КФ
any any allow видимо)
Size: a a a
2021 September 17
AB
когда безопасники апрувят с сорса 0.0.0.0/0 )
ND
Доступы не должны согласовываться. Доступы должны предоставляться там, где они нужны, и отбираться в ту секунду, когда они становятся не нужны.
A
Ага, зависит от. В моё случае был просто корпорат и стандартные юзерские сервисы типа шар, почты и т.д.
EY
и как реализовать данный механизм и аудит текущих доступов?
Р
Хорошо так подкинул дровишек в костёр! 😁
OZ
По PCI DSS пересмотр ( внтуренний аудит ) текущих доступов не реже раза в три месяца. на практике перед аудитом )
ND
Для этого существуют разные подходы и решения. Общее свойство этих подходов – наличие некоего хранилища фактов о том, какие системы живут в каких адресах/сегментах, наличие некоего источника требований к взаимному сетевому доступу этих систем, наличие некоего процесса, которые конфигурирует сетевые ограничения исходя из этого хранилища фактов и требований, и наличие строго ограниченных механизмов записи в это хранилище фактов и изменения требований. Детали имплементации зависят от среды 🙂
ND
“на практике перед аудитом” немного опасно, могут попросить эвиденс, что это делалось раз в квартал весь предыдущий год 🙂
AU
Короче нужен "некий функционал"... :D
EY
это теоритические аспекты, а с помощью какого стека ПО это реализуется практически на мультивендорной сети?
ND
Я видел разные имплементации, которые в разной степени аккуратности реализуют сказанное. Но в 100% систем организованных как написано в статье на Хабре я находил висящие месяцами открытые порты, которые не должны были быть открыты, и куда могли постучаться СОВСЕМ не те, кто ожидалось
ND
Что совершенно предсказуемо, поскольку если доступы через пень-колоду открываются, они будут так же медленно и печально отзываться. Даже медленнее, потому что ни над кем не висит стейкхолдер, у которого что-то не работает
EY
хорошо, а какое ПО/практические подходы используете лично вы и можете порекомендовать для решения данной проблемы(формирование,согласование и поддержание в актуальном состоянии сетевых доступов)?
N
от слова punch?
BL
от слова дырка
AU
Кажется, ты спалил внутренний url :D
N
надеюсь там все порты закрыты
BL
возможно, это было преднамеренно