Как стать автором
Обновить

Комментарии 17

о цыганских хакерах-конокрадах

может, о хакерах-кодокрадах?
НЛО прилетело и опубликовало эту надпись здесь
Подтверждаю, да. И, кстати, в Румынии хватает приличных айтишников.
НЛО прилетело и опубликовало эту надпись здесь
Это же справедливо про любую страну. Ну кроме совсем уж запущенных африканских относительно айти.
А где про облака? Или облака — это что-то другое?
Ну писал же TS_cloud, так что в названии не могло не быть слово «облако». А в общем, какая разница в данном случае, локально та же AD развернута, или в азуре? В сервачной файрвол стоит или в облаке развёрнут?
А в облаках эти проблемы проявляются особенно остро, т.к. их использование обычно начинается с доступа по публичному IP, а вокруг так много соблазнов сделать быстренько и проще.
На fail2ban лучше не надеяться сильно, и сразу переходить на ключи (странно, почему кому-то они кажутся не удобны). Ставить его, если только для усложнения жизни слишком назойливым.
Да, это не идеальная защита, но если аутентификация возможна только по паролю, то это намного лучше, чем «ничего».
И не стесняйтесь спросить подрядчиков и удалённых сотрудников с какого IP они будут подключаться. В конце концов, выделенный IP стоит около 150 р/мес., это вполне посильная трата для возможности работать из дома.

В нашей конторе, например, бОльшая часть сотрудников — мобильные, и часто мотаются по командировкам. Требовать от них фиксированный IP, понятно, невозможно.
Надеюсь, не во время всеобщего карантина?

Если у вас приложение разрабатывалось с учетом публикации в интернет (там уже встроены защиты от перебора паролей, нет страниц доступных без авторизации, невозможны различные XSS, интегрировано с WAF и т.д.), то вам ни что не мешает ходить напрямую.

Если же нет, то для таких сотрудников можно использовать VPN. Это избавит от неожиданной головной боли.
Надеюсь, не во время всеобщего карантина?

Сейчас всё сведено к минимуму, конечно.

сли у вас приложение разрабатывалось с учетом публикации в интернет

Речь не о каком-то конкретном приложении, а об универсальном VPN-доступе к корпоративной сети.
подумайте о внедрении полноценной IDM-системы

Как IDM поможет в отсутствии процедур? Это же просто автоматизация управления реквизитами в несвязанных системах и если человек уволился без обходного листа, то его учётка также везде останется.
IDM позволит увидеть недочеты процедур и поможет при увольнении не упустить «выпавшие» доступы (т.к. она то помнит, что они были).

А если проводить внедрение по правилам, то аудит и пересмотр процессов будут частью внедрения.
Не менее плохо получается, если процедуры и процессы внедряют бездумно и без оглядки на реалии конкретной конторы.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий