Piilotetut staging-palvelimet: Miksi sertifikaattien etsintä kuuluu DevOps-listaasi

Muistatko, kun siivoat kaappia ja törmäät vanhoihin vaatteisiin, jotka olet unohtanut? Infrasi kärsii samasta vaivasta. Unohdetut TLS-sertifikaatit, aliverkkotunnit ja paikkaamattomat palvelimet odottavat löytäjäänsä.

Haamualiverkkotunnusten kummitus

Kuvittele tilanne: kehittäjä pyörittää staging-v2.firmasi.fi-aliverkkotunnin ominaisuustestin takia. Projekti haudataan. Aliverkkotunnus jää eloon. Kahden vuoden päästä se pyörittää vanhaa sovellusta, jolla on vanhentuneita riippuvuuksia ja nolla valvontaa.

Turvallisuustiimisi luulee hallitsevansa viisi kriittistä pistettä. Todellisuudessa niitä on seitsemäntoista.

Ja pahin juttu? Kaikki näille aliverkkotunnuksille myönnetyt sertifikaatit näkyvät julkisissa lokissa. Jos et etsi niitä, annat itsesi huijattavaksi.

Miten Certificate Transparency -lokit toimivat – ja miksi ne ovat tärkeitä

Jokainen luotettava sertifikaattiviranomainen kirjaa SSL/TLS-sertifikaatin myöntämisen julkisiin CT-lokeihin. Tämä on turvallisuusominaisuus, joka estää väärennetyt sertifikaatit omille verkkotunnuksillesi.

Toisaalta se paljastaa koko aliverkkotunnushistoriasi julkisesti.

Haluatko tietää kaikki aliverkkotunnuksesi, joille on myönnetty sertifikaatti? Kysy CT-loki-työkalulla. Saat listan sekunneissa. Ja juuri siksi tämä on akuutti ongelma – jos sinä näet sen, muutkin näkevät.

Kolme kerrosta, jotka hankaloittavat löytämistä

Useimmat firmat eivät saa täydellistä inventaariota, koska tiedot hajallaan kolmessa paikassa:

1. DNS-rekisterit
Näyttävät, mihin osoitetaan nyt. Mutta DNS muuttuu. Vanhat merkinnät katoavat. api-vanha.firmasi.fi voi olla poissa DNS:stä, mutta elää yhä EC2-instanssilla.

2. Aktiiviset palvelut
Se, mitä luulet pyörivän. Dashboardit ja dokumentit vahvistavat. Mutta entä staging-ympäristöt, testikoneet tai hylätyt projektit? Ne piileskelevät AWS-tilisi nurkissa.

3. Sertifikaattilokit
Täydellinen totuus: kaikki aliverkkotunnukset, joille on koskaan myönnetty kelvollinen sertifikaatti. Tämä on auditointijälkesi, halusit tai et.

Yritykset seuraavat yleensä vain yhtä tai kahta. Siitä syntyvät sokeat pisteet.

Vaikutukset lompakkoosi

Unohtuneet palvelimet aiheuttavat ketjureaktioita:

Turvariski: Paikkaamaton sovellus ilman valvontaa. Ei lokeja, ei hälytyksiä. Helppo sisäänkäynti verkkoosi.

Sääntelypula: SOC 2, ISO 27001, PCI-DSS vaativat tietää kaiken soveltamisalaan kuuluvan. Auditori kysyy inventaariota – osaatko listata kaiken?

Kustannukset: 2022 staging-ympäristö pyörii yhä. Tyhjän taivaan load balancer kerää laskua. Kuukaudessa tuhansia euroja hukkaan.

Häiriöiden hidastus: Ongelman iskiessä tiimi tuhlaa aikaa unohtuneiden järjestelmien metsästykseen.

Tarkastusohjeet: Mitä todella kannattaa tutkia

Hyvä sertifikaattiaudit sisältää tämän:

1. CT-loki-kysely
Hae kaikki aliverkkotunnuksesi, joille on myönnetty sertifikaatti. Saat historian kerralla.

2. TLS-käsienpuristus-testi
Älä tyydy lokiin. Tarkista, mikä pyörii nyt. Jokaiselle aliverkkotunnukselle tee tuore testi:

• Sopivatko sertifikaatti ja isäntänimi?
• Kuka myönsi ja milloin?
• Milloin vanhenee?
• Itseallekirjoitettu vai luotetulta CA:lta?

3. Poikkeamien bongaus
Sertifikaatti olemassa, mutta ei DNS:ssä? Epäilyttävä myöntäjä tai vanhentunut? Merkki orvoista palvelimesta.

Pitkäkestoinen sertifikaattien hallinta

Yksittäinen audit on hyvä alku, mutta tarvitaan jatkuvuutta:

Automatisoi seuranta: Hälytys vanhenevista sertifikaateista – etenkin unohdetuista. Virhe productionissa herättää toimintaan.

Liitä inventaarioon: Yhdistä CT-tulokset CMDB:hen tai asset-työkaluun. Tee unohdukset näkyviksi kaikille.

Merkitse käyttötarkoitus: Löydetty aliverkkotunnus? Luokittele heti: production, staging, vanhentunut vai kumppanin? Vältät tulevat sekaannukset.

Säännölliset tarkastukset: Kuukausittain tai kvartaaleittain. Vertaile tuloksia edellisiin – bongaa uudet tai luvattomat muutokset.

Paranna TLS:ää: Hyödynnä prosessia heikkojen CA:iden vaihtoon, OCSP-staplingiin tai HTTP/2-pakottamiseen.

DevOps-todellisuustesti

Jos pyörität infrastruktuureja mittakaavassa – edes kymmeniä palveluita – jotain on unohtunut. Se on inhimillistä. Epäonnistuminen on jatkaa ilman täyttä kuvaa.

Sertifikaattien etsintä erottaa kypsät DevOps-tiimit reagoivista. Se on tylsää, mutta kriittistä työtä. Ei sprint-retroissa hehkuteta, mutta auditorin tai breachin kohdalla se pelastaa.

Aloita tänään

Hyvä uutinen: Et tarvitse uusia työkaluja tai oikeuksia. Riittää verkkotunnus. Kohdista työkalu juuriverkkotunnukseen, kysy CT-lokeista – ja katso, mitä nousee.

Yllätyt todennäköisesti. Useimmat tiimit yllättyvät.

Sitten vaikeampi osuus: luokittele löydökset, haudo tarpeettomat ja rakenna prosessit sokeiden pisteiden estoon. Näin turvallisuutesi paranee oikeasti.

2022 staging-palvelimesi pyörii yhä. Mennäänkö etsimään?