AA
А насчёт безопасности? Взломов? Подбора паролей? Несанкционированного доступа?
Size: a a a
2020 April 29
MZ
Привет! Сможете поделиться опытом - кто использует JIRA в паблике (без доступа из-под VPN) для внутренних нужд компании (только сотрудники, не клиенты) - какие негативные ситуации возникали?
Безопасность - это не проблема сотрудников. В первую очередь это проблема бизнеса и ИТ службы. Как вы настроите, так с безопасностью у вас и будет. Конечно у них были уязвимости 0го дня с срочным выпуском заплаток, но если не ошибаюсь, то редко.
VK
А насчёт безопасности? Взломов? Подбора паролей? Несанкционированного доступа?
У жиры есть капча
АШ
а у паролей политики домена
AA
Безопасность - это не проблема сотрудников. В первую очередь это проблема бизнеса и ИТ службы. Как вы настроите, так с безопасностью у вас и будет. Конечно у них были уязвимости 0го дня с срочным выпуском заплаток, но если не ошибаюсь, то редко.
Об этом и речь. Есть кто-то в чате со стороны ИТ, который имел такой опыт?
АШ
Да какой опыт? Джира много где используется в паблике
АШ
Для уязвимостей обычно есть пути закрытия помимо срочного обновления об этом всегда пишется в описании от Атлассиан
PK
Глобальных провалов по безопасности за последние годы не было навскидку
АШ
Остальное - как настроишь
PK
Из существенного - была дыра в Confluence, можно было отказ в обслуживании вызвать
PK
которая активно эксплуатировалась очень скоро после выхода фикса
PK
и не все успели накатить
PK
Для сложных парольных политик - есть решения по интеграции корпоративного SSO для Jira различными способами
PK
Тогда управление правами и безопасностью доступа будет централизованное
AA
Остальное - как настроишь
Да так со всем, как настроишь так и будет
Кто-то прикручивал мониторинг к удачным/неудачным логонам чтобы ему это как то в дальнейшем помогло?
Дополнительную авторизацию на apache/nginx?
Какие то специальные плагины для самой JIRA?
Кто-то живет без AD и других SSO, с пользователями в самой JIRA и в паблике?
Кто-то прикручивал мониторинг к удачным/неудачным логонам чтобы ему это как то в дальнейшем помогло?
Дополнительную авторизацию на apache/nginx?
Какие то специальные плагины для самой JIRA?
Кто-то живет без AD и других SSO, с пользователями в самой JIRA и в паблике?
PK
Да так со всем, как настроишь так и будет
Кто-то прикручивал мониторинг к удачным/неудачным логонам чтобы ему это как то в дальнейшем помогло?
Дополнительную авторизацию на apache/nginx?
Какие то специальные плагины для самой JIRA?
Кто-то живет без AD и других SSO, с пользователями в самой JIRA и в паблике?
Кто-то прикручивал мониторинг к удачным/неудачным логонам чтобы ему это как то в дальнейшем помогло?
Дополнительную авторизацию на apache/nginx?
Какие то специальные плагины для самой JIRA?
Кто-то живет без AD и других SSO, с пользователями в самой JIRA и в паблике?
Очень много таких инсталляций видел у небольших/средних компаний
PK
для неудачных логонов ведется Audit log родными средствами Jira
АШ
Но без AD и доменных политик - это путь к паролям вида 123qwe
АШ
Я б такое наружу побоялся выставлять
MZ
Да так со всем, как настроишь так и будет
Кто-то прикручивал мониторинг к удачным/неудачным логонам чтобы ему это как то в дальнейшем помогло?
Дополнительную авторизацию на apache/nginx?
Какие то специальные плагины для самой JIRA?
Кто-то живет без AD и других SSO, с пользователями в самой JIRA и в паблике?
Кто-то прикручивал мониторинг к удачным/неудачным логонам чтобы ему это как то в дальнейшем помогло?
Дополнительную авторизацию на apache/nginx?
Какие то специальные плагины для самой JIRA?
Кто-то живет без AD и других SSO, с пользователями в самой JIRA и в паблике?
Прикручивание логов — да, помогает. Можно отсечь особо надоедливый брутфорс.
Прикручивать доп.авторизацию на Apache / Nginx — а зачем? Тогда уж надежнее за VPN посадить.
Прикручивать доп.авторизацию на Apache / Nginx — а зачем? Тогда уж надежнее за VPN посадить.