[Re:] [sh4d0w:] A Zero Trust security modell - PROHARDVER! Hozzászólások

Legfrissebb anyagok

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

LOGOUT témák

Új hozzászólás Aktív témák

#11 joghurt addikt

Új Válasz 2020-10-09 09:36:24 #11
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

joghurt

addikt

LOGOUT blog

Szép elv a zero trust. Csak épp mindig az a fránya gyakorlat...
Mesélek egy példát, úgy 20 évvel ezelőttről. Informatikai részvénytársaságnál dolgoztam szoftverfejlesztőként. Ezen a téren kevésbé működik, hogy az IT telepít mindent, mert nem egy op.rendszer+office irodai gépről beszélünk, hanem mindenféle egzotikus fejlesztőrendszerről és toolsetről. És rendszergazdai jogokról ezek minden frissítéséhez is.
Ott azt találták ki ennek feloldásához, hogy a csoportvezetők tudták a domain admin jelszót, és ők mentek oda a géphez, ha kellett.
Aztán persze nekik is túl nagy nyűg volt ez, így a senior fejlesztőkre is átszállt a jelszó.
És aztán jött a meglepetés, hogy honnan tudjuk (az amúgy titkolni szánt) fizetéseket - például hogy egy új srácot nagyobb pénzzel vettek fel, mint aki már 3 éve ott dolgozik, vagy hogy néhány semmire sem jó őskövület az ősiség törvénye miatt annyit keres, mint 3-4 átlag fejlesztő, akik fejenként nagyobb munkát végeznek el nála.
Hát elég egyszerűen: domain admin jelszóval a fejlesztési alelnök C$ megosztásáról...
Még manapság, az UAC-s világban sem egyszerű ügy egy fejlesztői gép.
#10 sh4d0w félisten UnA #9

Új Válasz 2020-03-08 08:40:30 #10
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz UnA #9 üzenetére

Eleve mire egy szervezet eljut odáig, hogy szóba kerüljön a ZT, addigra már végig ment egy folyamaton, amelyek biztosítják, hogy a modell alkalmazásának meglegyenek a feltételei, lásd az általam hozzáfűzött 0. pont és ott van az a néhány sor, amit a pilotról írtam.
#9 UnA Korrektor sh4d0w #8

Új Válasz 2020-03-08 07:59:10 #9
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

UnA

Korrektor

válasz sh4d0w #8 üzenetére

Ez elvileg szép dolog, de hogyan szokott működni olyan alkalmazások esetén, ahol ezt gyárilag nem nyújtják neked? Akkor nincs más módszer, egy hálózati rétegen kell a policyt megvalósítani.
#8 sh4d0w félisten Tuib #6

Új Válasz 2020-03-08 01:09:10 #8
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz Tuib #6 üzenetére

Van ott egy rakás policy - tulajdonképpen ezek valósítják meg magát a modellt. A policyk megmondják, hogyan kell viselkednie az erőforrásoknak - legyen az bármi: webszerver, adatbázis szerver, switch, tűzfal stb.
#7: ha ez az analógia megfelel neked a könnyebb megértéshez, akkor igen. A modell szerint nincs vakon megbízás semmiben, mindig, mindenkor, mindennek folyamatosan autentikálnia kell magát ahhoz, hogy hozzáférjen az adott erőforráshoz. Nem fordulhat pl. elő, hogy ma már használtál valamit és akkor x időre újabb autentikáció nélkül hozzáférsz újra.
#7 Tuib aktív tag Tuib #6

Új Válasz 2020-03-07 23:40:05 #7
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Tuib

aktív tag

válasz Tuib #6 üzenetére

Google vagy pl O365 esetén van egy adag különböző web szolgáltatásod, ami egy közös auth forrásból dolgozik, ők maguk csak authorizálnak. Akkor gondoljam úgy, hogy minden alkalmazást kb kiengedek a netre úgy készüljek fel a védelmére?
#6 Tuib aktív tag sh4d0w #5

Új Válasz 2020-03-07 23:09:03 #6
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Tuib

aktív tag

válasz sh4d0w #5 üzenetére

Bocsánat, lehet olvasnom kéne :) szóval a webszerver nem beszél adatbázis szerverrel példánál maradva nem elég user auth, ssl és l3 tűzfal közéjük, hanem még mi lesz ott? Web interface alkalmazások közt security tokennel jó? Vagy hogy? Minden átmegy egy WAF-on?
Ha hülyeségeket kérdezek akkor írd hogy RTFM vagy PEBKAC :)
#5 sh4d0w félisten Tuib #4

Új Válasz 2020-03-07 18:23:40 #5
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz Tuib #4 üzenetére

Alapvetően a modell alatt működő SDN mindent L7-ig tol fel. Ebből kifolyólag minden mindentől szeparálva van tehát a webszerver is pl. az adatbàzis szervertől. Ebből persze az is következik, hogy a különböző funkciók is autentikálnak, mi több, a különböző hálózati elemek is.
Felvetődhet a teljesítmény kérdése. Lépj be G Suite-ba és hozz létre dokumentumokat, nyisd meg, zárd be őket. A Google-nél van minden: SDN, mikroszegmentáció, Zero Trust.
#4 Tuib aktív tag sh4d0w #3

Új Válasz 2020-03-07 16:15:26 #4
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Tuib

aktív tag

válasz sh4d0w #3 üzenetére

Már érzem, hogy nem leszek IT security sosem. Írod, hogy mindent azonosítunk, ami a felhasználóhoz kapcsolható, nem csak egy username/pass van. Itt a korlátozás az milyen szinten értelmezett? PL L3 IP szinten? Vagy elég ha feljebb van ilyen? Húzunk még egy réteget a user/usereszközök és az alkalmazások közé? Az alkalmazásokat is szeparáljuk? Minden szeparált alkalmazás halmaz külön authentikálja és authorizálja a usert? Egymás közt az alkalamzások auth-olnak?
Ha nagyon mélyről jövök fel, akkor szólj, sose voltam jó magas szintű stratégia földközeli lefordításában
#3 sh4d0w félisten Tuib #2

Új Válasz 2020-03-07 12:31:19 #3
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

sh4d0w

félisten

válasz Tuib #2 üzenetére

A jelenleg - még - uralkodó nézőpont szerint ami a hálózaton belül van, az megbízható, tehát egy autentikációs művelet után bent vagy a hálózatban. Ebben a tradicionális infrastruktúrában még meg kell valósítanod a N-S (perimeter) és az E-W (lateral) irányú szegmentációt is, miközben a Zero Trust mindezeket - feltételezve a megfelelő implementációt - megoldja, megfejelve azzal, hogy az autentikáció nem csak a felhasználóra vonatkozik, hanem az eszközére, a forráshálózatra, gyakorlatilag mindenre, ami hozzá köthető.
Nagyon sok cég flat networköt használ, ahol csak a N-S szegmentáció létezik, tehát ha egy támadó valahol sikeresen behatol a hálózatba, a lateral movement adott.
#2 Tuib aktív tag

Új Válasz 2020-03-07 10:38:50 #2
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

Tuib

aktív tag

Nekem még buzzword a dolog, értelmeznem kellene, hogy is néz ki egy ilyen hálózati, kiszolgáló, alkalmazás infrastruktúra. Hol, milyen hitelesítést használjak, mi az ami elfogadható, mi nem. Na még olvasok Amire nem meglepő módon rájöttem, hogy bármely itsec cég saját terméke megoldja ezt, feltéve, ha úgy értelmezzük ezt a kifejezést, ahogy ők
#1 UnA Korrektor

Új Válasz 2020-03-07 08:46:17 #1
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

UnA

Korrektor

Igen, érdekes a téma, és jó cikk volt. Köszönöm.