DM
У кровавого энтерпрайза тут всё жестко, и когда в проде безопасники открывают на FW только задокументированные и согласованные пары хост-порт, то это конечно много геморроя при начальном запуске, но способствует порядку.
Size: a a a
2020 September 18
V
именно.
AP
Denis Migulin
У кровавого энтерпрайза тут всё жестко, и когда в проде безопасники открывают на FW только задокументированные и согласованные пары хост-порт, то это конечно много геморроя при начальном запуске, но способствует порядку.
а чего много-то - один раз заполнить табличку безопасникам, руководствуясь заранее определённой архитектурой и деплой-диаграммой
DM
сначала не всё учтешь, потом пересогласовывать, потом по факту не всё откроют...
а согласования долгие
а согласования долгие
DM
потом что-то поменять надо еще
AP
гораздо печальнее пытаться постфактум разобраться, что куда и зачем лазает, когда ничерта не описано.
Порты сканить, трафик снифить - вот уж безрадостное занятие для солюшена
Порты сканить, трафик снифить - вот уж безрадостное занятие для солюшена
АЛ
можно начинать с простенькой таблички:
Система источник
Система приемник
Какие данные
Протокол
Параметры
—
А так, если безопасники все что не занесено в аналогичную табличку банят, то да, запуск сложный, зато все потоки данных задокументированны
Система источник
Система приемник
Какие данные
Протокол
Параметры
—
А так, если безопасники все что не занесено в аналогичную табличку банят, то да, запуск сложный, зато все потоки данных задокументированны
F
У безопасников все учтено, а по факту не все. Вот у тебя порт задокументирован, а система общается еще и не по задокументрованным каналам. И их обрубить нельзя, все сломается. А в белую зону вывести, та еще задачка, не только согласовать, так еще и ресурсы переделать получить.
N
какая хитрая система, что то там в себе общается с кем то
F
Ну я это так, неприятные кейсы. Все конечно можно, но везде свои сложности
AP
можно начинать с простенькой таблички:
Система источник
Система приемник
Какие данные
Протокол
Параметры
—
А так, если безопасники все что не занесено в аналогичную табличку банят, то да, запуск сложный, зато все потоки данных задокументированны
Система источник
Система приемник
Какие данные
Протокол
Параметры
—
А так, если безопасники все что не занесено в аналогичную табличку банят, то да, запуск сложный, зато все потоки данных задокументированны
это (только не табличка, а схема) - основной продукт солюшена и основа HLD и есть же
АЛ
схема в какой то момент становиться огромной, начинается разделение на части, если в используемой системе нет возможности строить едину модель и просто показывать вью с разных точек зрения, начинает разъезжаться. Самый простой вариант - табличка :)
AP
табличка читается плохо
MB
У безопасников все учтено, а по факту не все. Вот у тебя порт задокументирован, а система общается еще и не по задокументрованным каналам. И их обрубить нельзя, все сломается. А в белую зону вывести, та еще задачка, не только согласовать, так еще и ресурсы переделать получить.
у нас если схема ИС с матрицей доступов и прогнозируемой нагрузки не согласована в отделе тех.архитектуры (с согласованиями от ИБ), то сетевики не откроют ничего лишнего. Поэтому незадокументированное просто не будет работать. И нужно будет согласовать. Есть конечно нюансы, когда сетевая схема ИС, поданная когда-то в ОТА, уже неактуальна и ее нужно актуализировать. Но это вопрос соответствующих процессов в команде разработки данной ИС
АЛ
табличка читается плохо
это понятно, обычно стараются дублировать. Табличка - мастер данные, красивые диаграммы это вью на часть таблички
VS
Тут главное чтобы в бесмыссленное вахтёрство не выродилось.
PT
Чот господа вы не туда ушли.
EI
Чот господа вы не туда ушли.
+
PT
Доступы - это именно ИБ.
PT
Мне как архитектору это немного до фени.