Gå til innhold
🎄🎅❄️God Jul og Godt Nyttår fra alle oss i Diskusjon.no ×

Indiske IT-arbeidere får ikke lenger tilgang til Statoils brannmurer


Anbefalte innlegg

Videoannonse
Annonse

Prøv ikke å finne den enkelte ansatte man kan stole på - fjern hele klassen med problemer!

 

- Immutable infrastruktur. Ingen modifikasjon tillatt. Dette inkluderer ingen "innlogging" mot produksjonssystemer.

- Bruk TPM på alle systemer (Trusted Platform Module) og attestering mot det over.

- Bruk det over for CI-systemer for å bake ny immutable infrastrukturbilder.

 

Har du det over så har du byggestenene for å sikre seg mot interne trusler. Nå bygger vi auditing-systemet:

 

- Legg all kode, public keys og signaturer for attestering i distribuerte merkle-trær (aka - putt koden i git!). Distribuer dette til "alle" ansatte. Dette hindrer manipulering (modulo at SHA1 kan knekkes, men det fikser vi i neste steg).

- Bruk multi-signatur skripting på toppen av git. Lag en vanlig kode-review-prosess som i tillegg krever at man faktisk signerer sin review.

- Ha all infrastruktur som kode i git.

- Ha egen (igjen sikker) infrastruktur som tester at infrastruktur som kode matcher infrastrukturen som kjører. Her kan man bruke remote attestation som ved å prate med TPMen i serverne får attestert at infrastrukturen er korrekt.

 

Det er mange agile fordeler ved det over, men det kan også, hvis man utnytter det man faktisk har av hardware for det som heter "Trusted Computing", få vesentlige forbedringer i sikkerheten.

 

Med det over går man fra:

- finn den personen man kan stole på og gi dem nøklene til kongedømmet

 

til:

- forandringer godkjennes kun hvis person A, B og C godkjenner. Hvis A er i Norge og C i India skal det mye til at det blir noen sammensvergelser mot selskapet.

- full auditing av produksjonssystemer. Ikke bare på papiret, men med jevnlige signaturer signert av chipleverandøren Intel samt ansatte.

- man kan enkelt gjøre forandringer når man har infrastruktur som kode.

- kunnskap om sikkerheten blir spredt i organisasjonen (vil man holde informasjon om IDS-systemer o.l. skjermet er det ikke noe problem).

 

kXR7VktZdyH7rvq v5wcIkPOwNaVLof mHAvX3JUR72kgcB nCxOdXN9VoQEvZ5 PN3KZX9mQv57Z1c jJ3utCAmInTAobK wgbAT6LI3pt7o5i OzGQS24jPFjQpUk kzZwMC14O4EKipK CDcUPhYSSI9uk4H XyuLvquMsuqFJaD iLfjcIL157nHnhB B.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...