אוריון אבטחה

מנעול .

“ביטחון באמצעות ערפול הוא לא הרבה ביטחון בכלל.”
אבטחת תשתיות אוריון
אבטחת יישום של אוריון
אינדקס

“ביטחון באמצעות ערפול הוא לא הרבה ביטחון בכלל.”

פרפינג פופולרי של מסגר אמריקאי אלפרד צ’ארלס הובס בשנת 1851, אשר בקלות בחרו את מנעולי קריסטל פאלאס במהלך תערוכה בלונדון באותה שנה. אנו מסכימים לחלוטין, וזו הסיבה שהתוכניות שלנו עבור מנוע האוטומציה של Oracle Cloud Infrastructure (OCI) הן זמין בכתובת GitHub.

אבטחת תשתיות אוריון

flowchart TB classDef borderless stroke-width:0px classDef darkBlue fill:#00008B, color:#fff classDef brightBlue fill:#6082B6, color:#fff classDef gray fill:#62524F, color:#fff classDef gray2 fill:#4F625B, color:#fff subgraph vcs[ ] A1[[Fort Lauderdale, FL]] B1[Air-Gapped Version Control Server] end class vcs,A1 gray subgraph vpn-us-east[ ] A2[[Reston, VA]] B2[OCI Edge Servers] end class vpn-us-east,A2 darkBlue subgraph vpn-us-west[ ] A3[[Phoenix, AZ]] B3[OCI Edge Servers] end class vpn-us-west,A3 darkBlue subgraph vpn-de-central[ ] A4[[Frankfurt, Germany]] B4[OCI Edge Servers] end class vpn-de-central,A4 darkBlue subgraph vpn-bz-west[ ] A5[[São Paolo, Brazil]] B5[OCI Edge Servers] end class vpn-bz-west,A5 darkBlue subgraph vpn-au-west[ ] A6[[Sydney, Australia]] B6[OCI Edge Servers] end class vpn-au-west,A6 darkBlue subgraph vpn-ap-west[ ] A7[[Hyderabad, India]] B7[OCI Edge Servers] end class vpn-ap-west,A7 darkBlue subgraph vpn-ap-east[ ] A8[[Seoul, South Korea]] B8[OCI Edge Servers] end class vpn-ap-east,A8 darkBlue class A1,A2,A3,A4,A5,A6,A7,A8 borderless vcs==vpn==>A2==ssh/vpn==>B2 vcs==vpn==>A3==ssh/vpn==>B3 vcs==vpn==>A4==ssh/vpn==>B4 vcs==vpn==>A5==ssh/vpn==>B5 vcs==vpn==>A6==ssh/vpn==>B6 vcs==vpn==>A7==ssh/vpn==>B7 vcs==vpn==>A8==ssh/vpn==>B8

תואם FIPS 140-2 עם הצפנה משולשת של MFA לשירותים הפוכים (HTTPS/SSH/IPsec). חגורה, משעים וארכופים!

ללא ססמה חדר עבודה מודל, pepped עם אורתרוס otp-sha1 אתגרים של sudo

אין סיסמאות קבועות המאוחסנות בשרתים. זה מגביל אוטומציה חסרת ראש של שימוש sudo / RBAC, מסיבה טובה. עם זאת, יש כלי כדי לחסל את העמל של תגובה למנחים מסוגים שונים.

ביצוע עם ארגז חול לבנייה ולתסריטי CGI

אנחנו פורסים “משותף כלום” בניית אזורים, המהווה ברירת מחדל לזמינות רשת אפס. המשמעות היא שהדברים היחידים שבניית לקוח יכולה לגשת אליהם או לשנות הם הנכסים שלה, לא אותם לקוחות אחרים, או כל נתיבי מערכת אחרים באזור עצמו (חוץ מזה). /tmp). יתר על כן, רק לקוחות עסקיים וארגונים יש גישה לאינטרנט במהלך הבנייה שלהם, כי הם משתמשים שלהם ייחודי אזורים סולאריים שניתן להתאים בדיוק לדרישות הבנייה שלהם.

Ditto עבור תסריטי CGI, הנעולים במלואם במונחים של גישת כתיבה לכל דבר אחר מלבד /tmp.

הצפנה מקצה לקצה

TLS 1.3 (+FS) AES(256) SHA(256) עבור חיבורי HTTPS FIPS 140-3
SSHv2 ED25519 FIPS 140-3 / מפתחות תואם NIST עבור מארח צולב לולאה העברה הפוכה
IPsec/IKEv2/PFS AES(256) עבור VPN חוצה אזורים
AES(256) להצפנת ZFS

אפס אמון

ההנחה הבסיסית של ארכיטקטורת אפס אמון זה כדי למנוע עיצוב אבטחת הרשת שלך סביב הפיזיולוגיה של clam: קשה מבחוץ, אבל רך ורפויה ברגע שאתה בפנים. אז אנחנו’t לעשות זאת; כל יציאת רשת מועדפת משמעותית בתוך רשתות LAN נקודת הנוכחות (POP) השונות חשופה רק למכונת המתכת החשופה’ממשק התקן לולאה אחורית lo0, והוא בעל משמעות רק בהקשר של חיבור SSH (היפוך) שהועבר ליציאה אליו.

אנו משתמשים בפרוקסי TCP, לא פרוקסי HTTP, ולא במאגרי MSA, כך שהמארח היחיד שרואה את תעבורת האינטרנט TLS הלא מוצפנת שלך הוא המארח שמפענח אותה. אותם כללים חלים על תעבורת Subversion — רק תעבורה מוצפנת TLS ישירה מקצה לקצה לנקודת הקצה שירות רואה את הנתונים הלא מוצפנים שלך בחוט.

בהצלחה עם שכבות MSA ושכבות של חשיפת נתונים פרטית עם ספקים אחרים. האויב של “הנדסה לא פונקציונלית” זה מורכבות. זה הרבה יותר קל לספק הבטחות אבטחה משמעותיות כאשר המוצר שלך הוא מונולית מאוחדת במקום שדה מוקשים MSA מסיבי, וזה עוד מבדיל קונטררי בין אוריון לתחום המתחרים שלה.

אינפרה זו אוטומטית לחלוטין כאשר אזור מובא באינטרנט, אבל זה’כל מה שאנחנו יכולים לחלוק בפומבי על הארכיטקטורה (איזון שקיפות ההובסיאנית עם המנטרה הצבאית) “שפתיים רופפות לשקוע ספינות” זה יותר אומנות מאשר מדע. להיות בטוח/ה — מעבר לשבירת antispoofing lo0 הגנה על הסולאריס 11’s (BSD) מסנן מנות עצמו, אין אמצעי משמעותי כדי לקבל גישה לשירותים אלה, אפילו עבור חשבונות לקוחות.

גם אם חשבון הבקרה הראשי של OCI נפרץ, confidentiality ו-integrity של כל נכסי הלקוחות נשארים בלתי הפיכים. כל מה שכובע שחור יכול לעשות הוא לעשות בלגן עם אתר הלקוח זמינות. בפרט, הם לא יכולים לגשת לרשומות נתוני שירות Subversion. אנחנו יכולים לבנות מחדש את כל תשתית OCI מאפס תוך 48-72 שעות ברגע שהתפוח הרע’גישת OCI הופסקה.

רישום, ניטור וביקורת

אנו מעודדים לקוחות של Enterprise ליצור חשבון Splunk, ואנו נספק בלוגי אינטרנט כמעט בזמן אמת לחשבון שלך מכל POP גלובלי הדרוש לך. יומני שגיאות עבור סקריפטים CGI בצד השרת שלך הופכים לזמינים גם עבור Splunk.

אנו מנטרים את זמינות השירות מכל OCI POPs שלנו ברחבי העולם, ומפעילים HA (דומיין זמינות), או אירועים אזוריים בגיבוי בעת כשל אם הפסקת שרת נמשכת יותר מ-30 שניות.

ביקורת ACL ניתן לבצע פשוט על ידי בניית אתר אינטרנט’ראשי חתרנות באמצעות אפאצ’י מורשה אוריון SSG התסריט ובדיקת הבנייה המתקבלת www/.acl קובץ בספריית הקופה שלך, בכל עת שתרצה. בדרך כלל תהליך הבנייה ייקח פחות מ 10-15 שניות על חומרה מודרנית.

Subversion Server-Side Commit Hooks ניתנים גם להתאמה אישית לדאגות הפיקוח שלך. מ-commit mailer פשוט ועד לגישה מאובטחת ל-svnpubsub daemon שלנו, יש מספר כלשהו של תצורות מותאמות אישית זמינות.

אבטחת יישום של אוריון

SSR ציבורי הוא ריח.

ניהול ACL

digraph { "@path::acl" -> "authz-svn.conf" [label="svn"]; "@path::acl" -> "/**/.htaccess" [label="httpd"]; };

אוריון’מודל האבטחה מנוהל באופן מרכזי על-ידי ההגדרות הכלולות ב- @path::acl כפי שהתפרש ב lib/path.pm. קובצי תצורה של שרת Offshoot נוצרים באופן דינמי על כל שינוי מובנה.

OpenIDC אבטחת SSO

קובצי Cookie של מושב הם HttpOnly ו-Secure מסומנים בדגל, ולכן ניסיונות הגניבה של מושב Javascript מנוטרלים ביעילות על ידי העורך המקוון של אוריון.

הצפן סיסמאות של תת-גרסה

מספר סיבובים ניתן להתאמה (כרגע ברירת המחדל היא 5).

הגנות נתונים פגומות

לכל זמני הריצה של פרל שלנו יש בדיקות צבע חובה המאופשרות עם דגל T; שומר פרל רב עוצמה וייחודי נגד פיצוצי מעטפת מרחוק.

ויקיפדיה: סוגיות

אבטחת Wiki כוללת מספר גורמים:

אבטחת ממשק משתמש/API
תוכנות ביניים / Backend Security
הגנות מעבר שיטתי של תבנית
תאימות ACL של מנוע חיפוש

אנו עוסקים בנושאים אלה כפי שהם מתייחסים אוריון למטה.

עורך מקוון

העורך המקוון תומך ב-JSON UI פשוט על-ידי הגדרת סוכן המשתמש שלך’s קבל כותרת כדי להעדיף יישום/json סוג MIME כך שפקדי האבטחה זהים לממשק המשתמש וגם ל-API.

אין ממשק משתמש/API מינהלי מחוץ לגישה ישירה ל-Subversion.

רשימות בקרת גישה של Subversion שולטות בגישת קריאה בעותק עבודה בצד השרת

כל משאב עותק עבודה הזמין דרך ממשק המשתמש נבדק בקישור צולב כנגד רשימות בקרת הגישה של Subversion לפני הצגתם למשתמש. בדרך זו אנו מבטיחים כי גישת קריאה למשאבים לא מורשים תימנע עבור הנכסים הנמצאים תחת בקרת גרסאות (ידועה גם כ- הכל).

הגישה לאישור לביצוע נשלטת ישירות עם רשימות בקרת גישה של תת-גרסה

לא ניתן לבנות דבר ולהציג אותו לאחר מכן ברשת ללא התחייבות מורשית מתאימה של Subversion. הבעיה העיקרית כאן היא שליטה איזה מידע זמין למחבר דף wiki’ערוך וערוך.

אם אתה מתיר עיבוד מוקדם של תבנית בדפי המקור המסומנים, עליך להיות מודע לאופן שבו ארגומנטים של תבנית הופכים את התוכן של קבצים אחרים בעץ לזמין כמשתנים למקור הדף הערוך.

לעתים קרובות, אם הוגדר לעשות זאת, הדף הערוך יכול להכריז על קבצי התלות שלו בכותרות הדף, וזה משהו לחשוב כפי שאתה שוקל ערכות תכונות נגד בקרות אבטחה בוויקי שלך’ארכיטקטורת מידע

למרות שאנו יכולים להציע הדרכה ותמיכה כדי להתאים לצרכים שלך.’ממש תלוי בכם להחליט כיצד לאזן את קנה המידה של הארגון שלכם’חברת wiki.

ראה סעיף להלן ב- בקרות הזרקת תלות/ACL לפרטים נוספים וקופה דוגמה חיה זו של כמה קל ACL’s יכול להיות מוגדר באופן מרכזי ב lib/acl.yml:

- path: content
  rules:
    "@staff": rw
    "@svnadmin": rw
    "*": r

- path: content/orion
  rules:
    "@marketing": rw
    "@staff": rw
    "@svnadmin": rw
    "*": r

- path: lib
  rules:
    "@svnadmin": rw
    "@devops": rw

- path: lib/acl.yaml
  rules:
    "@svnadmin": rw
    "@security": rw

- path: templates
  rules:
    "@svnadmin": rw
    "@frontend": rw

- path: cgi-bin/search.pl
  rules:
    "*":

מחברי תוכן יכולים להגדיר הגבלות דף בדף’s כותרות:

Title: Orion Security
Dependencies: *.md.en api/index.md.en
ACL: @staff=rw, *=r
Keywords: security,infosec,appsec,ipsec,devsecops,it,acl,svnauthz,zerotrust

כסימן צדדי, לא ניתן להעתיק משאבים מוגנים לסניף על ידי כוח אדם לא מורשה, גם מבלי להציב בקרות ACL נוספות על יצירה ושינוי של סניף. במילים אחרות, המערכת תתמוך בניסויי סניפים ללא כל פקדים נוספים מצידך כדי להבטיח שהנכסים המוגנים יישארו מוגנים בכל סניף’מחזור חיים טבעי.

האם לבנות ACLs של מערכת?

מערכת הבנייה היא כל רואה וידע, אבל אנחנו יכולים להבטיח כי הנכסים המובנים שלך, מוגנים גלויים רק לצוותים שאתה מנהל ושולט ב- Subversion ACLs.

מערכת הבנייה תחשוף את רשימת שמות הקבצים שהיא בנתה באמצעות דפדפן IDE עם ביצוע commit, אך רשימה זו מבוססת רק על משתמש’s גישת קריאה למשאבים התלויים במשתמש’הוסף, עדכן או מחק פעולות תוכן ב-commit.

בקרות מעבר שיטתי של תבנית

ראו sanitize_relative_path:

sub sanitize_relative_path {
  for (@_) {
    s#^[\\/]+##g;
    s/^\w+://g; #Windows GRR
    s#([\\/])+#$1#g;
    s#/\./#/#g;
    1 while s#[\\/][^\\/]+[\\/]\.\.[\\/]#/#;
    s#^(?:\.\.?[\\/])+##;
  }
}

קוד זה אוכף את הכללים הבאים בסעיף זה.

לכלול ולהרחיב תגיות

כל קובצי היעד נמצאים בתיקיית משנה של /תבניות/ תיקייה, ויש להתייחס אליה כאל נתיבים מוחלטים המושרשים בתיקייה זו.

תגית ssi

כל קובצי היעד נמצאים בתיקיית משנה של /תוכן/ תיקייה, ויש להתייחס אליה כאל נתיבים מוחלטים המושרשים בתיקייה זו.

אם נתיב היעד אינו מוגדר ב- @path::תבניות עם הגדרת התאמה שמאפשרת להעביר לארכיב או לסווג את נתיב היעד המדובר, si הפעולה תיכשל.

כי זה בגלל si תמיכה היא תנאי מוקדם עבור ערכות תכונות אלה, כדי לשמור על האתר שלך’תגית permalinks

בקרות הזרקת תלות/ACL

נשלט על-ידי lib/path.pm יבוא.

lib/ {נתיב,הצגה}.pm רשימות בקרת גישה של תת-גרסה

זה’לפקח על גישת הכתיבה למשאבים אלה, על-ידי הגבלתם לאנשים המוסמכים בבסיס הקוד והמורשים ליישם בקרות אבטחה לכל קבוצת הנכסים תחת בקרת גרסאות (הידועה גם כ- הכל).

זה גם רעיון טוב לכלול את @svnadmin קבוצה בין אלה עם גישת קריאה-כתיבה, אבל זה’s לא הכרחי בהחלט גם אם אתה צריך אותנו לאפס באופן ידני את רשימות בקרת הגישה Subversion שלך.

כללים שנוצרו באופן דינמי באמצעות @נתיב::acl

מערכת הבנייה מציינת את lib/path.pm מייבא אחד משני (או שניהם) של seed_file_deps() ו-seed_file_acl(), ונושא את הבחירה קדימה בעיבוד הפנימי שלה של שינויים באישור לביצוע Subversion שמביאים לבנייה תוספתית.

פקדים מותאמים אישית בשימוש ב-seed_file_deps() וב-seed_file_acl() ב-lib/path.pm

מעבר לייבוא של סמלים אלה אל lib/path.pm, יש גם בחירה כיצד, ולאילו קבצים ברצונך להחיל אותם, במהלך ביצוע גוש קוד walk_content_tree (). אחרי הכל, זה’לא רק קובץ תצורה, אלא בסיס קוד, עם כל התכונות המלאות של טיורינג פרל אנחנו’בואו להכיר ולהעריך!

ACL בניית אתרים ו-Subversion’s מסונכרן עם @נתיב:acl מיידית בעת ביצוע commit

הגנה אוטומטית עבור בניית סניפים ephemeral. דרושה תצורה נוספת אפס.

בקרות מובנות במנוע חיפוש PCRE

מצב זהה לזה של ממשק המשתמש למטרות כלליות: הוא מבצע בדיקה צולבת מול שרת ה-Subversion מממשק המשתמש.

באתר החי, מנוע החיפוש יעשה את אותו הדבר כאשר אתה מפעיל חיפושים markdown (עץ מקור). אחרת, היא תריץ תת-בקשות httpd לאתר החי שלך כדי לבדוק אם המשתמש מורשה לגשת לקובץ חי זה (בהנחה שיש לך הגנה באמצעות סיסמה על מנוע החיפוש שלך כך שיש לו נתוני משתמש לעבוד איתם).

כללי מדיניות אבטחת תוכן

הגבלות Analytics

גוגל ו/או LinkedIn

הגבלות נתונים

יש למסור את הנתונים מהשרתים שלנו.

הגבלות תוכן

התוכן חייב להימסר מהשרתים שלנו.

הגבלות קוד

קוד JavaScript חייב להימסר מהשרתים שלנו.

הגבלות סגנון

ה-CSS חייב להימסר מהשרתים שלנו.

הגבלות Plugin

PDF נוכחי’רק.

שיתוף משאבים חוצי מקורות

כל המשתמשים עם חשבון יכולים לצרוך ממשק משתמש/ממשקי API ממקום אחר באמצעות פרטי האימות שלהם להתחברות.
לקוחות עסקיים וארגוניים יכולים להתייחס לאוריון כאל CMS ללא ראש אם הם רוצים לבנות ממשק משתמש משלהם JSON Subversion פורצלן או חיפוש JSON ממשקי API.

יחסי תלות של צד שלישי

תלות קצרה ונבדקת בזמן; המרכיבים העיקריים אשר מכוסים על טכנולוגיית אוריון דף.

עץ מוצר של תוכנה (SBOM) זמין לפי בקשה

צור קשר לפרטים נוספים.

אינדקס

תוכניות אוריון — הנחות שנתיות זמינות בתמחור מראש (עד 20% הנחה על עלויות חיוב חודשיות)…
SunStar אוריון מערכות — פלטפורמת Enterprise Wiki עבור יצירה, ניהול ומסירה דפי אינטרנט סטטיים המשתמשים בטכנולוגיית #Jamstack לקבלת תכונות דינמיות…
תכונות אוריון — אותו מנוע עיבוד קוד javascript הן בדפדפן והן בתסריט הבנייה (node.js-based) markdown.js…
API של אוריון — דף זה מפתח את חיפוש, עורך מקוון, ספריית תבניות Django וממשקי API של Build System…
מדיניות הפרטיות של אוריון — זוהי מערכת opt-in תואמת GDPR. בביקור הראשון באוריון ™ CMS / IDE, אתה תהיה מופנה לדף גוגל מבקש ממך לאשר…
אסמכתת אוריון — סמלי העיפרון הוורודים החמים בפינה הימנית העליונה לצד פירורי הלחם יעניקו לכם הדגמה חיה…
אוריון טכנולוגיה — עכשיו w/ mod_perl v2.0.13 w/ ithreads ו- httpd v2.4.58 w/ event mpm….