Door Anoniem:
Wat is precies de reden dat een dergelijke omgeving niet kwetsbaar is voor 0-day lekken?
Patches worden direct uitgerold, dus geen gewacht. Maar dat wil niet zeggen dat ze niet kwetsbaar zijn. Maar veel korter.
Bedoel je dat een geslaagde aanval niet lang succesvol blijft omdat de server toch 1 keer per dag opnieuw van een
standaard image gestart wordt?
Ik weet niet of ze iedere dag opnieuw gestart worden.
Of dat het een andere implementatie is die niet kwetsbaar is voor dezelfde lekken?
Bij Microsoft voor een on-prem oplossing, ben je afhankelijk van de update cyclus van Microsoft en daarna je interne procedures en changes.
In de cloud doet Microsoft dit allemaal en dan continue. De updates kunnen dus al veel eerder geïmplementeerd zijn, voordat het publiek het weet, of dat de security patch beschikbaar gesteld wordt.
Iedere dag van dezelfde standaard image booten kun je on-premise ook doen, doen we bijvoorbeeld met Citrix servers.
Met Citrix kun je dat inderdaad heel goed doen. Exchange is daar niet echt geschikt voor en ik denk niet eens ondersteund. Exchange zal bij Microsoft eerder als Infrastructure as code neer gezet worden. Alles volledig geautomatiseerd.
Maar wat helpt dat als er op andere plekken al data gemodificeerd of gestolen is, bijvoorbeeld in AD?
Als eerste omdat de Exchange servers anders werken bij Microsoft. Er is niet 1 grote AD waarin alle gebruikers zitten.
daarnaast heeft microsoft ongelooflijke veel log informatie en de mogelijkheid om dit bijvoorbeeld met load balancers / WAF extra te beveiligen.