Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei

[Skysnake]

Doch, ist es.
Eigene Erfahrung in einem Unternehmen, bei dem IT nur das Mittel zum Zweck ist

Nein ist es nicht. Bei uns war es z.b. für nen Cloude Projekt im Lastenheft nen Auschlusskriterium wenn es nicht Multicloude geht. Also min zwei Anbieter oder keine Cloude. Das kenne ich aus mehreren Unternehmen so. Nur bei den Desktops ist man dann plötzlich völlig machtlos und kann nicht anders als sich MS an den Hals zu werfen...

 

[Rickmer]

Ich betreibe/habe bald 10 Jahre Erfahrung im Betrieb von Zick Systeme mit Tausenden von uniq Nutzern. Monitoring, Altering, Logging, Provisioning, Ldap, Slurm, Software defined Storage, Sicherheitskonzepte, Change Management, Docker Swarm, Desaster Recovery, DHCP und Betreuung von ISV Codes.

Klingt für mich so, als ob du keine wirkliche Grundlage hast, um den Zeit- und Kostenaufwand für eine wirkliche Eigenentwicklung einer in-house Alternative für AD, LDAP abzuschätzen.

Viel Kompetenz, viel Wissen, aber nicht in Sachen Softwareentwicklung.

Vendorlockin zu vermeiden heißt nicht, dass man alles selbst entwickelt.

Aber genau davon redet Skysnake - oder zumindest lesen sich seine Beiträge so.
Persönlich würde ich auch erstmal schauen, was sich opensource anbietet, damit man das Rad nicht neu erfinden muss.

Wobei auch diese schnell viel Geld kosten, wenn man dazu auch Support haben will, siehe Red Hat...

 

[nosti]

Es geht doch weit über AD und solche Basisdienste hinaus...
Wir nutzen Sentinel-Siem, die Geräteverwaltung mit Vordeployment der Hardware, Tonnenweise SSO Dienste im Azure AD, die Compliance Module mit Defender ATP und Endpoint Manager und noch viel mehr Kram der mir gerade nicht einfällt. Da eine Alternative zu finden, welche in die Systeme integrierbar ist, ist ein für uns nicht machbarer Aufwand.
Zumal die großen Anbieter auch meistens fertige Schnittstellen und Support haben und du dich so nicht groß mit der Einrichtung befassen musst, sondern das tuen kannst wofür du bezahlt wirst.

Grüße

 

[konkretor]

Bist ja nur so tief verstrickt da dein Desktop Windows ist. Tausch das mal gegen Linux oder MAC aus. Dann sieht das gleich anders aus.
Ich war jetzt schon in mehreren Firmen da konnte ich mir einen Linux Desktop installieren. Habe ich gerne in Anspruch genommen.

Eine Lösung werden wir, hier Im Thread nicht finden. Vielleicht denk Anstöße das nicht immer alles von Microsoft sein muß

 

[nosti]

Wir haben ebenso Mac und Linux im Einsatz und es besteht für alle eine freie Betriebssystemwahl. Das Vordeployment klappt auch mit Mac, Apple lässt sich wunderbar in die Geräteverwaltung integrieren. Linux ist noch aufwändiger, aber auch daran wird gearbeitet.

Grüße

 

[Skysnake]

Klingt für mich so, als ob du keine wirkliche Grundlage hast, um den Zeit- und Kostenaufwand für eine wirkliche Eigenentwicklung einer in-house Alternative für AD, LDAP abzuschätzen.

Wie gesagt, ich habe mehrere LDAPs mit Tausenden von Usern in Linux und Windows Domains betrieben. Also komplett from scratch für die Systeme deployed. Ich glaube ich kann abschätzen wie viel Aufwand das ist die Infrastruktur zu betreiben. Was an Overhead von komplett kaputt designten ADs noch dazu kommt will ich da nicht reden. Da ist ein anderes Thema mir dem ich nichts zu tun hatte.

Ich rede hier aber natürlich NICHT davon alles from scratch zu machen. Das ist ja überhaupt nicht sinnvoll. Gibt ja von RedHat ne Eigenentwicklung und dann Ipenldap. Das ist absolut ausreichend als Alternativen.

Viel Kompetenz, viel Wissen, aber nicht in Sachen Softwareentwicklung.

Weiß nicht, hab an zick Codes von zehntausenden mit mehrere Millionen Zeilen Code von Extern gearbeitet. Hab daher recht viel gesehen. Ansonsten habe ich wie gesagt ne komplette inhouse Cluster Management Suite mitentwickelt. Das waren alles in allen auch 100k+ Zeilen Code, wobei halt faktisch nur Buisness Logik.

Und aktuell steuere ich teilweise Dienstleister die für mich die Umsetzung übernehmen.

Also ja, Software Engineering ist nicht meine Hauptaufgabe, aber ich kann denke ich ganz gut Abschätzen welche Aufwände da im Linux Umfeld zu erwarten sind. Im Windows Umfeld wird es mehr sein, aber wenn es mehr als Faktor 2 mehr ist, sollte das sehr zu denken geben und einen noch mehr zur Migration bewegen.

Aber genau davon redet Skysnake - oder zumindest lesen sich seine Beiträge so.

Da ließt du falsch.

Es geht darum Standardkomponenten Abseits von Microsoft und deren Cloude zu betreiben. Entweder auf eigenem Blech oder auch in ner Multivendor Cloude. Aber eben NICHT die proprietäre Software von Microsoft.

RedHat ist dahingehend eine Alterbative, weil eigentlich alles auch als open Source verfügbar ist. Wenn einen RedHat also zu sehr merkt bzw auf den Sack geht, kann man noch immer auf die schwenken und Die Zeit nutzen für ne Migration zu ner Alternative.

Persönlich würde ich auch erstmal schauen, was sich opensource anbietet, damit man das Rad nicht neu erfinden muss.

Dem kann ich vollumfänglich zustimmen.

Wobei auch diese schnell viel Geld kosten, wenn man dazu auch Support haben will, siehe Red Hat...

Ja, da lässt man einiges an Geld liegen bekommt aber auch durchaus was dafür. Ich betreibe ne größere Zahl an RH Systemen. RH8 ist aktuell aber schon Pain in the ass wenn man viel ISV Codes hat. Da war RH7 entspannter.

Muss man schauen wie sich das entwickelt mit RH.Ubuntu finde ich aktuell immer attraktiver.

Da eine Alternative zu finden, welche in die Systeme integrierbar ist, ist ein für uns nicht machbarer Aufwand

Was ja auch absolut valide sein kann für euch. Kommt ja immer auf die eigene Größe drauf an und je kleiner man ist, desto schlechter kann man open source stemmen. Je nachdem gibt es auch Abhängigkeiten zu Drittsoftware.

 

[Skysnake]

So langsam bekomme ich wirklich das Gefühl MS kann machen was Sie wollen. Die haben die Leute wohl komplett in der Tasche.

Ich habe inzwischen mit ein paar Leuten geredet und überall heißt es eigentlich nur: naja, da ist jetzt was passiert, aber das hat keinerlei Auswirkungen auf die Cloude Strategie...

Habt ihr auch solche Erfahrungen gesammelt?

 

[holdes]

Leider ja, daher bin ich froh, zumindest bei uns so gut wie alles Cloudfrei gebaut zu haben. Dass wir zum Charity Preis SA buchen können, macht’s dann sowieso angenehmer. Gonvernment kostet mittlerweile fast den gleichen Preis wie die regulären.

Wenn der große Chef mal fragt, weil er sowas bei anderen hört erklär ich ihn kurz vorher, dass wir im Grunde wie unsere eigene Cloud haben und dann ist er beruhigt.

 

[konkretor]

@holdes was setzt ihr denn statt Teams ein?

Was in der alten Firma immer das Killer feature war Word/Excel Dokumente mit anderen zu teilen und zu bearbeiten. Das war immer das Argument für M365 obwohl das ja auch mit seafile/nextcloud und onlyoffice auch hin bekommst.

 

[holdes]

Die klassische Office Arbeit kommt bei uns nicht in der Form wie bei normalen Privatwirtschaftlichen Unternehmen vor. Das meiste wird in spezieller Software erledigt und diejenigen die das aus der Ferne nutzen müssen, haben entsprechend Hardware mit VPN oder erledigen das in den Remote Sites.

Für das bisschen Rest tun es die klassischen Office Produkte. Wenn der „Teams-Bedarf“ mal bestehen sollte wird dann SharePoint ergänzt oder anderweitige Workflow Software eingesetzt. Mit den virtualisierten Kisten bin ich nicht gänzlich auf die Windows Welt genagelt, wenn’s sinnvoll ist und es für bestimmte Bedürfnisse etwas gibt, wird es entsprechend mit OpenSource auf Linux VMs umgesetzt.

 

[schrht]

Habt ihr auch solche Erfahrungen gesammelt?

Ich habe professionell sowohl mit der Privatwirtschaft als auch mit Behörden Berührungspunkte. Bei Ersteren merke ich in den letzten Monaten doch eine gewisse einsetzende Realisation, dass eine Auslagerung an Microsoft (oder Atlassian, oder welches Unternehmen auch immer) trotz gegenteiliger Behauptungen kein Allheilmittel ist, und neben den definitiv existierenden Vorteilen nicht gänzlich ohne Risiko ist.

Im Behördenumfeld merke ich eigentlich nur Vorfreude, weil es aufgrund rechtlicher Änderungen eNdLiCh möglich wird, "in die Cloud" zu gehen, da gab's vor dem relativ frischen "Privacy Shield" einige datenschutzrechtliche Themen. Die aktuellen Ereignisse hat da anscheinend absolut niemand auf dem Schirm.

@holdes was setzt ihr denn statt Teams ein?

Mein letzter Arbeitgeber hat sich zur Gänze Google hingegeben - Google Drive, Google Doc, Google Hangouts. Das hat (in Bezug auf Hangouts statt Teams) erstaunlich gut funktioniert. Auch wenn's wohl ein Fall von Pest vs. Cholera ist ..

 

[Skysnake]

Wie bewertet ihr die aktuellen AMD und Intel Lücken?

Mir ist irgendwie noch nicht so ganz klar was mit Epcy 1 und 2 nun ist.

 

[konkretor]

You wie immer das wird die Performance erst mal in Keller ziehen, falls sie sich jemals davon erholen wird.

https://downfall.page/

Da gibt es eine PDF wo er detailiert erklärt was da passiert. Rr wird in den nächsten 2 Tagen darüber Berichten.

Blackhat und USENIX

Das Problem muss größer sein, es hat das am 24 August 2022 gemeldet

 

[schrht]

Das Problem muss größer sein, es hat das am 24 August 2022 gemeldet

In der Theorie ist das ein fatales Problem - wenn dich die Mitigation einer Sicherheitslücke unter Umständen 50% deiner Performance kosten kann .. ouch. Und die Häufigkeit, mit der solche Lücken in breit eingesetzter Hardware entdeckt / veröffentlicht wurden ist kein gutes Zeichen für den Sicherheitszustand von aktueller Computerarchitektur, auch wenn die erhöhte Aufmerksamkeit, die dem Bereich seit einigen Jahren zu Teil wird, sicherlich ihren Teil dazu beiträgt, dass mehr Schwachstellen gefunden werden.

Für mich persönlich das große "aber" an der Sache: Die praktische Gefahr halte ich, in den meisten Fällen, für sehr begrenzt, Der Autor schreibt:

GDS is highly practical. It tooks me 2 weeks to develop an end-to-end attack stealing encryption keys from OpenSSL. It only requires the attacker and victim to share the same physical processor core, which frequently happens on modern-day computers, implementing preemptive multitasking and simultaneous multithreading.

Zwei Wochen von jemandem, der mit der Materie tief vertraut ist und es schafft, auf dem selben physischen Prozessorkern zu landen wie sein Angriffsziel. Das ist in meinen Augen nicht mehr ganz "highly practical", und auf jeden Fall nicht "trivial ausnutzbar". Das erfordert Ressourcen und Möglichkeiten, die den allermeisten Angreifer:innen nicht zur Verfügung stehen.

Und selbst die Bedrohungsakteure, denen solche Möglichkeiten zur Verfügung stehen, werden wahrscheinlich weiterhin zu altbekannten Methoden greifen. Schlichtweg weil es weiterhin funktioniert, und es keine Notwendigkeit gibt, zu raffinierteren Methoden zu greifen.

Ich will die Gefahr, die von einer Sicherheitslücke wie CVE-2022-40982 ausgeht, nicht in Abrede stellen, und halt es sogar für ziemlich wichtige, morderne Hardware zu überdenken beziehungsweise Möglichkeiten zu erkunden, diese sicherer zu gestalten. Aber für mich stehen tausende Angriffe, die seit meinem beruflichen Einstieg in die IT-Security über konventionelle Methoden durchgeführt wurden einem einzelnen mir bekannten Angriff gegenüber, bei dem (vielleicht, möglicherweise) an einem Punkt Rowhammer missbraucht wurde. Auch wenn ich natürlich nicht allumfassendes Wissen über alle Cyberangriffe habe, das Verhältnis erscheint mir doch eindeutig.

Und auch wenn mir bewusst ist, dass "Whataboutism" hier nichts verloren hat, ich kann mir ein Augenrollen dennoch nicht zur Gänze verkneifen, wenn ich Kolleg:innen sehe, die sich auf Mailinglisten und in privaten Foren lang und breit über die Risikoeinschätzung solcher Sicherheitslücken unterhalten, aber im eigenen Unternehmen am Asset Management scheitern, oder ein einzelnes, geteiltes Passwort für lokale Administratorkonten verwenden.

 

[Evil E-Lex]

Zwei Wochen von jemandem, der mit der Materie tief vertraut ist und es schafft, auf dem selben physischen Prozessorkern zu landen wie sein Angriffsziel.

Er hat zwei Wochen gebraucht den Code zu schreiben. Da steht nicht, dass der Exploit zwei Wochen braucht. Für Multi-User-Szenarien (wie z.B. Terminalserver) ist die Lücke ein reales Problem, sobald ein simpler Exploit zur Verfügung steht (sehr wahrscheinlich zu bestaunen in der nächsten Ransomware).

 

[schrht]

Mein Fehler, da habe ich mich undeutlich ausgedrückt - das war, was ich gemeint habe.

Ich bestreite nicht, dass es Szenarien gibt, in denen das Risiko größer ist, als in Anderen. Aber immer noch sehr gering im Vergleich zu anderen Sicherheitsrisiken. Ich wäre wirklich erstaunt, wenn wir Ransomware (bzw. die Bedrohungsakteure dahinter) sehen würden, die eine Sicherheitslücke dieser Art auszunutzen versucht.

 

[Skysnake]

Naja, für Privatnutzer ist es nicht so interessant aber ansonsten? Jeder shared Server ist doch nen super Ziel. Jeder Innentäter freut sich auch, da es kaum aufspürbar ist.

Das ist doch das wesentliche Problem an der Geschichte. Du weißt nie ob dein System kompromittiert ist oder nicht. OnPrem geht's ja noch, aber bei Cloud wird es halt echt haarig.

Daher verstehe ich auch nicht warum selbst große Konzerne in die Cloud rennen....

 

[schrht]

Naja, für Privatnutzer ist es nicht so interessant aber ansonsten? Jeder shared Server ist doch nen super Ziel. Jeder Innentäter freut sich auch, da es kaum aufspürbar ist.

Ja - wenn die 825 anderen Kompromittierungsmöglichkeiten nicht funktioniert haben. Wie gesagt, ich will die Gefahr, die grundsätzlich von Lücken dieser Art ausgeht nicht in Abrede stellen. Aber bei der Risikoeinschätzung würde ich da runter vom Gas gehen.

 

[Skysnake]

Naja, der POC Code ist frei verfügbar. Das macht sie Sache dann schon sehr attraktiv. Oder meinst du nicht?

 

[Rickmer]

Im Sinne von 'einfach mal ein paar VPC-Instanzen mieten und schauen wo sich was finden lässt' meinst du?