Комментарии 17
А девопсам хочется пожелать быть иногда хоть чуть-чуть параноиками.
Это уже DevSecOps :)
о цыганских хакерах-конокрадах
может, о хакерах-кодокрадах?
А где про облака? Или облака — это что-то другое?
На fail2ban лучше не надеяться сильно, и сразу переходить на ключи (странно, почему кому-то они кажутся не удобны). Ставить его, если только для усложнения жизни слишком назойливым.
И не стесняйтесь спросить подрядчиков и удалённых сотрудников с какого IP они будут подключаться. В конце концов, выделенный IP стоит около 150 р/мес., это вполне посильная трата для возможности работать из дома.
В нашей конторе, например, бОльшая часть сотрудников — мобильные, и часто мотаются по командировкам. Требовать от них фиксированный IP, понятно, невозможно.
Надеюсь, не во время всеобщего карантина?
Если у вас приложение разрабатывалось с учетом публикации в интернет (там уже встроены защиты от перебора паролей, нет страниц доступных без авторизации, невозможны различные XSS, интегрировано с WAF и т.д.), то вам ни что не мешает ходить напрямую.
Если же нет, то для таких сотрудников можно использовать VPN. Это избавит от неожиданной головной боли.
Если у вас приложение разрабатывалось с учетом публикации в интернет (там уже встроены защиты от перебора паролей, нет страниц доступных без авторизации, невозможны различные XSS, интегрировано с WAF и т.д.), то вам ни что не мешает ходить напрямую.
Если же нет, то для таких сотрудников можно использовать VPN. Это избавит от неожиданной головной боли.
подумайте о внедрении полноценной IDM-системы
Как IDM поможет в отсутствии процедур? Это же просто автоматизация управления реквизитами в несвязанных системах и если человек уволился без обходного листа, то его учётка также везде останется.
IDM позволит увидеть недочеты процедур и поможет при увольнении не упустить «выпавшие» доступы (т.к. она то помнит, что они были).
А если проводить внедрение по правилам, то аудит и пересмотр процессов будут частью внедрения.
А если проводить внедрение по правилам, то аудит и пересмотр процессов будут частью внедрения.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как не надо защищать свои системы в облаке