¿Exponer el repositorio de código fuente externamente o permitir el acceso VPN?

3

Para permitir que terceros consultores, desarrolladores en el extranjero y contratistas trabajen en el código, podemos exponer nuestro repositorio Git externamente. O podemos otorgar acceso VPN a las partes externas y limitar su acceso mediante la configuración de un nuevo grupo en el firewall para que solo puedan acceder al repositorio Git en nuestra red interna.

¿Cuál de estas dos opciones es una mejor opción de seguridad? Algunos argumentos que tengo yo son:

1- Al exponer nuestro repositorio de código a través de Internet, estamos abriendo las puertas a los piratas informáticos que realizan el uso de fuerza bruta en el Git. Además, si hay algún día cero en Git, nos vemos afectados.

2- Al proporcionar acceso VPN a terceros, permitimos que entidades no confiables entren en nuestra red interna, y si la configuración de la regla del firewall no está bien configurada, nuestra red interna, que es más sensible, está expuesta.

    
pregunta Goli E 17.02.2015 - 20:16
fuente

2 respuestas

5

Dado que no puede usar una red dedicada y aislada para esto, sugeriría una versión modificada de la opción 1:

Permita el acceso a través de la web con rigurosos controles de seguridad.

  • Si es posible, autorice a los usuarios de git utilizando una clave criptográfica (como lo hace github). Esto hará que los ataques de fuerza bruta sean muy difíciles.

  • Usar filtrado de IP. Es decir, averigüe las direcciones IP de sus contratistas y solo acepte consultas de esas direcciones IP.

  • Asegúrese de tener un buen firewall, las reglas de IDS en este cuadro.

respondido por el baordog 17.02.2015 - 20:29
fuente
3

Esta es una gran pregunta y una con la que las empresas a menudo luchan. Yo diría que dar acceso VPN a los contratistas generalmente proporciona más seguridad que exponerlo externamente. Considere que sus repositorios de código probablemente contengan secretos y claves de API y similares, a pesar de las políticas en contrario.

Si usted es como la mayoría de los entornos, el compromiso de su servidor GitHub Enterprise podría llevar a un compromiso completo de su red, y dependiendo de su modelo de negocio, también podría llevar a que sus clientes estén expuestos a un compromiso. Exponer este servidor a internet en general hará que sea más probable que un atacante aleatorio pueda comprometer lo que probablemente sean sus joyas de la corona.

La única advertencia a esto sería la forma en que aprovisionas a los usuarios para tu VPN. Si los usuarios se agregan a un servidor LDAP y eso les da mucho acceso implícito a su entorno, una cuenta de contratista comprometida podría potencialmente causar mucho daño. Si puede proporcionar más detalles sobre cómo se otorga su acceso a la VPN, potencialmente podría cambiar a exponer a GitHub en lugar de a la VPN, pero en general la VPN es la mejor en estas situaciones.

    
respondido por el theterribletrivium 17.02.2015 - 22:54
fuente

Lea otras preguntas en las etiquetas