikel geht es um die möglichen sicherheitsrelevanten Einstellungen auf den Betriebssystemen der Instanzen selbst. Dies steht in keinem engen Zusammenhang mit Google Cloud Platform (GCP) oder Google Compute Engine (GCE). Der Schutz des Betriebssystems Ihrer Instanzen ist ebenfalls sehr wichtig. Sie können diese Sicherheitskontrollen nicht ignorieren, wenn Sie Google Compute Engine verwenden. Lesen Sie diesen Artikel, um mehr über GCE OS Security zu erfahren. GCE OS Security ist ein umfangreiches Thema, zu dem es viele Artikel, Dokumente und Unterlagen gibt. Ich werde mich auf Linux-Instanzen konzentrieren und nur eine kleine Teilmenge der GCE OS-Schutztechniken erwähnen.
Nur verschlüsselte Protokolle für jeglichen Verkehr verwenden
Es ist eine altbekannte Wahrheit, dass man einem zufälligen Internet-Provider seines Kunden am anderen Ende der Welt nicht vertrauen sollte. Vor allem sollte man Cafés und ihren Wi-Fi-Netzen nicht trauen. Daher sollte jeglicher Datenverkehr, der Ihre Instanzen in Richtung Internet verlässt, einen verschlüsselten Kanal wie VPN-Tunnel oder HTTPS verwenden. Dies garantiert zwei Vorteile. Zum einen können die Daten zwischen Ihrem Dienst und dem Client von niemandem gelesen werden. Der andere sehr wichtige Grund ist, dass die Daten während der Übertragung nicht verändert werden können. Der Kunde sieht also wirklich Ihre Inhalte und nicht eine von einem böswilligen Netzbetreiber veränderte Version. Auch wenn Sie innerhalb Ihres privaten Netzes auf Google Compute Engine bleiben, ist es wichtig, wenn möglich Verschlüsselung zu verwenden.
Im Allgemeinen ist Google Cloud Plattform sehr gut gesichert, aber Sie sollten zusätzliche Sicherheitsmaßnahmen ergreifen, wenn dies nicht zu einem lähmenden Overhead oder zu einem unüberwindbaren Arbeitsaufwand für Sie führt. Glücklicherweise ist die Verschlüsselung heute leicht verfügbar, mit einer minimalen zusätzlichen Konfiguration in der meisten Software. Sie sollten diese Optionen nutzen, um sicherzustellen, dass Ihre Daten bei der Übertragung sicher sind, selbst wenn ein Angreifer den Datenverkehr in Ihrem privaten Netz abfängt. So ist es beispielsweise ratsam, Datenbanken über SSL zu verwenden, indem Sie deren Konfiguration so ändern, dass sie verschlüsselte Verbindungen akzeptieren. Auch für Ihre Dienste ist es eine gute Praxis, wenn sie über HTTPS mit den APIs der anderen Dienste kommunizieren. Der Rechenaufwand für diese Verschlüsselungen liegt bei etwa 1-2 %, so dass keine hohen Kosten für Ihre monatliche Rechnung anfallen sollten. Hier ein interessanter Bericht über die Umstellung von Gmail auf HTTPS im Jahr 2010(!), und zwar ohne zusätzliche Hardware oder Netzwerkausrüstung.
CIS Benchmarks
Die US-amerikanische Non-Profit-Organisation Center for Internet Security hat die Aufgabe, "Best-Practice-Lösungen für die Cyberverteidigung zu identifizieren, zu entwickeln, zu validieren, zu fördern und zu erhalten". Sie verfügt über eine Reihe von Dokumentationen für viele Betriebssysteme und andere Software, die die bekannten Best Practices und Konfigurationsoptionen zur Verbesserung der Sicherheit enthalten. Dies sind die CIS-Benchmarks. Sie sind für alle wichtigen Linux-Distributionen verfügbar. Die Benchmarks sind detailliert und werden ständig aktualisiert. Sie sind eine sehr gute Quelle, wenn Sie Ihre Betriebssysteme sicherer machen wollen. Sehen Sie sich diese frei verfügbaren Benchmarks hier an.
Installieren Sie den Stackdriver Logging Agent
Die Stackdriver-Protokollierung ist ein guter Dienst für bequemere Operationen. Es ist einfach, Protokolle zu filtern oder zu durchsuchen. Außerdem werden alle Protokolle an einem einzigen Ort gesammelt, so dass Sie nicht auf jeden Rechner einzeln zugreifen müssen, um sie zu sehen. Aus der Sicherheitsperspektive betrachtet ist das Tool sehr wertvoll. Das bedeutet, dass ein Protokolleintrag nicht gelöscht werden kann, bevor die Aufbewahrungsfrist für das Protokoll erreicht ist. In der Praxis kann es einen Angriff nicht verhindern. Wenn Ihre Instanzen jedoch ständig audit- und sicherheitsrelevante Ereignisse in Stackdriver protokollieren, können die Angreifer ihre Spuren nach der Kompromittierung einer Instanz zumindest nicht verbergen. Das liegt daran, dass Sie ihre Aktionen später im nicht veränderbaren Stackdriver-Protokollstrom nachprüfen können.
(Automatische) Sicherheitsupdates des Betriebssystems
In vielen Softwareprogrammen werden fast täglich neue Sicherheitslücken entdeckt. Die meisten dieser Probleme werden entweder von der Open-Source-Gemeinschaft oder vom Hersteller sehr schnell behoben. Das ist eine gute Sache, aber dadurch liegt die Last der Aktualisierung Ihrer Betriebssystemsoftware bei Ihnen. Das ist etwas, das sehr oft geschehen sollte, möglichst automatisch. Es ist eine gute Idee, ein System einzurichten, mit dem Sie Ihre Betriebssysteme automatisch Schritt für Schritt aktualisieren. In der Regel werden zunächst die Test- oder Staging-Maschinen aktualisiert und dann Tests auf ihnen durchgeführt. Selbst wenn alles in Ordnung ist, sollten Sie 1-2 Tage warten, bevor Sie die nächste Stufe durchführen, bei der es sich in der Regel um eine kleine Anzahl von Produktionsrechnern handelt. Und dann, wiederum nach einer bestimmten Wartezeit, führen Sie die nächste Stufe mit einigen weiteren Produktionsmaschinen durch und so weiter. Auf diese Weise lassen sich Probleme in der Regel rechtzeitig erkennen, bevor sie zu einem Ausfall führen können. Aktualisierungen erfolgen automatisch, anstatt das Problem der menschlichen Vergesslichkeit zu überlassen. Ein Ubuntu-Tool für diese Aufgabe heißt zum Beispiel Landscape und ein anderes CentOS-Tool heißt Spacewalk.
.jpg)
Bereit für die Zukunft?
Lassen Sie uns reden.
Sprechen Sie uns an, und lassen Sie uns Ihr Unternehmen auf die nächste Stufe heben.
