Conversione di un sito intranet su Internet [chiuso]

0

Al momento disponiamo di un'applicazione Web con dati sensibili del client che è accessibile solo dalla intranet. Il management vuole aprirlo a internet perché ci sarà bisogno di avere altre aziende per accedere a questa applicazione.

  • Ha dati sensibili per i clienti
  • Solo una persona autorizzata (all'interno o all'esterno) può accedervi
  • La gestione degli account è gestita solo dall'IT (ovvero nessuna creazione di account da parte dell'utente, nessun meccanismo "dimentica la mia password")
  • Misura di sicurezza attuale: password hash, SSL, nessuna istruzione SQL diretta utilizzata, tabelle di controllo del database

Voglio sapere se ci sono delle linee guida che dovrei seguire per valutare il rischio.

    
posta elty123 28.04.2016 - 18:10
fonte

2 risposte

2

Domanda molto ampia, ma qui c'è una linea di base delle aggiunte di sicurezza che vorrei aggiungere

  1. Regole del firewall per bloccare TUTTE tranne le fonti autorizzate
  2. Registri syslog / eventi remoti
  3. Test di sicurezza dell'applicazione Web

Questo è oltre ampio e sparpagliato. Il ragionamento? Non ho idea di quale sia il tuo rischio. Solo tu e la tua organizzazione potete determinarlo. Quindi una rapida analisi dei rischi su una vista a 50k:

Domanda : "Devo mettere online questo server, qual è il rischio che qualcuno possa ricevere i miei dati?"

Risposta / Domanda : chi ha accesso ai dati (quale rete e perché). Posso minimizzare questo tramite un certificato, SSL, VPN, ACL?

Risposta / Domanda: una volta che qualcuno accede a questo sito, quali autorizzazioni hanno? Possono accedere a tutti i dati, alcuni dati, come vengono elaborati, qualcuno può tentare di accedere a qualcosa per cui hanno l'autorizzazione, in caso affermativo tramite log, avvisi?

Risposta / Domanda: Può essere fatto in modo sicuro su Internet? Devo introdurre questo rischio non solo a me stesso, ma ai miei clienti? Posso abilitare una transazione VPN, con questa procedura documentata in modo che i miei clienti comprendano che apprezzo la loro sicurezza?

Quindi c'è il problema più granulare al di fuori di quel server. "Che cosa succede se qualcuno compromette questo server, cosa può fare una volta sul server, può ricollegarsi alla rete aziendale, può ruotare su qualsiasi rete nelle tabelle di routing? Possono intercettare altre connessioni client e compromettere altri client?" Questa domanda è piuttosto ampia e spero di averti dato alcune cose a cui pensare. Non esiste "quale framework / standard / linea guida" posso pensare perché 1) non conosco il tuo settore 2) non conosco lo scopo della tua applicazione 3) non conosco la tolleranza al rischio della tua organizzazione.

    
risposta data 28.04.2016 - 18:27
fonte
1

Se è necessario l'accesso da parte di altre società, suggerisco di utilizzare la VPN. Ma se la VPN non è possibile, si prega di considerare i seguenti punti

  1. Firewall serrato che consente il traffico solo tramite SSL

  2. Se possibile, permetti solo gli IP del tuo cliente attraverso il firewall

  3. Assicurati di eseguire un test di vulnerabilità completo sul sito utilizzando software come OWASP ZAP o burpsuite

  4. Verifica che i componenti del sistema operativo del server siano aggiornati e che siano installate tutte le patch di sicurezza recenti

  5. Assicurati di monitorare i registri dell'accesso e del server.

risposta data 28.04.2016 - 20:04
fonte

Leggi altre domande sui tag