Комментарии 1
Скажу честно, многовато воды :(
Безопасность в ИТ по сути, это ответы на вопросы, которые возникают при доступе к чему-то, за что мы отвечаем. Причем неважно, откуда и к чему. Если это в зоне нашей ответственности, надо а них ответить. Вопросы следующие:
идентификация: кто там?
аутентификация: а ну докажи, что это ты?
авторизация: имееш ли право на доступ?
конфиденциальность: сохраняем ли факт обращения в тайне
целостность: как обеспечить, что анные запроса и ответа не будут изменены
аудит: куд запишем. чтобы потом разбираться
(иногда) персональные данные: а что если там персональные данные?
Я могу что-то пропустить, но это одна из многих вещей, которыми надо заниматься, а эти вопросы часто возникают в начало (а начало в свою очередь бывает на каждые две недели)
-------------
Важно, ответы на вопросы могут сильно зависеть от "ценности" того, к чему обращаются. И тут на помощь приходит классификация информации. Базово, самая незащищенной является публичная инфа. Остальная априори требует минимум механизмов аутентификации и авторизации. Дальше либо на помощь приходит отраслевой стандарт, либо если его нет, то часто и не надо заморачиваться (но ответить все равно надо). Тут никакой магии нет, и 20 видов информации вводить не надо. С опытом приходит
-------------
Как делать? На самом деле, используя более-менее стандартные протоколы, все решения уже придуманы за нас. Есть внешний identity - прекрасно. Нет? Собираем для себя из овна и палок (шутка). Есть key vault - отлично. Нет, куча опий как сделать.
Отраслевые стандарты обычно это прекрасно, так как не все вопросы уже есть ответы и уход возможен только в одну сторону.
Честно говоря, вот это все что написано прекрасно, но в каком-то смысле слишком много. Автор очедь быстро перешел к каким-то попыткам чего-то решать, хотя собрав "ответы на вопросы" в начале, решения придут сами собой на 95%
Но ... наверное кому-то нравится бегать и потом героически переделывать
Требования безопасности: пособие для аналитика