Indurimento volontario dei volontari di accesso a un server web [chiuso]

Naviga le tue risposte
1

Sto aiutando a gestire un server web LAMP per un ente benefico che esegue CiviCRM su Joomla. Questo sistema sarà accessibile via Internet da molti volontari provenienti da dispositivi su cui non ho alcun controllo. Vi sono suggerimenti professionali provati e testati per l'indurimento dato uno scenario del genere?

Ad esempio, un modo potrebbe essere attraverso una VPN e un foglio di calcolo che elenca gli utenti e amp; dispositivi con accesso insieme al loro "stato di sicurezza":

  • Nome utente
  • Accesso concesso (ad esempio appartenenza al gruppo)
  • Accesso necessario (ad esempio, fare in modo che le persone giustificano il fatto di essere admin ..)
  • Nome dispositivo
  • Ubicazione dispositivo
  • Sistema operativo del dispositivo
  • Software di sicurezza del dispositivo in uso
  • Collegamento all'elenco di controllo di sicurezza specifico del dispositivo
  • L'ultima checklist per la sicurezza della data è stata eseguita per ultimi
  • Identificativo del tasto della VPN del dispositivo

Il foglio di calcolo potrebbe essere visualizzabile a livello di organizzazione, incoraggiando così la trasparenza e la responsabilità, sperando che mi dia la possibilità di convincere gli utenti ad adottare almeno gli standard dei loro colleghi. Per fare ciò, sarei interessato ai modi di verificare la postura di sicurezza di un dispositivo. Se potesse essere controllato e applicato dalla VPN (quarantena e correzione) sarebbe ancora meglio.

    
posta eug 22.06.2016 - 18:12
fonte

2 risposte

0

I dispositivi per l'utente finale sono forniti ai volontari dall'associazione benefica? In caso contrario, sei davvero sicuro di voler personalmente prendere in carico l'indurimento e assicurare il supporto di tutti i dispositivi di volontari di ogni tipo?

A meno che non ci si trovi in un ambiente aziendale in cui i dispositivi sono forniti e gestiti dalla società, si preferirebbe considerare che la gestione dei dispositivi degli utenti finali è a carico degli stessi utenti finali. Questo non ti impedisce di dare consigli utili, ma niente di formale e nulla che ti coinvolga nel fornire un qualche tipo di servizio di supporto universale agli utenti finali.

Da parte tua, tuttavia, se necessario, puoi provare a rilevare attività sospette sul lato server e preparare un piano di azione nel caso in cui tale avviso venga generato. Ad esempio, puoi dire agli utenti alcuni esempi di attività assimilate come sospette (può essere lo stesso utente che si connette improvvisamente da un altro paese, postare annunci pubblicitari / messaggi offensivi / insoliti, cercare manifestamente di penetrare aree non autorizzate, ecc.) E spiegare cosa seguirebbe (revoca dell'accesso VPN, utente contattato telefonicamente / via mail / altro, ecc.).

Ho parlato di una VPN perché hai menzionato, ma se tutto ciò che vuoi fornire è un sito web, i certificati client possono essere un'opzione più leggera e più appropriata di una VPN a pieno titolo.

    
risposta data 23.06.2016 - 10:51
fonte
0

Sto scrivendo una risposta basata sull'assunzione come di seguito.

Sei responsabile di LAMP e dell'applicazione, i volontari sono ammessi per BYOD, cerchi input per rafforzare la sicurezza. Le mie risposte saranno

  1. Supponiamo che si tratti di una normale applicazione live e chiunque abbia accesso a Internet.
  2. Autenticazione, autorizzazione e auditing sono gli aspetti chiave da gestire.
  3. Segui il principale dei privilegi minimi.
  4. Per affrontare la situazione del BYOD consentito, hai pensato a un foglio di calcolo, dico che è fantastico, in questo modo puoi tenere traccia di tutti i dispositivi bianchi elencati e registrare le attività su un account.
  5. Se possibile, considera il filtraggio basato su MAC (capisco che questo accetti direttamente il BYOD se ho più dispositivi, ma questo è molto semplice per una persona con responsabilità per la sicurezza e il controllo).
  6. Crea i tuoi standard e le tue linee guida su quali criteri di base del dispositivo devono essere soddisfatti (antivirus, firewall, scansioni periodiche, un solo utente o qualsiasi altra cosa tu ritenga preferibile).
  7. Rendi sicuro il design prendendo in considerazione le pratiche di sicurezza per la protezione avanzata delle applicazioni (OWASP).

Indipendentemente dal tipo di applicazione che verrà pubblicata, quanto è economica o costosa, se si vuole renderla attiva, è necessario rispettare correttamente InfoSec, quindi sentirsi libero di raggiungere la gerarchia per proporre i piani di implementazione della sicurezza, una in tempo utile salva il tuo onore (questo è il modo in cui la giustificazione aziendale dovrebbe essere data su una nota più leggera, perché tutte le organizzazioni benefiche o commerciali apprezzano il loro marchio / immagine).

    
risposta data 23.06.2016 - 17:17
fonte

Leggi altre domande sui tag

Sicurezza dell'ambito di accesso completo dell'API di GMail Se un HSM RNG è conforme a FIPS 140-2, ciò implica anche la conformità FIPS 186-2?