Nos gustaría proteger nuestra red de administración de amenazas persistentes avanzadas y también de administradores deshonestos. Ya he leído las mejores prácticas de SANS Institute, NSA u otras guías.
Tenemos redes físicas separadas para la administración y la producción, y las estaciones de trabajo de administración no tienen conexión a Internet, puertos USB, etc. También tenemos bases de datos cifradas.
En realidad, esto no impide que un administrador no autorizado acceda al servidor de la base de datos para obtener la clave (ya que el descifrado se realiza en el servidor de la base de datos). No pudimos implementar el cifrado del lado de la aplicación ya que es un software propietario.
Quiero implementar una administración de acceso cero para servidores de producción sensibles. Me gustaría hacerlo al hacer que los propios servidores obtengan los scripts de administración y los ejecuten solo si están firmados (pgp) por al menos 2 administradores (con un agente y algo así como un repositorio de git). (como revisión de código pero mejorado con algunos criptográficos). Con eso, creo que obtendremos una red de administración sin ningún punto de falla. Alguien necesitará al menos 2 cuentas de administradores involucrados para ejecutar el código en servidores sensibles.
¿Me gustaría saber si tiene algunos consejos para proteger nuestra red de administración de administradores malintencionados y APT?
También me gustaría saber su opinión sobre este tipo de administración (todas con scripts) y si ya ha implementado algo así (o tiene algunos ejemplos). (es decir, ¿cómo está la NSA después de Snowden?)
¿Hay alguna otra buena práctica para protegerse de las fugas de los administradores (con la restricción de no poder cifrar el lado de la aplicación de datos)?