BLOGI

Julgus ja pealehakkamine viib edasi - Tech33

15. november, Bucharest - CENTRi tehnilise töögrupi 33. kogunemine. Esitlused teemadel registri lukk, NSEC3, pidev integreerimine ja juurutamine, Zonemaster, avatud andmed DNSis. Kuid, tihti on põnevamad teemad hoopis ettekannete välised, nii kujunes seekordse ürituse naelaks Belgia register otsusega kogu taristu pilve liigutada.
Külalisesinejana oli kohal Dr Melanie Rieback Hollandi iduettevõttest Radically Open Security, mis kasutab meie Testlioga, või nagu nad ise võrdluseks toovad, Uberi ja Airbnbga, sarnast turvaekspertide kaasamise mudelit IT-turbe küsimustega tegelemiseks. Rieback tutvustas ChatOps lähenemist pen-testimisele (sissemurdmise testid), Open Anti-DDoS initsiatiivi ning NetAidKit-i ehk kuidas kõikide asjade kõikjale ühendamist muuta inimlikuks ja turvalise(ma)ks. Huvitavam osa oligi ehk ChatOps pool, kus RocketChati abil toimub meeskonna suhtlus, käivitatakse pen-teste ning saab genereerida turvatestide aruandeid.

Ka registrilukk pole veel surnud. Portugali register just juurutas selle ja rääkis oma kogemusest. Lahendatud oli see küll veidi tavapäratumalt ja minu hinnangul liiga keeruliselt. Tavapärasest erinev on siis luku lisamine ja eemaldamine - domeeni külge lisatakse eraldi registriluku kontaktid, kellel on õigus lukku lisamise ja eemaldamise taotlust esitada. Reaalse lukustamise ja lahti lukustamise viib läbi siiski register. Lukustada saab ka üksikuid toiminguid nagu näiteks omanikuvahetus või domeeni kustutamine. Teenuse hind 5€ kuus ja teenuse kasutajaid praktiliselt pole.

Jätkuks kunagisele aastatagusele ülihuvitavale esitlusele oma tarkvara pideva tarne lahendusest esitles Saksa register Denic seekord järgmisi samme samal teel viies pideva tarne ja juurutamise lahenduse nimeserveri taristu tasemele. Sakslased jooksutavad ka oma Anycast nimeserveri lahendust, st nende hallata on väga suur hulk nimeservereid, mida kõiki tuleb uuendada, seadistada ja vead olid seni lausa vältimatud. Lahendus on identne registri tarkvara halduse lahendusega - sini-roheline juurutamine, muutumatu server, automaattestid ning täisautomaatne, viivitamatu, praktiliselt katkestusteta uuenduste rakendamine. Mõned märksõnad kasutatud lahendustest: XenServer, Cobbler, Ansible, Jenkins, Postgres, Python, netconf.

Ürituse röövisid belglased, kes teatasid nagu muuseas jutu sees, et on otsustanud loobuda riistvara haldusest ja kõik oma registrisüsteemid täismahus pilve paigutada. Valik on langetatud Amazoni kasuks. See, mis sellele teatele aga järgnes oli uskumatu. Oleme ka EISis sellel teemal emotsionaalseid arutelusid pidanud, aga julgust otsustada muutuste, tõhususe ja tuleviku kasuks pole piisavalt olnud. Ikka on takerdutud andmekaitse küsimustesse nagu domeeni register sisaldaks tundlikke andmeid (mis ei ole tõsi) ja lõpuks, et miks teised riigitunnusega tippdomeene haldavad registrid seda teinud pole. Selgub, et väga paljud on selle peale mõelnud ja mõtlevad jätkuvalt ning meiega väga sarnaste küsimuste tõttu pole seda veel ette võtnud. Ka Belgia registris olid need küsimused üleval. Erinevus teistest seisnes, aga julguses lahendada patiseis muutuste kasuks. Inimeste nägudes oli näha vaimustust, küsimusi, kõhklusi, aga võib öelda, et ükskõikseks ei jäänud keegi. Ilmselt kujuneb sellest teemast nüüd ka järgmise suve Jamboree üks läbivaid teemasid.

Veel puudutati seekord teemasid nagu Oarc, Zonemaster, Open DNS ideed, andmete analüüsi ja statistikat ning sisemisele ringile mõeldud DNSSECi ja muid registripõhiseid turvaprobleeme ja juhtumeid.

Päevakava ja esitlused on leitavad ka CENTRi kodulehelt https://centr.org/Tech33.

Uus kommentaar

Email again:

© 2017 Eesti Interneti Sihtasutus  | Paldiski mnt 80, 10617 Tallinn | Registrikood: 90010019