KD
они переживают, что пользователи имеют возможность перемещать данные между сегментами мимо firewall
Size: a a a
2021 May 12
KD
есть продуктивные сети, там могут быть сервера СУБД или какие-то еще с чувствительными данными. и есть сети, где сервера разработчиков и там важных данных нет. требования ИБ и ограничения к этим сетям сильное разные. вот не ъ
J
Дальше спрашивать не буду, потому что так можно до бесконечности, а в итоге выяснится что безопасники такие ж тупорылые как и всякие отечественные "безопасники". Мотивация будет "как бы чо не вышло"
KD
не хотят чтобы было можно из одной сети в другую что-то передавать кроме как через firewall,
KD
ну.. да. смысл затеи, если смотреть широго, выглядит и странно и бесполезно одновременно, но что поделать
J
Да ну как-нибудь через политики фильтровать запросы к api или типа того.
VV
делайте разные tenant / region для разных сетей
J
Если люди НЕ тупорылые, то проще и правильнее с ними обсудить как без серьезных трудозатрат обеспечить безопасность.
А если подход к работе энтерпрайзный, когда "мы лучше знаем, а ты хуй", то придется политики править.
Глянь, например:
А если подход к работе энтерпрайзный, когда "мы лучше знаем, а ты хуй", то придется политики править.
Глянь, например:
os_compute_api:os-attach-interfaces:createhttps://docs.openstack.org/nova/wallaby/configuration/policy.html
VV
что бы физически не включить два сегмента в одну VM
VV
такое тоже делали костылём в OVS
VV
правда там потом безопасники ставили галочку и больше ни когда не смотрели трафик (т.к. новые компуты не могли достроить GRE тунель до снифера ИБ)
J
Делить проекты на "рабочий" и тестовый выглядит достаточн оразумно.
Потому что в случае когда один проект я могу придумать дюжины две разных проблем. В духе "Петя случайно удалил один из рабоих редисов" или "Маша добавила в секьюрити группу кривое правило и зарезала трафик к рабочим серверам"
Потому что в случае когда один проект я могу придумать дюжины две разных проблем. В духе "Петя случайно удалил один из рабоих редисов" или "Маша добавила в секьюрити группу кривое правило и зарезала трафик к рабочим серверам"
VV
я таких клиентов знаю, которые говорят что надо везде выключить антиспуфинг
J
Обычное дело. Все люди ленивые, как правило, не очень умные за пределами своей сферы профессиональных интересов, а еще часто упрямые и истеричные.
АZ
как сменить root_device в инстансе?
VV
можно через БД пошаманить с mount point