AI Claude Code od Anthropicu lépe rozumí frameworku Nette, tj. open source frameworku pro tvorbu webových aplikací v PHP. David Grudl napsal plugin Nette pro Claude Code.
Byla vydána prosincová aktualizace aneb nová verze 1.108 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a videi v poznámkách k vydání. Ve verzi 1.108 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.
Na lasvegaském veletrhu elektroniky CES byl předveden prototyp notebooku chlazeného pomocí plazmových aktuátorů (DBD). Ačkoliv se nejedná o první nápad svého druhu, nepochybně to je první ukázka praktického použití tohoto způsobu chlazení v běžné elektronice. Co činí plazmové chladící akční členy technologickou výzvou je především vysoká produkce jedovatého ozonu, tu se prý podařilo firmě YPlasma zredukovat dielektrickou
… více »Patchouli je open source implementace EMR grafického tabletu (polohovací zařízení). Projekt je hostován na GitLabu.
Český Nejvyšší soud potvrdil, že česká právní úprava plošného uchování dat o elektronické komunikaci porušuje právo Evropské unie. Pravomocným rozsudkem zamítl dovolání ministerstva průmyslu a obchodu. To se teď musí omluvit novináři Českého rozhlasu Janu Cibulkovi za zásah do práv na ochranu soukromí a osobních údajů. Ve sporu jde o povinnost provozovatelů sítí uchovávat údaje, ze kterých lze odvodit, kdo, s kým a odkud komunikoval.
Google bude vydávat zdrojové kódy Androidu pouze dvakrát ročně. Ve 2. a 4. čtvrtletí.
Bezpečnostní specialista Graham Helton z Low Orbit Security si všímá podezřelých anomálií v BGP, zaznamenaných krátce před vstupem ozbrojených sil USA na území Venezuely, které tam během bleskové speciální vojenské operace úspěšně zatkly venezuelského diktátora Madura za narkoterorismus. BGP (Border Gateway Protocol) je 'dynamický směrovací protokol, který umožňuje routerům automaticky reagovat na změny topologie počítačové sítě' a je v bezpečnostních kruzích znám jako 'notoricky nezabezpečený'.
Společnost Valve aktualizovala přehled o hardwarovém a softwarovém vybavení uživatelů služby Steam. Podíl uživatelů Linuxu dosáhl 3,58 %. Nejčastěji používané linuxové distribuce jsou Arch Linux, Linux Mint a Ubuntu. Při výběru jenom Linuxu vede SteamOS Holo s 26,32 %. Procesor AMD používá 67,43 % hráčů na Linuxu.
V Las Vegas probíhá veletrh CES (Consumer Electronics Show, Wikipedie). Firmy představují své novinky. Například LEGO představilo systém LEGO SMART Play: chytré kostky SMART Brick, dlaždičky SMART Tagy a SMART minifigurky. Kostka SMART Brick dokáže rozpoznat přítomnost SMART Tagů a SMART minifigurek, které se nacházejí v její blízkosti. Ty kostku SMART Brick aktivují a určí, co má dělat.
Vládní CERT (GovCERT.CZ) upozorňuje (𝕏) na kritickou zranitelnost v jsPDF, CVE-2025-68428. Tato zranitelnost umožňuje neautentizovaným vzdáleným útočníkům číst libovolné soubory z lokálního souborového systému serveru při použití jsPDF v prostředí Node.js. Problém vzniká kvůli nedostatečné validaci vstupu u cest k souborům předávaných několika metodám jsPDF. Útočník může zneužít tuto chybu k exfiltraci citlivých
… více »Na bezpečnost cloudových služeb se můžeme dívat dvojím pohledem. Jednak můžeme vyčíst všechny jednotlivé bezpečnostní prvky dostupné v cloudu a zvážit detailně jejich parametry a možnost použití nebo se můžeme soustředit na formální certifikace. Kromě konkrétních technických prostředků používaných pro zabezpečení cloudových služeb je a bude cloudová bezpečnost také otázkou důvěry. Při využívání cloudu jako prostředí pro provoz aplikací dochází ke ztrátě kontroly zákazníka nad některými bezpečnostními mechanizmy a částečný přesun zodpovědnosti za bezpečnost k poskytovateli cloudu.
Dostáváme se tak k obvyklému modelu informační bezpečnosti v cloudu, kterým je sdílená zodpovědnost mezi zákazníkem a poskytovatelem. Míra sdílení je závislá na typu poskytovaných/konzumovaných služeb. V případě obvyklého dělení cloudových služeb na IaaS (infrastruktura jako služba), PaaS (platforma jako služba) a SaaS (software jako služba), se obecně zodpovědnost zákazníka zmenšuje a zodpovědnost poskytovatele zvětšuje od IaaS, přes PaaS až k SaaS. V obou krajních případech je situace relativně jednoduchá. V případě IaaS poskytovatel zodpovídá za fyzickou bezpečnost datových center, serverů, datových úložišť, sítí a hypervisoru včetně softwaru používaného pro administraci.
V případě SaaS zodpovídá poskytovatel za „end-to-end“ bezpečnost běžící služby a zákazník zodpovídá pouze za přidělování přístupu oprávněným uživatelům a monitorování jejich přístupů. V případě PaaS (platforma jako služba) může nastat celá škála situací v závislosti na tom, jaký konkrétní typ platformy je poskytován. Důležité je vždy jasně definovat, kde končí zodpovědnost jedné strany a začíná zodpovědnost druhé strany. Na otázku přístupu k řešení bezpečnosti ve veřejném cloudu se dále podíváme na modelovém příkladu veřejného cloudu IBM SoftLayer. SoftLayer je typickým poskytovatelem infrastruktury jako služby (IaaS).
Přístup k řízení bezpečnosti v SoftLayeru vychází z amerického standardu NIST 800-53, který vydala Divize počítačové bezpečnosti (Computer Security Division) při Národním institutu pro normy a technologie (National Institute of Standards and Technology). V rámci určeném tímto standardem řeší SoftLayer implicitní bezpečnost vyplývající z architektury a užívaných provozních postupů.
Fyzické zabezpečení a ostraha datových center je řešena v souladu s moderními standardy včetně stálé fyzické ostrahy, prostředků pro zamezení přístupu nepovolaných osob, kamerových a biometrických bezpečnostních systémů. Veškerý hardware je označen pouze čarovým kódem a nenese žádné označení zákazníka nebo provozované aplikace. K fyzickému zabezpečení se přidávají i potřebné provozní postupy. Bezpečnost provozu je zajištěna interním školením personálu na průmyslové standardy a kontrolována každoročním auditem. Klíčové komponenty a systémy jsou zabezpečeny proti živelným pohromám a výpadkům geografickou diverzifikací. Data na discích jsou po použití mazána postupem schváleným Ministerstvem obrany Spojených států amerických (DoD). Veškerá opatření vně i uvnitř datových center jsou prověřována externími auditory a výsledné detailní protokoly jsou zákazníkům k dispozici pro jejich vlastní případné bezpečnostní certifikace.
Datová centra jsou provozována v souladu s auditovacím standardem pro servisní organizace SSAE16/SOC2. Zacházení s citlivými daty o držitelích platebních karet se řídí souborem mezinárodních bezpečnostních standardů Payment Card Industry Data Security Standard (PCI DSS). Další certifikace zajímavé z hlediska bezpečnosti a standardů jsou Safe Harbor, FISMA a HIPAA. Všechna datová centra prošla nebo procházejí certifikací podle ISO 27001 včetně dodatků ISO27017 a ISO27018. Nově vybudovaná datová centra jsou certifikována vždy v dalším certifikačním/recertifikačním cyklu pro všechna datová centra. Výhodou je též fakt, že všechna datová centra jsou budována podle stejné šablony. Je tedy zaručeno, že bezpečnostní architektura a postupy ověřené a používané klientem pro řešení umístěné v jednom datovém centru budou stejně vyhovující v jiném datovém centru a významně se tím snižuje také možnost lidské chyby. SoftLayer tak poskytuje bezkonkurenční ochranu pro finanční, zdravotní i vládní data.
SoftLayer nabízí tři možnosti pronájmu výpočetní kapacity datového centra. Dedikovaný fyzický (tzv. bare-metal) server, virtuální server na sdíleném hardwaru a virtuální server na dedikovaném hardwaru. To umožňuje potřebnou granularitu úrovně bezpečnosti.
Pro běžný provoz je možné využít virtuální server na sdíleném hardwaru. Pracovní zátěž podléhající určitým nařízením a předpisům, které vylučují sdílení, je možné provozovat ve virtuálním prostředí na dedikovaném hardwaru nebo rovnou na dedikovaném fyzickém serveru. Pro takovou zátěž není tedy nutné pracně analyzovat bezpečnostní rizika např. na úrovni hypervizoru. Pokud uživatel rozhodne nevyužít standardní nabídku virtualizace a provozovat vlastní virtualizaci pak odpovídá za instalaci a konfiguraci hypervizoru. Na druhou stranu má hypervizor plně pod kontrolou a může uplatňovat bezpečnostní standardy podobně, jako v případě provozování lokální infrastruktury.
V nabídce volitelného zabezpečení pro uživatele je také možnost využívat technologii Intel TXT spolu s fyzickými servery.
SoftLayer používá na trhu unikátní síťovou infrastrukturu. Každý server může být přístupný po třech různých sítích, veřejné, privátní a administrativní. Poslední dvě sítě jsou dostupné jen pomocí VPN spojení (virtual private network). VPN spojení je možné navázat přímo z uživatelského portálu přes protokol SSL, PPTP nebo IPSec. Veřejná síť je kompletně fyzicky oddělená od privátní a administrativní, což snižuje bezpečnostní rizika. U síťových prvků, jako jsou firewally nebo brány, je opět možnost objednat sdílený prvek nebo dedikovaný prvek spravovaný přes uživatelský portál nebo i dedikovaný prvek s nativními prostředky pro správu a přístupem do konzoly. Vlastní síťová infrastruktura datového centra je pochopitelně sdílená na úrovni kabelů, směrovačů (router) a přepínačů (switch).
Síťový provoz je však spolehlivě izolován na základě prověřené technologie VLAN a řízení přístupu pomocí ACL (Access Control List). Uživatel má možnost správy VLANů přímo z uživatelského portálu včetně objednávky nových VLANů a nastavení či zakázání prostupu mezi nimi. Infrastruktura SoftLayeru zahrnuje také zařízení na detekci DDoS útoků. V provozu je nepřetržitě síťové operační centrum (Network Operation Center, NOC), které dohlíží na síťový provoz.
Softlayer poskytuje katalog standardních šablon pro operační systémy. Taková standardní šablona nemusí nutně obsahovat poslední bezpečnostní záplaty. To má praktický význam v tom, že ne každý software je certifikován pro nejnovější úroveň záplat a odinstalovat nechtěné updaty může být problém. Je na zákazníkovi, aby definoval, jakou úroveň operačního systému potřebuje z hlediska bezpečnosti a funkčnosti. SoftLayer nabízí možnost aktualizace operačního systému a instalace záplat pro systémy Windows a Linux (např. Red Hat) na své vnitřní síti, zdarma a s neomezeným objemem dat. Zákazník má jistotu, že veškeré updaty pocházejí z důvěryhodného zdroje.
Servery s těmito operačními systémy tak není nutno připojit na veřejnou síť. Zákazník může uplatnit pro bezpečnost veškeré své interní předpisy a nástroje. Pro zvolení správné úrovně zabezpečení je pochopitelně možné využít též nabídku volitelného zabezpečení. SoftLayer nabízí řadu volitelných služeb, které uživatel může přidat do svého prostředí k zajištění požadované bezpečnosti. Některé služby jsou zpoplatněny, ale mnohé jsou zahrnuty v ceně objednaných serverů. Hlavní koncepcí nabízených služeb je však jednoduchost použití, neboť SoftLayer se řídí zásadou, že čím jednodušší je použití služeb, tím více se budou využívat. Mezi takové volitelné položky patří vyhledávání zranitelností, host based firewall, antivirový program nebo IDS a IPS programy. SoftLayer používá k vyhledání zranitelnosti automatické skenování bezpečnostních slabin pomocí nástroje Nessus. Infrastruktura pro opakované provádění skenů je již předinstalována.
Po spuštění skenu nástroj nejprve vyhledá otevřené služby. Následně pak porovná výsledky s databází, která obsahuje známé konfigurační chyby a zranitelnosti. Výstupem je komplexní report, ve kterém jsou obsaženy nejen nalezené zranitelnosti, ale i doporučený postup jejich odstranění. Veškerá správa skenů a reportů se provádí z prostředí uživatelského portálu, tedy velmi snadno a bez potřeby specializovaných znalostí. Tato služba je zdarma pro každý pronajatý fyzický nebo virtuální server. Rovněž správu politik a prohlížení antivirových skenů může provádět uživatel prostřednictvím uživatelského portálu, bez nutnosti přihlásit se do konkrétního operačního systému. Volitelně je možné přidat též systém pro detekci spywaru a odhalení průniku (tzv. IDS, Intrusion Detection System a IPS, Intrusion Protection System), který lze opět spravovat z prostředí uživatelského portálu. Tato služba je již zpoplatněna.
Úložné systémy poskytují podobné možnosti, jako např. síťové prvky nebo servery. V nabídce je široké spektrum variant od sdílených disků přes dedikované disky až po dedikovaná disková pole. Zákazník má možnost výběru s ohledem na uplatnění interních nebo zákonných předpisů a nařízení. U sdílených (multi-tenant) úložných systému je v architektuře důsledně implementována strategie „write-before-read“. To znamená, že datové bloky jsou uživateli dynamicky alokovány teprve tehdy, až na ně zapíše. Žádný prostor na úložišti není „předalokovaný“.
Uživatel tedy nemá žádnou možnost, jak přečíst data, která mohla zůstat po jiném uživateli, ať už v operaci blokového čtení nebo v rámci operace načtení souboru. Bloky navíc nejsou alokovány souvisle, ale náhodně rozprostřeny po řádově stovkách disků. SoftLayer neposkytuje žádnou jednoduchou službu typu šifrování dat na stisknutí tlačítka. Jedním z důvodů je opět ochrana dat zákazníka. Implementace takové služby by implikovala, že SoftLayer bude spravovat a vlastnit „master key“ pro dekódování dat. Místo toho je poskytována infrastruktura a součinnost pro rozšíření vlastního existujícího řešení zákazníka na „hybridní prostředí“ zahrnujícího zdroje umístěné v prostředí SoftLayeru.
U dedikovaných úložišť je pak snadné implementovat vlastní řešení pro šifrování dat. Pokud zákazník nemá vlastní řešení pro šifrování dat a správu klíčů, pak SoftLayer nabízí řešení ICDES (IBM Cloud Data Encryption Service, https://www.i-c-d-e-s.com/). Při jeho použití má zákazník veškerou bezpečnost šifrovaných dat plně pod svou kontrolou. ICDES má zabudovanou vlastní správu klíčů, které jsou bezpečně uloženy spolu s daty. Zákazník tak nepotřebuje žádný vlastní systém pro správu klíčů. Avšak klíče je možné také exportovat a uložit v libovolném systému pro správu klíčů, který je kompatibilní s protokolem KMIP (Key Management Interoperability Protocol). SoftLayer nabízí též pronájem HSM (Hardware Security Module, SafeNet Luna) pro bezpečné ukládání klíčů.
Hlavním nástrojem pro obsluhu prostředí SoftLayer je samoobslužný uživatelský portál. Portál integruje celou škálu samoobslužných funkcí od objednávek prostředí, přes správu prostředí, monitoring, zadávání požadavků na helpdesk, správu VPN až po fakturaci. Uživatelský portál umožňuje definovat další uživatele a přiřadit jim role. V rámci rolí je pak možné jemně nastavit přístupová práva k funkcím portálu. Pro kontrolu přístupu k portálu je možné nastavit také expiraci hesla, bezpečnostní otázky, včetně jejich vynucení, omezení přístupu na portál jen pro určité IP adresy (např. přístup na portál jen z podnikového intranetu) a samozřejmě zakázat uživateli toto nastavení měnit.
Výhodou je též možnost nastavení dvou-faktorové autentizace. Součástí možností portálu je také možnost navázání VPN. Nutno dodat, že se jedná o VPN řešení pro administrativní přístup, případně pro přesun dat mezi servery nebo mezi prostředím uživatele a servery. Možnost užívat VPN je v ceně. Uživatel se tak dostane na vnitřní síť SoftLayeru. Veškeré přístupy přes uživatelský portál jsou auditovány a logy jsou dostupné přímo z prostředí portálu, pokud má uživatel patřičná oprávnění. Doporučený produkční přístup přes VPN je řešený pomocí brány. Takovou bránou je Vyatta gateway appliance. Jedná se o uživatelem plně konfigurovatelnou bránu, která poskytuje služby jako firewall, VPN, NAT (network address translation), vyvažování zátěže (load balancing). Pracuje též jako směrovač (router) mezi VLANy a poskytuje služby typu QoS (quality of service). Pomocí zařízení Vyatta je možné nastavit prostředí, kde je např. zcela zakázán přístup k serverům s výjimkou intranetu uživatele. SoftLayer také umožňuje uživatelům vybudovat vlastní řešení pro připojení na bázi komerčních technologií Vyatta, Juniper, OpenVPN a Cisco. Poslední možností připojení do vnitřní sítě SoftLayeru je přímá linka přes TELCO poskytovatele.
IBM SoftLayer jako poskytovatel služby IaaS formou veřejného cloudu představuje robustní prostředí pro provozování nejrůznějších typů aplikací. Díky implementaci zabezpečení na různých úrovních (fyzické, síťové, operační) je zároveň i platformou bezpečnou. Mezi základní bezpečnostní prostředky používané v cloudu IBM SoftLayer patří vyhledávání zranitelností, antivirová a anti-spywarová ochrana, ochrana proti útokům na úrovni hostitelského počítače (host-based intrusion protection), firewall a ochrana proti síťovým útokům (IPS, DDoS), Virtual Private Networking (VPN), dvou-faktorová autentizace do portálu, SSL certifikáty a podpora šifrovaného spojení a šifrování uložených dat.
Nástroje: Tisk bez diskuse
Tiskni
Sdílej:
AbcLinuxu.cz
ITBiz.cz
HDmag.cz
AbcPráce.cz