Convertir un sitio de intranet a internet [cerrado]

0

Actualmente tenemos una aplicación web con datos confidenciales del cliente a los que solo se puede acceder mediante la intranet. La administración desea abrir esto en Internet porque será necesario que otras empresas accedan a esta aplicación.

  • Tiene datos confidenciales del cliente
  • Solo la persona autorizada (dentro o fuera) puede acceder a ella
  • La administración de la cuenta es manejada solo por TI (es decir, no hay creación de cuenta por usuario, no hay un mecanismo de "olvidar mi contraseña")
  • Medida de seguridad actual: contraseña con hash, SSL, no se utilizan sentencias de SQL directas, tablas de auditoría de base de datos

Quiero saber si hay alguna guía que deba seguir al evaluar el riesgo.

    
pregunta elty123 28.04.2016 - 18:10
fuente

2 respuestas

2

Pregunta muy amplia, pero aquí hay una línea de base de adiciones de seguridad que agregaría

  1. Reglas de firewall para bloquear TODOS, excepto las fuentes autorizadas
  2. Registros del sistema / eventos remotos
  3. prueba de seguridad de la aplicación web

Esto está más allá de lo ancho, y está disperso. ¿El razonamiento? No tengo idea de cuál es tu riesgo. Solo tú y tu organización pueden determinar eso. Así que un análisis rápido de riesgo en una vista de 50k:

Pregunta : "Necesito poner este servidor en línea. ¿Cuál es el riesgo de que alguien obtenga mis datos?"

Respuesta / Pregunta : quién tiene acceso a los datos (qué red y por qué). ¿Puedo minimizar esto a través de un certificado, SSL, VPN, ACL?

Respuesta / Pregunta: Una vez que alguien TIENE ACCESO a este sitio, ¿qué permisos tienen? ¿Pueden acceder a todos los datos, a algunos datos, cómo se procesan, alguien puede intentar acceder a algo para lo que tienen permiso, si es así lo sabré a través de registros, alertas?

Respuesta / Pregunta: ¿Se puede hacer esto de manera segura a través de Internet? ¿Debería presentar este riesgo no solo a mí mismo, sino a mis clientes? ¿Puedo habilitar una transacción VPN, con este procedimiento documentado para que mis clientes entiendan que valoro su seguridad?

Luego está el problema más granular fuera de ese servidor. "¿Qué pasa si alguien compromete este servidor? ¿Qué pueden hacer una vez en el servidor? ¿Pueden volver a la red corporativa? ¿Pueden cambiar a cualquier red en las tablas de enrutamiento? ¿Pueden oler otras conexiones de clientes y comprometer a otros clientes? Esta pregunta es bastante amplia, y espero haberte dado algunas cosas en que pensar. No hay "en qué marco / estándar / directriz" puedo pensar porque 1) no conozco su industria 2) no conozco el propósito de su aplicación 3) no conozco la tolerancia al riesgo de su organización.

    
respondido por el munkeyoto 28.04.2016 - 18:27
fuente
1

Si es necesario que otras compañías accedan a él, sugiero utilizar la VPN. Pero si la VPN no es posible, considere los siguientes puntos

  1. El firewall ajustado permite el tráfico solo a través de SSL

  2. Si es posible, permita solo las IP de sus clientes a través del firewall

  3. Asegúrese de ejecutar una prueba completa de vulnerabilidad en el sitio utilizando programas como OWASP ZAP o burpsuite

  4. Asegúrese de que los componentes del sistema operativo del servidor estén actualizados y de que todos los parches de seguridad recientes estén instalados

  5. Asegúrese de estar monitoreando los registros del acceso y del servidor.

respondido por el Balachandran Murugesan 28.04.2016 - 20:04
fuente

Lea otras preguntas en las etiquetas