abp2b 19 авг в 09:01

Zero Trust: почему «не доверяй никому» перестало быть паранойей и стало нормой

Простой

4 мин

1.5K

Сетевое оборудованиеСерверная оптимизация * Серверное администрирование * Сетевые технологии * Системное администрирование *

Комментарии 12

kksudo 19 авг в 09:29

Спасибо, давно хотел разобраться в деталях.

1. Вы у себя реализуете такой подход?
2. Какие инструменты используете?
3. Как тестируете?
4. Делаете ли аудит?
5. Что насчет observability, notfications ?

johnsqurrel 19 авг в 22:11

@kksudo хитрый какой.

во сколько человекочасов и денег вы оцените проект, в котором детально расписаны ваши вопросы с 1 по 5 ? применительно к вашим условиям конечно.
а реализацию этого проекта ?

DonAlPAtino 20 авг в 05:25

Почему все статьи о Zero Trust на habr - это какой-то поток мыслей из серии "за все хорошее против всего плохого"? Ну хоть бы одну с конкретной реализацией на конкретной технологии :-(

По этой статье - я так и не понял какие из предложенных продуктов- технологий про Zero Trust. Половина это просто про ИБ и непосредственно к ZT отношения не имеют, другая половина - облачные решения, которые явно только поверхность атаки увеличивают.

Кроме Cisco ISE реальные и работающие решения есть? Вот про них бы подробнее

johnsqurrel 20 авг в 11:52

Ну хоть бы одну с конкретной реализацией на конкретной технологии :-(

если вы готовы настолько снизить планку ...
ssh jump server работает для доступа куда надо и "изнутри" и "снаружи".
помним что нет никаких "внутри" и "снаружи", да ?

ps: второй фактор в процессе изобретения. чтобы поддавался автоматизации
при нужде и не зависел от гуглояндекса.

johnsqurrel 21 авг в 01:58

вдогонку еще пример:
WAF прикрывает веб-ресурсы независимо от происхождения клиента, и "изнутри" и "снаружи".

DonAlPAtino 21 авг в 05:34

ZT это про то чтобы firewall приоткрылся для конкретного юзера на конкретную сессию. Если этому юзеру вообще позволено работать с системой. А не про WAF который трясет весь входящий трафик как потоковый антивирус.

johnsqurrel 21 авг в 13:47

веб-приложение само определит, позволено юзеру поработать с системой или нет.
для этого есть логины, пароли, ключи и сертификаты ключей.

я правильно понимаю, что вы ищете все покрывающее решение "от и до" (а заодно мощный вендор лок) ?

DonAlPAtino 22 авг в 07:49

Если каждое приложение само определяет, то в 90ые у всех был zero trust. Правда не было SSO. Я ищу то что что ZT реально реализует. Пока же вижу только бла-бла-бла. И натягивание совы на глобус.

johnsqurrel 24 авг в 05:29

с SSO есть одна проблема. если его расковыряют то ляжет все и сразу.

Я ищу то что что ZT реально реализует.

даже и не знаю. время формулировать свои требования в явном и
позитивном виде - что будет "реальной реализацией ZT", а что нет.

DonAlPAtino 21 авг в 05:28

Вы путаете PAM и ZeroTrust. jump сервер это маленький кусочек. Ну и поведение юзеров я могу DLPей писать. Еще раз - это все не про ZT. Это все классика.

extiander 20 авг в 22:26

Да потому что даже айс не айс и работает через пень колоду

для небольших сетей (аля 500-1000 хостов) требуется дофига времени на оп поддержку, и это при нормальной работе системы
а уж если она падает без пары гуру онсайт + дофига времени на разобраться
а уж проход падения нод айса

альтернативы есть но в основном что-то с маркета + дофига самописного. имеет смысл для крупняка, но про него не рассказывают

DonAlPAtino 21 авг в 05:31

>Да потому что даже айс не айс и работает через пень колоду

Да я в курсе. Поэтому каждый раз реагирую на басни про ZT. Которое (пока) похоже на розовых пони из другого мира. Все жду и надеюсь что придут умные люди и расскажут про реальный кейс с реальной работой. А не бла-бла-бла. Очевидно зря :-(

Зарегистрируйтесь на Хабре, чтобы оставить комментарий