Vogliamo proteggere la nostra rete amministrativa da minacce persistenti avanzate e anche da amministratori non autorizzati. Ho già letto le migliori pratiche di SANS Institute, NSA o altre guide.
Abbiamo reti fisiche separate per l'amministrazione e la produzione e la workstation di amministrazione non ha connessione a Internet, porte USB, ecc ... Abbiamo anche database crittografati.
In realtà, questo non impedisce ad alcuni amministratori non autorizzati di eseguire una backdoor del server del database per ottenere la chiave (dato che la decrittografia viene eseguita sul server di database). Non siamo riusciti a implementare la crittografia lato applicazione come se fosse un software proprietario.
Voglio implementare l'amministrazione di accesso zero per server di produzione sensibili. Mi piacerebbe farlo facendo in modo che i server stessi tirassero gli script di amministrazione e li eseguissero solo se sono firmati (pgp) da almeno 2 amministratori (con un agente e qualcosa come un repository git). (come la revisione del codice ma migliorata con qualche crittografia). Con ciò, penso che otterremo una rete amministrativa senza alcun singolo punto di errore. Qualcuno avrà bisogno di almeno 2 account amministratori coinvolti per eseguire codice su server sensibili.
Vorrei sapere se hai qualche consiglio per proteggere la nostra rete amministrativa da amministratori non autorizzati e APT?
Mi piacerebbe anche conoscere la tua opinione su questo tipo di amministrazione (tutti gli script) e se hai già implementato qualcosa del genere (o hai qualche esempio)? (es: come sta la NSA dopo Snowden?)
Esiste qualche altra buona pratica per proteggere dalle perdite dagli amministratori (con il vincolo di non poter crittografare il lato dell'applicazione dei dati)?