J3qx

information archive

Одностороннее доверие с боевого домена

Posted by j3qx на Январь 18, 2014

Одностороннее доверие с боевого домена

  1. Существующий домен, является критичным, для работы всего боевого процессинга, любой простой или ошибки, могут отразиться финансово
  2. Домен является унаследованным от Билайна, как следствие, некоторые параметры могут быть изменены глубоко в схеме, не оказывая в текущем виде влияния на домен, но могут стать потенциальной причиной появления ошибок при настройке
  3. В домене есть ошибки, связанные с ДНС и default-site, до устранения всех ошибок, операции по домену минимизированы до операционного обслуживания. Данные ошибки не оказывают влияние на существующую среду, но могут стать потенциальной проблемой. Исправление ошибок планируется после кластеризации процессинга
  4. Настройка доверия, на таком критично важном домене, в моем понимании является крайне не разумной, так как может потребоваться дебаг, перезагрузки и т.п., что в нашем случае множественные RFC
  5. Я считаю, что если использовать одностороннее доверия, то многие сотрудники начнут использовать записи EXAMPLE.COM. В том числе в незащищённых средах. Напоминаю, что у нас все учетные записи имеют доступ в VPN, думаю напоминать, что у нас далеко еще не все убрано в правильные вланы, не говоря уже о экранирование и слабых паролях – не стоит
  6. Фактически постоянный доступ в тестовые среды и в боевой процессинг, нужен около 5-10 человек, затевать такое ради 10 человек с боевым доменом, мягко говоря не разумно
  7. Большинство сотрудников работает или только с BackOffice, или только в тестовом домене или только в боевом, постоянно работающих там и там мало. Как следствие любому, кому нужно постоянно работать и там и там, вполне могут осилить оснастки типа RDMan и менеджеров паролей

Дальнейшее усиление безопасности, подразумевает – EXAMPLE.COM – технологические учетные записи и обслуживающий персонал боевого процессинга. EXAMPLE-IT.RU – вспомогательный домен, backoffice, SVN, Jira, Confluence
и т.п.,
example.com-test.local – домен тестировщиков. Это может начаться не ранее чем:

  • закончиться класстеризации
  • разделение на корректный VLAN
  • перевод тестовых сред в тестовый домен
  • разделение пользователей на VPN группы

Идея боевого домена процессинга связанного с деньгами – использовать под операционную деятельность, оставим на совести тех кто его разворачивал, но чтобы его использовать еще и на кучу тестовых сред и т.п. – явно заслуживает звания мастера…..

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

 
%d такие блоггеры, как: