https://m.habr.com/ru/company/mailru/blog/560814/ редкий пример публичного кейса частного облака на основе публичной платформы в РФ.

Немецкий разработчик SAP выпустил 12 исправлений безопасности, а также обновления для трех ранее выпущенных.

Наиболее важные из них касаются серьёзных уязвимостей в NetWeaver: CVE-2021-33671 (отсутствие проверки авторизации), CVE-2021-33670 (отказ в обслуживании).

Первый недостаток затрагивает управляемые  процедуры SAP NetWeaver (SAP GP) в компоненте Composite Application Framework (CAF), который обеспечивает доступ к серверным системам. Отсутствие авторизации было обнаружено в средстве централизованного администрирования для GP и могло привести к несанкционированному доступу и манипулированию данными.

Вторая уязвимость была связана с некорректной работой Java (http-service) в SAP NetWeaver AS и позволяла потенциальному злоумышленнику манипулировать HTTP-запросами, вызывая состояние отказа в обслуживании.

SAP также выпустила девять исправлений уязвимостей в CRM ABAP, NetWeaver AS ABAP и ABAP Platform, Lumira Server, Web Dispatcher и Internet Communication Manager, NetWeaver AS для Java (Enterprise Portal), Business Objects Web Intelligence (BI Launchpad) и 3D Visual Enterprise Viewer.

Кроме того, компания выпустила обновления для Hot News: одно из них касается браузера Chromium в SAP Business Client, а другое - NetWeaver ABAP Server и ABAP Platform.

Исправлена уязвимость XML External Entity (XXE) в интеграции процессов SAP (ESR Java Mappings).

Ни одно серьезное приложение сегодня уже не обходится без сервиса хранения данных. И естественно данный сервис или скорее данные находящиеся там являются чаще всего целью для плохих парней. О защите данного сервиса много говорится и в документе "Cloud Native Security Whitepaper" в разделе "Storage". И вот Microsoft выпустила еще и свою "Threat matrix for storage services". Видимо им очень это понравилось делать самостоятельно без организации MITRE, как они уже делали для Kubernetes.

В матрице, конечно, просматривается некоторый ориентир на специфику Azure, но как база подойдет как для любых managed инсталляций, так и onprem. Помним об обилие решений в категории Cloud Native Storage в CNCF Cloud Native Landscape и то что каждое из этих решений обладает своими механизмами, настройками безопасности, которые требуют правильной конфигурации.

Кибератаки и утечки НЕ влияют на стоимость акций компании. За редким исключением - если в ходе утечки не утекут документы по фактам нарушения законов компанией.

https://swagitda.com/blog/posts/markets-dgaf-about-cybersecurity/