VASA-1, výzkumný projekt Microsoftu. Na vstupu stačí jediná fotka a zvukový záznam. Na výstupu je dokonalá mluvící nebo zpívající hlava. Prý si technologii nechá jenom pro sebe. Žádné demo, API nebo placená služba. Zatím.
Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 140 (pdf) a HackSpace 77 (pdf).
ESPHome, tj. open source systém umožňující nastavovat zařízení s čipy ESP (i dalšími) pomocí konfiguračních souborů a připojit je do domácí automatizace, například do Home Assistantu, byl vydán ve verzi 2024.4.0.
LF AI & Data Foundation patřící pod Linux Foundation spustila Open Platform for Enterprise AI (OPEA).
Neziskové průmyslové konsorcium Khronos Group vydalo verzi 1.1 specifikace OpenXR (Wikipedie), tj. standardu specifikujícího přístup k platformám a zařízením pro XR, tj. platformám a zařízením pro AR (rozšířenou realitu) a VR (virtuální realitu). Do základu se z rozšíření dostalo XR_EXT_local_floor. Společnost Collabora implementuje novou verzi specifikace do platformy Monado, tj. open source implementace OpenXR.
Byla vydána nová verze 0.38.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 4.4 nebo novější a také libplacebo 6.338.2 nebo novější.
ClamAV (Wikipedie), tj. multiplatformní antivirový engine s otevřeným zdrojovým kódem pro detekci trojských koní, virů, malwaru a dalších škodlivých hrozeb, byl vydán ve verzích 1.3.1, 1.2.3 a 1.0.6. Ve verzi 1.3.1 je mimo jiné řešena bezpečnostní chyba CVE-2024-20380.
Digitální a informační agentura (DIA) oznámila (PDF, X a Facebook), že mobilní aplikace Portál občana je ode dneška oficiálně venku.
#HACKUJBRNO 2024, byly zveřejněny výsledky a výstupy hackathonu města Brna nad otevřenými městskými daty, který se konal 13. a 14. dubna 2024.
Společnost Volla Systeme stojící za telefony Volla spustila na Kickstarteru kampaň na podporu tabletu Volla Tablet s Volla OS nebo Ubuntu Touch.
Na bezpečnost cloudových služeb se můžeme dívat dvojím pohledem. Jednak můžeme vyčíst všechny jednotlivé bezpečnostní prvky dostupné v cloudu a zvážit detailně jejich parametry a možnost použití nebo se můžeme soustředit na formální certifikace. Kromě konkrétních technických prostředků používaných pro zabezpečení cloudových služeb je a bude cloudová bezpečnost také otázkou důvěry. Při využívání cloudu jako prostředí pro provoz aplikací dochází ke ztrátě kontroly zákazníka nad některými bezpečnostními mechanizmy a částečný přesun zodpovědnosti za bezpečnost k poskytovateli cloudu.
Dostáváme se tak k obvyklému modelu informační bezpečnosti v cloudu, kterým je sdílená zodpovědnost mezi zákazníkem a poskytovatelem. Míra sdílení je závislá na typu poskytovaných/konzumovaných služeb. V případě obvyklého dělení cloudových služeb na IaaS (infrastruktura jako služba), PaaS (platforma jako služba) a SaaS (software jako služba), se obecně zodpovědnost zákazníka zmenšuje a zodpovědnost poskytovatele zvětšuje od IaaS, přes PaaS až k SaaS. V obou krajních případech je situace relativně jednoduchá. V případě IaaS poskytovatel zodpovídá za fyzickou bezpečnost datových center, serverů, datových úložišť, sítí a hypervisoru včetně softwaru používaného pro administraci.
V případě SaaS zodpovídá poskytovatel za „end-to-end“ bezpečnost běžící služby a zákazník zodpovídá pouze za přidělování přístupu oprávněným uživatelům a monitorování jejich přístupů. V případě PaaS (platforma jako služba) může nastat celá škála situací v závislosti na tom, jaký konkrétní typ platformy je poskytován. Důležité je vždy jasně definovat, kde končí zodpovědnost jedné strany a začíná zodpovědnost druhé strany. Na otázku přístupu k řešení bezpečnosti ve veřejném cloudu se dále podíváme na modelovém příkladu veřejného cloudu IBM SoftLayer. SoftLayer je typickým poskytovatelem infrastruktury jako služby (IaaS).
Přístup k řízení bezpečnosti v SoftLayeru vychází z amerického standardu NIST 800-53, který vydala Divize počítačové bezpečnosti (Computer Security Division) při Národním institutu pro normy a technologie (National Institute of Standards and Technology). V rámci určeném tímto standardem řeší SoftLayer implicitní bezpečnost vyplývající z architektury a užívaných provozních postupů.
Fyzické zabezpečení a ostraha datových center je řešena v souladu s moderními standardy včetně stálé fyzické ostrahy, prostředků pro zamezení přístupu nepovolaných osob, kamerových a biometrických bezpečnostních systémů. Veškerý hardware je označen pouze čarovým kódem a nenese žádné označení zákazníka nebo provozované aplikace. K fyzickému zabezpečení se přidávají i potřebné provozní postupy. Bezpečnost provozu je zajištěna interním školením personálu na průmyslové standardy a kontrolována každoročním auditem. Klíčové komponenty a systémy jsou zabezpečeny proti živelným pohromám a výpadkům geografickou diverzifikací. Data na discích jsou po použití mazána postupem schváleným Ministerstvem obrany Spojených států amerických (DoD). Veškerá opatření vně i uvnitř datových center jsou prověřována externími auditory a výsledné detailní protokoly jsou zákazníkům k dispozici pro jejich vlastní případné bezpečnostní certifikace.
Datová centra jsou provozována v souladu s auditovacím standardem pro servisní organizace SSAE16/SOC2. Zacházení s citlivými daty o držitelích platebních karet se řídí souborem mezinárodních bezpečnostních standardů Payment Card Industry Data Security Standard (PCI DSS). Další certifikace zajímavé z hlediska bezpečnosti a standardů jsou Safe Harbor, FISMA a HIPAA. Všechna datová centra prošla nebo procházejí certifikací podle ISO 27001 včetně dodatků ISO27017 a ISO27018. Nově vybudovaná datová centra jsou certifikována vždy v dalším certifikačním/recertifikačním cyklu pro všechna datová centra. Výhodou je též fakt, že všechna datová centra jsou budována podle stejné šablony. Je tedy zaručeno, že bezpečnostní architektura a postupy ověřené a používané klientem pro řešení umístěné v jednom datovém centru budou stejně vyhovující v jiném datovém centru a významně se tím snižuje také možnost lidské chyby. SoftLayer tak poskytuje bezkonkurenční ochranu pro finanční, zdravotní i vládní data.
SoftLayer nabízí tři možnosti pronájmu výpočetní kapacity datového centra. Dedikovaný fyzický (tzv. bare-metal) server, virtuální server na sdíleném hardwaru a virtuální server na dedikovaném hardwaru. To umožňuje potřebnou granularitu úrovně bezpečnosti.
Pro běžný provoz je možné využít virtuální server na sdíleném hardwaru. Pracovní zátěž podléhající určitým nařízením a předpisům, které vylučují sdílení, je možné provozovat ve virtuálním prostředí na dedikovaném hardwaru nebo rovnou na dedikovaném fyzickém serveru. Pro takovou zátěž není tedy nutné pracně analyzovat bezpečnostní rizika např. na úrovni hypervizoru. Pokud uživatel rozhodne nevyužít standardní nabídku virtualizace a provozovat vlastní virtualizaci pak odpovídá za instalaci a konfiguraci hypervizoru. Na druhou stranu má hypervizor plně pod kontrolou a může uplatňovat bezpečnostní standardy podobně, jako v případě provozování lokální infrastruktury.
V nabídce volitelného zabezpečení pro uživatele je také možnost využívat technologii Intel TXT spolu s fyzickými servery.
SoftLayer používá na trhu unikátní síťovou infrastrukturu. Každý server může být přístupný po třech různých sítích, veřejné, privátní a administrativní. Poslední dvě sítě jsou dostupné jen pomocí VPN spojení (virtual private network). VPN spojení je možné navázat přímo z uživatelského portálu přes protokol SSL, PPTP nebo IPSec. Veřejná síť je kompletně fyzicky oddělená od privátní a administrativní, což snižuje bezpečnostní rizika. U síťových prvků, jako jsou firewally nebo brány, je opět možnost objednat sdílený prvek nebo dedikovaný prvek spravovaný přes uživatelský portál nebo i dedikovaný prvek s nativními prostředky pro správu a přístupem do konzoly. Vlastní síťová infrastruktura datového centra je pochopitelně sdílená na úrovni kabelů, směrovačů (router) a přepínačů (switch).
Síťový provoz je však spolehlivě izolován na základě prověřené technologie VLAN a řízení přístupu pomocí ACL (Access Control List). Uživatel má možnost správy VLANů přímo z uživatelského portálu včetně objednávky nových VLANů a nastavení či zakázání prostupu mezi nimi. Infrastruktura SoftLayeru zahrnuje také zařízení na detekci DDoS útoků. V provozu je nepřetržitě síťové operační centrum (Network Operation Center, NOC), které dohlíží na síťový provoz.
Softlayer poskytuje katalog standardních šablon pro operační systémy. Taková standardní šablona nemusí nutně obsahovat poslední bezpečnostní záplaty. To má praktický význam v tom, že ne každý software je certifikován pro nejnovější úroveň záplat a odinstalovat nechtěné updaty může být problém. Je na zákazníkovi, aby definoval, jakou úroveň operačního systému potřebuje z hlediska bezpečnosti a funkčnosti. SoftLayer nabízí možnost aktualizace operačního systému a instalace záplat pro systémy Windows a Linux (např. Red Hat) na své vnitřní síti, zdarma a s neomezeným objemem dat. Zákazník má jistotu, že veškeré updaty pocházejí z důvěryhodného zdroje.
Servery s těmito operačními systémy tak není nutno připojit na veřejnou síť. Zákazník může uplatnit pro bezpečnost veškeré své interní předpisy a nástroje. Pro zvolení správné úrovně zabezpečení je pochopitelně možné využít též nabídku volitelného zabezpečení. SoftLayer nabízí řadu volitelných služeb, které uživatel může přidat do svého prostředí k zajištění požadované bezpečnosti. Některé služby jsou zpoplatněny, ale mnohé jsou zahrnuty v ceně objednaných serverů. Hlavní koncepcí nabízených služeb je však jednoduchost použití, neboť SoftLayer se řídí zásadou, že čím jednodušší je použití služeb, tím více se budou využívat. Mezi takové volitelné položky patří vyhledávání zranitelností, host based firewall, antivirový program nebo IDS a IPS programy. SoftLayer používá k vyhledání zranitelnosti automatické skenování bezpečnostních slabin pomocí nástroje Nessus. Infrastruktura pro opakované provádění skenů je již předinstalována.
Po spuštění skenu nástroj nejprve vyhledá otevřené služby. Následně pak porovná výsledky s databází, která obsahuje známé konfigurační chyby a zranitelnosti. Výstupem je komplexní report, ve kterém jsou obsaženy nejen nalezené zranitelnosti, ale i doporučený postup jejich odstranění. Veškerá správa skenů a reportů se provádí z prostředí uživatelského portálu, tedy velmi snadno a bez potřeby specializovaných znalostí. Tato služba je zdarma pro každý pronajatý fyzický nebo virtuální server. Rovněž správu politik a prohlížení antivirových skenů může provádět uživatel prostřednictvím uživatelského portálu, bez nutnosti přihlásit se do konkrétního operačního systému. Volitelně je možné přidat též systém pro detekci spywaru a odhalení průniku (tzv. IDS, Intrusion Detection System a IPS, Intrusion Protection System), který lze opět spravovat z prostředí uživatelského portálu. Tato služba je již zpoplatněna.
Úložné systémy poskytují podobné možnosti, jako např. síťové prvky nebo servery. V nabídce je široké spektrum variant od sdílených disků přes dedikované disky až po dedikovaná disková pole. Zákazník má možnost výběru s ohledem na uplatnění interních nebo zákonných předpisů a nařízení. U sdílených (multi-tenant) úložných systému je v architektuře důsledně implementována strategie „write-before-read“. To znamená, že datové bloky jsou uživateli dynamicky alokovány teprve tehdy, až na ně zapíše. Žádný prostor na úložišti není „předalokovaný“.
Uživatel tedy nemá žádnou možnost, jak přečíst data, která mohla zůstat po jiném uživateli, ať už v operaci blokového čtení nebo v rámci operace načtení souboru. Bloky navíc nejsou alokovány souvisle, ale náhodně rozprostřeny po řádově stovkách disků. SoftLayer neposkytuje žádnou jednoduchou službu typu šifrování dat na stisknutí tlačítka. Jedním z důvodů je opět ochrana dat zákazníka. Implementace takové služby by implikovala, že SoftLayer bude spravovat a vlastnit „master key“ pro dekódování dat. Místo toho je poskytována infrastruktura a součinnost pro rozšíření vlastního existujícího řešení zákazníka na „hybridní prostředí“ zahrnujícího zdroje umístěné v prostředí SoftLayeru.
U dedikovaných úložišť je pak snadné implementovat vlastní řešení pro šifrování dat. Pokud zákazník nemá vlastní řešení pro šifrování dat a správu klíčů, pak SoftLayer nabízí řešení ICDES (IBM Cloud Data Encryption Service, https://www.i-c-d-e-s.com/). Při jeho použití má zákazník veškerou bezpečnost šifrovaných dat plně pod svou kontrolou. ICDES má zabudovanou vlastní správu klíčů, které jsou bezpečně uloženy spolu s daty. Zákazník tak nepotřebuje žádný vlastní systém pro správu klíčů. Avšak klíče je možné také exportovat a uložit v libovolném systému pro správu klíčů, který je kompatibilní s protokolem KMIP (Key Management Interoperability Protocol). SoftLayer nabízí též pronájem HSM (Hardware Security Module, SafeNet Luna) pro bezpečné ukládání klíčů.
Hlavním nástrojem pro obsluhu prostředí SoftLayer je samoobslužný uživatelský portál. Portál integruje celou škálu samoobslužných funkcí od objednávek prostředí, přes správu prostředí, monitoring, zadávání požadavků na helpdesk, správu VPN až po fakturaci. Uživatelský portál umožňuje definovat další uživatele a přiřadit jim role. V rámci rolí je pak možné jemně nastavit přístupová práva k funkcím portálu. Pro kontrolu přístupu k portálu je možné nastavit také expiraci hesla, bezpečnostní otázky, včetně jejich vynucení, omezení přístupu na portál jen pro určité IP adresy (např. přístup na portál jen z podnikového intranetu) a samozřejmě zakázat uživateli toto nastavení měnit.
Výhodou je též možnost nastavení dvou-faktorové autentizace. Součástí možností portálu je také možnost navázání VPN. Nutno dodat, že se jedná o VPN řešení pro administrativní přístup, případně pro přesun dat mezi servery nebo mezi prostředím uživatele a servery. Možnost užívat VPN je v ceně. Uživatel se tak dostane na vnitřní síť SoftLayeru. Veškeré přístupy přes uživatelský portál jsou auditovány a logy jsou dostupné přímo z prostředí portálu, pokud má uživatel patřičná oprávnění. Doporučený produkční přístup přes VPN je řešený pomocí brány. Takovou bránou je Vyatta gateway appliance. Jedná se o uživatelem plně konfigurovatelnou bránu, která poskytuje služby jako firewall, VPN, NAT (network address translation), vyvažování zátěže (load balancing). Pracuje též jako směrovač (router) mezi VLANy a poskytuje služby typu QoS (quality of service). Pomocí zařízení Vyatta je možné nastavit prostředí, kde je např. zcela zakázán přístup k serverům s výjimkou intranetu uživatele. SoftLayer také umožňuje uživatelům vybudovat vlastní řešení pro připojení na bázi komerčních technologií Vyatta, Juniper, OpenVPN a Cisco. Poslední možností připojení do vnitřní sítě SoftLayeru je přímá linka přes TELCO poskytovatele.
IBM SoftLayer jako poskytovatel služby IaaS formou veřejného cloudu představuje robustní prostředí pro provozování nejrůznějších typů aplikací. Díky implementaci zabezpečení na různých úrovních (fyzické, síťové, operační) je zároveň i platformou bezpečnou. Mezi základní bezpečnostní prostředky používané v cloudu IBM SoftLayer patří vyhledávání zranitelností, antivirová a anti-spywarová ochrana, ochrana proti útokům na úrovni hostitelského počítače (host-based intrusion protection), firewall a ochrana proti síťovým útokům (IPS, DDoS), Virtual Private Networking (VPN), dvou-faktorová autentizace do portálu, SSL certifikáty a podpora šifrovaného spojení a šifrování uložených dat.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz