Направьте пожалуйста в какую бы сторону покопать. Есть пачка сервисов требующих сертов. Часть только внутри, часть опубликована через один IP через haproxy с ssl offload/раскидыванием по sni (http там нет вообще, только https). Среди зоопарка сервисов nextcloud, exchange, ms Terminal Gateway и еще пачка. Даже Cisco ASA. Все это постепенно вводилось в эксплуатацию и подключалось.
Сейчас получаю wildcard cert на шлюзе и раскатываю по всем линуксам (кроме винды, еще не добрался) ансиблем. На выходе уже какой-то монстроидальный скрипт и единая точка отказа. Вот как-то хотя бы часть сервисов заставить серты самим через web получать при этом http не открывая да и haproxy с его ssl offload лучше вообще не трогая.
Если каждое приложение само определяет, то в 90ые у всех был zero trust. Правда не было SSO. Я ищу то что что ZT реально реализует. Пока же вижу только бла-бла-бла. И натягивание совы на глобус.
ZT это про то чтобы firewall приоткрылся для конкретного юзера на конкретную сессию. Если этому юзеру вообще позволено работать с системой. А не про WAF который трясет весь входящий трафик как потоковый антивирус.
>Да потому что даже айс не айс и работает через пень колоду
Да я в курсе. Поэтому каждый раз реагирую на басни про ZT. Которое (пока) похоже на розовых пони из другого мира. Все жду и надеюсь что придут умные люди и расскажут про реальный кейс с реальной работой. А не бла-бла-бла. Очевидно зря :-(
Вы путаете PAM и ZeroTrust. jump сервер это маленький кусочек. Ну и поведение юзеров я могу DLPей писать. Еще раз - это все не про ZT. Это все классика.
Почему все статьи о Zero Trust на habr - это какой-то поток мыслей из серии "за все хорошее против всего плохого"? Ну хоть бы одну с конкретной реализацией на конкретной технологии :-(
По этой статье - я так и не понял какие из предложенных продуктов- технологий про Zero Trust. Половина это просто про ИБ и непосредственно к ZT отношения не имеют, другая половина - облачные решения, которые явно только поверхность атаки увеличивают.
Кроме Cisco ISE реальные и работающие решения есть? Вот про них бы подробнее
Хм.. вообще это сарказм был. Но без тега видимо уже никто не догадается. Вопрос этот наверное в первую очередь к сотрудникам 1С и PG типа Проф. Но им очевидно и так хорошо. Заодно можно и стомиллионную статью написать на тему как мы (В 1С или PGProf) в 100500 раз "оптимизировали" работу наших о..ных систем.
Ну т.е. типа опять происки "злобного запада", "англичанка гадит", "пиндосы проклятые". 15 лет ведущие разработчики PG и 1С не могли протолкнуть в апстрим.. что? Я может пропустил, но я не видел никаких потуг даже. Так раз в пару месяцев статьи на тему "что мы тут в коде поправили чутька". Зато чуть реально не упал со стула когда мне Postgres Professional КП прислал на 16 ядер.
в последнюю пару-тройку лет тесты показывают, что на postgresql (Наконец-то!) 1с стала работать быстрее, чем на mssql. "В среднем", конечно же - по тому же apdex'у.
Но статьи на тему как мы переписали кучу запросов и упоролись в конфигах чтобы оно нормально заработало почему -то с habr и инфостарта не пропадают.
А объясните пожалуйста дураку как так получается. 1С c postgre работает уже лет 15. Лет 10 как нас гонят пинками на него. Все это время все понимают что половина затыков - из-за отсутствия в PG аналогов временных таблиц MS SQL. У 1С с деньгами проблем нет. Майнтейнеры PG активно зарабатывают в РФ на импортозамещении и продаже корп версий PG по цене Оракла.
И НИ-ЧЕ-ГО.
Максимум вот такие статьи из которых понятно что за 15 лет проблема никуда не делась, а решать ее предлагается ручной правкой кода PG. Ну или приглашением выскоополачиваемых спецов из тех же 1C и Postgres Professional , которые под вас PG пропатчать.
Система родом из нулевых. Нужно посадить толпу псевдо"инфобезов", которые будут пялиться в отчеты и в выгрузки документов, отловленных регекспом. Авось кого поймают. Про UEBA и прочие вражеские ИИшные штучки не слышали (хотя терзают подозрения, тчо вот эти отчеты по продуктивности за работу ИИ и планируется выдавать). Зато ценник, как и полагается отечественному "суперсофту" конский. Но своя разработка, не перелиценнованый opensource.
А можно подробности, ссылку или что еще почитать? А то эта "забава" с установкой северного Крито Про на каждый терминал изрядно достала...
А powershell скриптом можете поделитесь? Хотя бы для exch и term gw блоком, чтобы не писать все с нуля.
Направьте пожалуйста в какую бы сторону покопать. Есть пачка сервисов требующих сертов. Часть только внутри, часть опубликована через один IP через haproxy с ssl offload/раскидыванием по sni (http там нет вообще, только https). Среди зоопарка сервисов nextcloud, exchange, ms Terminal Gateway и еще пачка. Даже Cisco ASA. Все это постепенно вводилось в эксплуатацию и подключалось.
Сейчас получаю wildcard cert на шлюзе и раскатываю по всем линуксам (кроме винды, еще не добрался) ансиблем. На выходе уже какой-то монстроидальный скрипт и единая точка отказа. Вот как-то хотя бы часть сервисов заставить серты самим через web получать при этом http не открывая да и haproxy с его ssl offload лучше вообще не трогая.
В начале создаем 2 файла, в финале резко оказывается один со всеми функциями в кашу. Как-то даже подписываться стремно на канал
А сравнение с Tesseract делали? Кто лучше с русским текстом работает?
Тут без иронии уже нельзя совсем
А без CNI собрать это как будет выглядеть? И как оно на нескольких нодах будет работать?
Круто. Наконец-то кто-то объяснил нормально как calico под копотом работает.
Вопрос - а чем плох VXLAN? Мне тут просто кластер на нем сдали рабочий.
Если каждое приложение само определяет, то в 90ые у всех был zero trust. Правда не было SSO. Я ищу то что что ZT реально реализует. Пока же вижу только бла-бла-бла. И натягивание совы на глобус.
ZT это про то чтобы firewall приоткрылся для конкретного юзера на конкретную сессию. Если этому юзеру вообще позволено работать с системой. А не про WAF который трясет весь входящий трафик как потоковый антивирус.
>Да потому что даже айс не айс и работает через пень колоду
Да я в курсе. Поэтому каждый раз реагирую на басни про ZT. Которое (пока) похоже на розовых пони из другого мира. Все жду и надеюсь что придут умные люди и расскажут про реальный кейс с реальной работой. А не бла-бла-бла. Очевидно зря :-(
Вы путаете PAM и ZeroTrust. jump сервер это маленький кусочек. Ну и поведение юзеров я могу DLPей писать. Еще раз - это все не про ZT. Это все классика.
Почему все статьи о Zero Trust на habr - это какой-то поток мыслей из серии "за все хорошее против всего плохого"? Ну хоть бы одну с конкретной реализацией на конкретной технологии :-(
По этой статье - я так и не понял какие из предложенных продуктов- технологий про Zero Trust. Половина это просто про ИБ и непосредственно к ZT отношения не имеют, другая половина - облачные решения, которые явно только поверхность атаки увеличивают.
Кроме Cisco ISE реальные и работающие решения есть? Вот про них бы подробнее
Грустно все это учитывая сколько оно тянеться ...
Традиционный вопрос - в апстрим Postgres временные таблицы кто-нибдуь протолкнет? Или всем и так хорошо?
Хм.. вообще это сарказм был. Но без тега видимо уже никто не догадается. Вопрос этот наверное в первую очередь к сотрудникам 1С и PG типа Проф. Но им очевидно и так хорошо. Заодно можно и стомиллионную статью написать на тему как мы (В 1С или PGProf) в 100500 раз "оптимизировали" работу наших о..ных систем.
Ну т.е. типа опять происки "злобного запада", "англичанка гадит", "пиндосы проклятые". 15 лет ведущие разработчики PG и 1С не могли протолкнуть в апстрим.. что? Я может пропустил, но я не видел никаких потуг даже. Так раз в пару месяцев статьи на тему "что мы тут в коде поправили чутька". Зато чуть реально не упал со стула когда мне Postgres Professional КП прислал на 16 ядер.
Но статьи на тему как мы переписали кучу запросов и упоролись в конфигах чтобы оно нормально заработало почему -то с habr и инфостарта не пропадают.
А объясните пожалуйста дураку как так получается. 1С c postgre работает уже лет 15. Лет 10 как нас гонят пинками на него. Все это время все понимают что половина затыков - из-за отсутствия в PG аналогов временных таблиц MS SQL. У 1С с деньгами проблем нет. Майнтейнеры PG активно зарабатывают в РФ на импортозамещении и продаже корп версий PG по цене Оракла.
И НИ-ЧЕ-ГО.
Максимум вот такие статьи из которых понятно что за 15 лет проблема никуда не делась, а решать ее предлагается ручной правкой кода PG. Ну или приглашением выскоополачиваемых спецов из тех же 1C и Postgres Professional , которые под вас PG пропатчать.
В чем проблема то кроме жадности -то ?
Система родом из нулевых. Нужно посадить толпу псевдо"инфобезов", которые будут пялиться в отчеты и в выгрузки документов, отловленных регекспом. Авось кого поймают. Про UEBA и прочие вражеские ИИшные штучки не слышали (хотя терзают подозрения, тчо вот эти отчеты по продуктивности за работу ИИ и планируется выдавать). Зато ценник, как и полагается отечественному "суперсофту" конский. Но своя разработка, не перелиценнованый opensource.
Может ламерский вопрос - оно для подписания требует полноценный ЭЦП физлица с ГосУслуг/госключ или есть простые варианты типа ПЭП?