Tilbage i de dage, da jeg var heldigvis at bruge tid på operationer sal i computing centre, vi altid iagttages, at de største trusler mod sikkerheden på vores systemer var godt bestemt erhvervsdrivende, der gør simple fejl. Nr. hacker eller kriminelle nogensinde bragt ned et netværk såsom kede net fyr på den sene skift, der har besluttet at uploade en ny version af Cisco IOS på alle routere af et globalt internetudbyder uden prøvning først. En fejl i IOS frigivelse forårsaget hver router går ned, ét ad gangen. Jeg husker drages i arbejdet med at løse problemet (var nødt til at sende folk på stedet for at genindlæse IOS på hvert sted) og derefter bruge mange timer på at skrive kode og dæksblad scripts til at registrere hvert tastetryk på operationelle systemer operatørerne CIRCA 1994.

Igen og igen ser vi unsexy sandheden selvforskyldt på Denial of Service-angreb, som vi ofte henvise til disse hændelser. Fokuseringen af IT sikkerhed fagfolk ofte på små, næsten trivielle udnytter, mens de største problemer er altid med et godt bestemt operatør betaler vi for at gøre arbejdet.

Det var ikke længe siden, hvor Google havde det samme problem. Hvis du husker (jeg tror jeg indsendt noget her), en af Googles medarbejdere uploadet en "/" (skråstreg) som et ondsindet websted i deres "super filter". Denne meget lille fejl forårsaget hele internettet for at være utilgængelig via Google for omkring en time (eller lidt mindre, så vidt jeg husker). Med så mange virksomheder, afhængigt af Google Adsense for indtægter (sidste tæller Google ejede over 70% af søgning marked), dette var et betydeligt tab for utallige virksomheder (men mest af alt, Google).

Så det bør ikke komme som nogen overraskelse, at i vores jag til at outsource tjenester til "skyerne" vi glemmer, at et operationelt fejl i "sky vi stole på" af en sky tjenesteyderen er mere sandsynligt at forårsage en tjeneste forstyrrelser end en hacker hackin'-the-skyer. Alligevel læser vi forsigtige rapporter om sky hacking, ikke sky operationelle spørgsmål.

Som en sag-in-punkt, et af de "web-sites-under-vores-vinger" besluttet at eksperimentere med Amazon CloudFront til at levere statisk indhold. Vi var fokuserede på hastighed levering, latenstid og brugerens oplevelse. Vi var " glade campister ", og slår til lyd Amazon AWS som det næste store kommende teknologi. Alle virkede fint. Derefter skal de genstande stoppet raining fra vores sky. Vores objekter ikke var tjent mere. Webstedet blev negativt foretaget fordi AWS CloudFront indholdslevering nettet ( CDN) stoppe visningen af indholdet. Heldigt for os, havde vi kun flyttet over små statiske grafiske objekter, ikke Javascript eller andre operationelle web-kode. Vi er tilbøjelige til at arbejde i baby skridt, erfaringer fra indefrysningen operationelle etager i computing centre.

Hvad skete der?

En regel-baseret system, som vores (når favorit) sky udbyder flagede kontoen som "mistænkte" og uden varsel, e-mail-meddelelse, telefonopkald eller SMS-besked, skal du lukke vores sky tjenester. Ikke mere indhold. Service afvist. Vores sky var tør. Der var ingen hacker, kriminelle eller andre generende person at forvolde skade, ingen bedrager eller skidt fyr, var det den sky tjenesteyderen betalte vi til at tage sig af disse ting - et godt bestemt række operationelle fejl.

Denne korte historie tjener som en påmindelse til alle IT-sikkerhed fagfolk om de skjulte farer i sky og hvordan operationelle spørgsmål ved godt bestemt folk vi stoler generelt er de største risici for IT-systemer og systemets sikkerhed.




Mere ...