J3qx

information archive

Доступ к корпоративным серверам

Posted by j3qx на Январь 11, 2014

Доступ к корпоративным серверам. Аудит прав безопасности

Аудит прав в домене

 

Решение: выдать необходимые права на уровне серверов/сервисов/папок. Удалить сотрудников из высокопривелигированных групп. Нужно -пересоздать учетные записи, кто были участниками высокопривелигированных групп

Аудит прав на ESXI

  1. Слабый пароль  на root
  2. Одна группа с правами админа на все сервера
  3. Наличие разных локальных учетных записей

Решения – изменения паролей рута. Выдача прав на уровне серверов, введение роли пользователей, без права создания новых серверов или удаления существующих

 

Аудит прав на серверах

  1. Количество администраторов на продакшен серверах умеренно
  2. Пока не очень понятно как поступать с логами, но если только вопрос в них, то выдавать права на сервер уровня пользователя

 

Решения – нужно более точно понять конкретные задачи сотрудников на серверах, и минимизировать количество администраторов на продакшен серверах. Делегировать права на остановку/запуск сервисов. Создать шары где храняться их конфиги. Подготовить им административную станцию с которой они смогут выполнять все свои задачи, не коннектясь не посредственно на продакшен сервера.

 

Аудит прав iLo и оборудовании

  1. Используются слабые и default пароли (те что на ярлыках)
  2. В наличии есть мастер пароли , что существенно ослабляет безопасность
  3. На часть серверов зайти не смог, или пароли не подошли
  4. Не корректная настройка сетевого оборудования, включение ненужного функицонала и комьюнити

 

Решение – нужно менять пароли. Отказ от мастер паролей. Проверка и разбор причин почему не вошел. Более безопасная настройка полок

 

Схема доступа к серверам

  1. Инфраструктура делиться на VLANы. Критические – в одном, вспомогательные бизнес сервера – в другом, вспомогательные инфраструктурные сервера в третьем. ILO и доступ к веб интерфейсам железок так же в отдельном влане с отдельными настройками
  2. Доступ к критичным серверам – только с административных терминалов (2 штуки) на каждой площадке
  3. Доступ к вспомогательным серверам – так же только с административных терминалов.
  4. Вводиться понятие административная рабочая станция/терминал – сервер/рабочая станция на которую заведены все необходимые консоли и с которой можно непосредственно производить администрирование
  5. Доступ к отчетам/статистики возможен или по VPN (site-to-site) или при корректной публикации с поддеркой авторизации в зависимости от важности данных авторизация по логин/паролю или по сертификату
  6. Доступ на прямую используя VPN возможен только в сети тестировщиков
  7. На уровне VPN клиента разрешается доступ к интерфейсам ESXI серверов напрямую администраторам этих серверов. Либо на основе публикации
  8. Для критичных задач использовать прямо опубликованный терминал, специально безопаснос натсроенный и с ограничениям по сетям подключения
Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: