Задать вопрос
@zyrik

Лучшие практики по созданию лаборатории для работы с чувствительными данными?

Здравствуйте!

Мне поставили задачу спроектировать дизайн лаборатории по работе с чувствительными данными. Но так как раньше с подобными вещами я не сталкивался, то я не знаю как начать работу над данным документом. Я был бы очень признателен, если бы кто-то поделился лучшими практиками по созданию такой лаборатории на базе Linux систем.

Требования к лаборатории следующие:
  1. Централизованное управление ресурсами (добавление рабочей станции, автоматическое применение политик безопасности, таких как запрет на использование подключаемых носителей данных) и пользователями (должна быть возможность централизованно завести/удалить пользователя и выдать/забрать права доступа)
  2. Полный запрет доступа к сети Интернет с рабочих станций и серверов данных. Взаимодействие с внешним миром осуществляется через специальный сервер (shipper) и администратора (установка/удаление программного обеспечения, получение/сохранение данных из внешней/внутренней сети).
  3. Журналирование и централизованное хранение логов всех действий пользователей и администраторов (комманды, запуск программ, доступ к репозиториям данных, и т.д.)
  4. Раннее оповещение о нарушениях и автоматическая блокировка


В связи с этим у меня следущие вопросы:
  1. Какое программное обеспечение можно использовать для каждой из этих задач?
  2. Где можно найти документы с лучшими практиками по данной проблеме?


Буду признателен за любые наводки!
  • Вопрос задан
  • 208 просмотров
Подписаться 1 Оценить Комментировать
Решения вопроса 1
@Stanislavvv
Linux System Administrator
1. LDAP (пользователи, логины/пароли, доступ в соответствующие места и т.п.) + Kerberos (ради авторизации через етокены) + NFS (домашние каталоги пользователей). АРМ пользователей - взаимозаменяемы.
политики безопасности в явном виде в линуксе не применялись, делалось настройкой АРМ и расстановкой групп для пользователя (типа - юзер такой-то входит в группу disk, группе disk разрешено монтировать флешки).
В качестве LDAP использовался Centos DS, АРМ - на Debian (образ готовился заранее и тупо заливался на диск при необходимости техподдержкой пользователей). NFS - один сервер на примерно 200 человек, проблемы с производительностью возникали только во время массового включения компов (упирались в iops дисков, а не в сеть).

2. доступ в инет осуществлялся через прокси с авторизацией (см. LDAP). Кого надо - пускаем везде, кого надо - на белый список, остальные идут подальше. Ну и анализ логов, учёт трафика и т.п.

3. журналирование - как настроишь (логи тыканья мышкой вряд ли возможны, логи открытия файлов - применялись). Централизованное хранение - при помощи форвардинга логов в сервер. Практически все syslog'и такое умеют, достаточно прочитать документацию.

4. не видел для установки на каждое рабочее место. По сети - использовался SNORT с кучей правил.
Ответ написан
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Попробуйте Astra Linux. Понятно, что сертифицированный дистриб Вам не найти, но там есть и общедоступные редакции
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы