Fortalecimiento del acceso de voluntarios de organizaciones benéficas a un servidor web [cerrado]

1

Estoy ayudando a administrar un servidor web LAMP para una organización benéfica que ejecuta CiviCRM en Joomla. Muchos voluntarios podrán acceder a este sistema a través de Internet desde dispositivos sobre los que no tengo control. ¿Existe alguna sugerencia profesional probada y probada para el endurecimiento en tal escenario?

Por ejemplo, una forma podría ser a través de una VPN y una hoja de cálculo que incluya a los usuarios & dispositivos con acceso junto con su "estado de preparación de seguridad":

  • nombre de usuario
  • Acceso otorgado (es decir, pertenencia a un grupo)
  • Se necesita acceso (es decir, hacer que las personas justifiquen ser administradores)
  • nombre del dispositivo
  • ubicación del dispositivo
  • SO del dispositivo
  • software de seguridad del dispositivo en uso
  • Enlace a la lista de verificación de seguridad específica del dispositivo
  • Última fecha en que se ejecutó la lista de verificación de seguridad
  • huella digital de la clave VPN del dispositivo

La hoja de cálculo podría verse en toda la organización, fomentando así la transparencia y la rendición de cuentas, con la esperanza de que me permita aprovechar al menos a los usuarios para que adopten los estándares de sus pares. Para hacer esto, me interesaría la forma de auditar la postura de seguridad de un dispositivo. Si pudiera ser auditado y aplicado por la VPN (cuarentena y remediación), sería aún mejor.

    
pregunta eug 22.06.2016 - 18:12
fuente

2 respuestas

0

¿La organización benéfica proporciona dispositivos de usuario final a los voluntarios? Si no es así, ¿está realmente seguro de que desea encargarse personalmente del fortalecimiento y de garantizar el soporte de todos los dispositivos de voluntarios de todo tipo?

A menos que se encuentre en un entorno corporativo donde la empresa proporciona y administra los dispositivos, debería considerar que la administración de los dispositivos de los usuarios finales depende de los propios usuarios finales. Esto no le impide dar consejos útiles, pero nada formal y nada que lo comprometa a proporcionar algún tipo de servicio de asistencia universal a los usuarios finales.

Por su parte, sin embargo, si es necesario, puede intentar detectar actividades sospechosas en el servidor y preparar un plan de acción en caso de que se produzca tal alerta. Por ejemplo, puede decirle a los usuarios algún ejemplo de actividades asimiladas como sospechosas (puede ser el mismo usuario que se conecta repentinamente desde un país diferente, publicar anuncios / mensajes ofensivos / inusuales, tratando de penetrar en áreas no autorizadas, etc.) y explicar qué seguiría (revocación del acceso VPN, usuario contactado por teléfono / correo / lo que sea, etc.).

Hablé sobre una VPN porque mencionaste, pero si todo lo que quieres es tener acceso a un sitio web, los certificados del lado del cliente pueden ser una opción más liviana y apropiada que una VPN completa.

    
respondido por el WhiteWinterWolf 23.06.2016 - 10:51
fuente
0

Estoy escribiendo una respuesta basada en el supuesto como se muestra a continuación.

Usted es responsable de LAMP y de la aplicación, los voluntarios están permitidos para BYOD, buscan aportaciones para fortalecer la seguridad. Mis respuestas serán

  1. Supongamos que se trata de una aplicación normal que está activa y cualquier persona con Internet tiene acceso a ella.
  2. La autenticación, la autorización y la auditoría son los aspectos clave que deben manejarse.
  3. Seguir el principio de privilegios mínimos.
  4. Para abordar la situación de BYOD permitido, pensaste en una hoja de cálculo, digo que es increíble, de esta manera puedes hacer un seguimiento de todos los dispositivos incluidos en la lista blanca y registrar las actividades en una sola cuenta.
  5. Si es posible, considere el filtrado basado en MAC (entiendo que esto contradice BYOD directamente si tengo varios dispositivos, pero esto es muy sencillo para una persona con responsabilidades de seguridad y auditoría).
  6. Cree sus propios estándares y pautas para cumplir con los criterios básicos del dispositivo (antivirus, firewall, análisis periódicos, solo un usuario o lo que sea que prefiera).
  7. Haga que el diseño sea seguro considerando las prácticas de seguridad para fortalecer la seguridad de las aplicaciones (OWASP).

No importa lo que una aplicación va a servir, lo barata o costosa que sea, si uno quiere hacer que funcione, tiene que respetar a InfoSec, así que siéntase libre de llegar a la jerarquía para proponer sus planes de implementación de seguridad. Stich a tiempo le ahorra su honor (así es como la justificación comercial debe darse en una nota más ligera, porque las organizaciones caritativas o comerciales valoran su marca / imagen).

    
respondido por el GhostSpeaks101 23.06.2016 - 17:17
fuente

Lea otras preguntas en las etiquetas