Что такое лучшие практики для обеспечения исходного кода в сети разработки?
Я провел немного исследования и нашел эту страницу при преобразовании сигналов Ethernet к свету и тестирования что в петлевой конфигурации: http://ronja.twibright.com/testing/ploss_tetrapolis_ping.php.
К сожалению, это не истинный ping, поскольку Вы просто только видите тот же пакет ICMP дважды в Wireshark/tcpdump. Это действительно гарантирует, что сигнал поражает провод все же.
Политика компании является часто более эффективной, чем технологическое решение для некоторых из этих вещей. Но это вовсе не значит та технология не может играть роль в помощи, осуществляют политики.
Я предлагаю, чтобы Вы изучили Fortigate от Fortinet. У них есть несколько вещей, которые можно усилить для помощи Вам. У них есть способность изолировать любые компьютеры, которые не встречают Ваши политики, иначе уровни установки патча, A/V, и т.д. Это также имеет способность сделать и защиту приложений и предотвращение утечки данных. Таким образом, необходимо было бы просто установить правило предотвращения утечки данных заблокировать что-либо тот напомненный код. Таким образом, если Ваша компания имеет стандартный заголовок, который помещается наверху файлов, Вы могли искать это и блок и сообщить об этом. Если Вы добавляете FortiClients к соединению, можно заблокировать вниз USB-порты на локальной машине, а также осуществить брандмауэр, A/V, предотвращение утечки данных и политики Предотвращения вторжения в каждом клиенте.
Таким образом говорить с Вашими точками.
- Брандмауэр с VLAN должен смочь заботиться о Вашей первой точке.
- Fortigate также действует как VPN так, чтобы точка была довольно проста также.
- Каким-то VLAN могла быть Ваша Песочница.
- ForitClient в сочетании с Групповыми политиками и Fortigate, необходимо смочь управлять всем, которое Вам нужно.
- Этот немного более жесток для контакта с. Но политика компании, которая указывает, что не следование за этими политиками приведет к завершению, является лучшим подходом. Однако FortiClient может заблокировать вниз USB-порты поэтому, пока Вы блокируете вниз сеть достаточно, это должно дать Вам контроль, которого Вы требуете.
- Этот последний является большим количеством вещи политики также.
-
1Если у Вас есть какие-либо вопросы о том, как этот материал, работы связываются с Fortigate, они разместят демонстрационную встречу с одним из их инженеров экспертной системы, которые должны смочь обойти Вас через все их технологии и как они могли относиться к Вашей ситуации. – 3dinfluence 24 November 2009 в 04:31
-
2That' s интересный, мы hadn' t действительно говорил об использовании DLP или управления устройствами как часть нашей политики безопасности. Спасибо за предложение Fortigate: I' ll смотрят на свой материал, хотя я думаю в этой точке we' ре, более соответствующее с выяснением широкой стратегии, чем выбор инструментов для реализации стратегии. – 24 November 2009 в 21:22
Ну, это - больше ответа о принципах проектирования, чем фактическая архитектура, но у Вас, кажется, есть достойная идея того, что Вы хотите выполнить. Я нахожу, что это - лучшая практика к не, только имеют предписание, но и разработать систему для создания нарушения политики трудным (если не невозможный). Например, если только определенным машинам позволяют соединиться непосредственно с критическим сервером, то окружите критический сервер ACLs или локальный для сервера брандмауэр, чтобы только позволить соединения от тех машин.
Относительно Ваших пунктов маркированного списка:
- Я отговариваю от разрешения неограниченного доступа в Интернет. Как минимум используйте брандмауэр осуществленное требование прокси или WCCP. Значение по умолчанию отклоняет с белым списком, является лучшим.
- VPNs являются большими, если Вы действительно хотите позволить (или хотеть справиться) беспрепятственный доступ от за пределами Вашей сети; если Вы действительно только хотите позволить определенные типы соединений, то я рассматриваю излишество VPN и излишне опасный
- Я - поклонник песочниц для разработчиков для проигрывания в, наш подключения к отдельному доступу в Интернет и с другой стороны производственного брандмауэра уровня от остальной части сети
- исправление и безопасные пароли должно быть минимумом в любом и всех средах... период
- шифрование прекрасно, но необходимо будет управлять методом шифрования глазом к отказу; т.е. что происходит, когда абсолютно необходимо получить доступ к коду, но парень, у которого есть пароли, на каникулах? При необходимости в предложениях здесь сообщите мне, и я добавлю, как я управляю этим... это является довольно замысловатым, но эффективным.
- Вы могли бы интересоваться решением для типа NAC для последней точки как метод принуждения аутентификации и разрешения Вам контролировать, кто копирует что где. Можно также сделать, вещам нравится, запрещают USB-устройства, которые оказываются реальной опасностью для частных данных
Я немного смущен. У Вас уже есть соединение VPN в защищенную сеть, которая предлагает следующее
- Получите два набора компьютеров для людей, которые требуют доступа к обеим сетям. Не обязательно на том же столе.
- Потребуйте соединений VPN в защищенную сеть для любой работы опытного образца.
Исходный код и вся техническая разработка могут продолжить защищенную сеть и быть выполнены через RDP, в то время как терминалы находятся во внешней сети и могут выполнить другие инструменты параллельно.
-
1That' s в основном, что мы делаем сегодня. We' ре разбило статус-кво, однако, из-за всего трения, которое оно создает - например, если QA сталкивается с проблемой за пределами сети разработки, мы can' t присоединяют с удаленным отладчиком из сети разработки. – 1 January 2010 в 02:26