Esporre esternamente il repository del codice sorgente o consentire l'accesso VPN?

Naviga le tue risposte
3

Per consentire a consulenti terzi, sviluppatori e appaltatori offshore che lavorano sul codice, possiamo esporre esternamente il nostro repository Git. Oppure possiamo garantire l'accesso VPN alle parti esterne e limitarne l'accesso configurando un nuovo gruppo sul firewall in modo che possano accedere al repository Git solo nella nostra rete interna.

Quale di queste due opzioni rappresenta una scelta di sicurezza migliore? Alcuni argomenti che ho io sono:

1- Esponendo il nostro repository di codice su Internet, stiamo aprendo la porta agli hacker che fanno il bruto forcing sul Git. Inoltre, se c'è un giorno zero in Git, siamo interessati.

2- Fornendo l'accesso VPN a terze parti, consentiamo alle entità non attendibili nella nostra rete interna e, se l'impostazione della regola del firewall non è configurata correttamente, viene esposta la nostra rete interna che è più sensibile.

    
posta Goli E 17.02.2015 - 20:16
fonte

2 risposte

5

Dato che non puoi usare una rete dedicata e isolata per questo, ti suggerirei una versione modificata dell'opzione 1:

Consentire l'accesso via web con rigorosi controlli di sicurezza.

  • Se possibile autorizza gli utenti git usando una chiave crittografica (come fa github). Questo renderà gli attacchi forzanti brute molto difficili.

  • Usa il filtro IP. Cioè, scopri gli indirizzi IP dei tuoi appaltatori e accetta solo le query da quegli indirizzi IP.

  • Assicurati di avere un buon firewall, regole IDS su questa casella.

risposta data 17.02.2015 - 20:29
fonte
3

Questa è una grande domanda e una questione con cui spesso le aziende lottano. Direi che dare l'accesso VPN agli appaltatori generalmente offre più sicurezza che esporlo esternamente. Considera che i repository di codice probabilmente contengono segreti e chiavi API e simili, nonostante le politiche contrarie.

Se sei come la maggior parte degli ambienti, il compromesso del tuo server GitHub Enterprise potrebbe portare a compromessi completi della tua rete e, a seconda del modello di business, potrebbe anche portare i tuoi clienti a essere esposti a compromessi. Esporre questo server a Internet in generale renderà più probabile che un aggressore casuale possa compromettere quelli che sono probabilmente i tuoi gioielli della corona.

L'unica avvertenza su questo sarebbe il modo in cui esegui il provisioning degli utenti per la tua VPN. Se gli utenti vengono aggiunti a un server LDAP e questo fornisce loro un accesso implicito all'ambiente, un account appaltatore compromesso potrebbe potenzialmente causare molti danni. Se è possibile fornire maggiori dettagli su come è concesso l'accesso VPN, potrei potenzialmente orientare verso l'esposizione di GitHub rispetto alla VPN, ma in genere VPN è la soluzione migliore in queste situazioni.

    
risposta data 17.02.2015 - 22:54
fonte

Leggi altre domande sui tag

PBKDF2: il sale può essere conosciuto dall'hash? Come può una connessione essere sicura, se qualcuno la osserva dall'inizio? [duplicare]