:strip_icc():strip_exif()/u/149150/Androider.jpg?f=community)
Bij een klant waar ik zit hebben ze een theoretisch model voor security te waarborgen binnen het netwerk.
Dit is reeds grotendeels omgezet naar een praktische kant, maar voor 1 onderdeel is mijn directe baas, net zoals ik, niet akkoord met de architect die het document heeft samengesteld.
De passage waar ik het over zou willen hebben is de volgende:
------------------------------------------------------------------------------
Beheerportalen (jumphost)
De systemen voor het beheer van de VFP infrastructuur zijn uitsluitend toegankelijk via de Juniper SSL/VPN remote access voorziening, die voor elke sessie sterke authenticatie vereisten (zie 4.4). Na succesvolle authenticatie krijgt de beheerder (afhankelijk van het gebruikersprofiel) toegang op het jumphost systeem waarvoor deze is geautoriseerd.
De jumphost is een virtuele client omgeving welke alle toepassingen bevat die nodig zijn voor het beheer van de systemen waarvoor de betreffende competentie cel de verantwoordelijkheid draagt.
Vooralsnog zijn de jumphosts geaccommodeerd op een VMware vSphere systeem, en kunnen de door VMware ondersteunde client OS varianten worden toegepast:
- Linux Redhat of OpenSuze
- Server 2008 R2
Via de SSL/VPN verbinding kan met een terminalserver protocol toegang worden verkregen op de jumphost. De volgende protocollen worden op het netwerk toegelaten:
- RDP
- VNC
De jumphost omgevingen worden tot op het niveau van het virtualisatie platform (VMware) beheerd door de dienst Systemen van de F&B ICT afdeling. Eventueel kan de Windows 7 user build worden gefaciliteerd. Echter, de gebruiker van de jumphost is zelf verantwoordelijk voor de inrichting en het beheer van de client omgeving.
Voor elke beheerder is in principe een exclusieve jumphost desktop omgeving beschikbaar. Er wordt echter we van uitgegaan dat dat voor elke competentie-cel een gemeenschappelijk OS build wordt toegepast, welke volgens de standaards van de betreffende organisatie is geconfigureerd. De Linux omgevingen kunnen wel worden gedeeld door meerdere gebruikers mits deze gebruik maken van een persoonlijk user-account.
Voor het gebruik van de jumphost gelden de volgende regels:
- Er mag uitsluitend programmatuur worden geïnstalleerd die voor de uitvoering van de beheer-taken noodzakelijk worden geacht.
- De gebruiker dient zelf zorg te dragen voor
o Regelmatige controle op virussen
o Effectieve security hardening van het OS
o Beheer van passwords
o Regelmatige software updates
- De autorisaties zijn strikt persoonlijk en mogen dus niet worden gedeeld met andere personen. Bij personele wijzigingen van de competentie cel kan contact worden opgenomen met het F&B Security Office.
--------------------------------------------------------------------------------------------------------------------------------
Over het bovenstaande gaat de vraag dus, hoe zouden jullie dit omzetten naar een werkbare en vooral beheersbare omgeving?
Mogelijkheden die ik reeds in gedacht heb gehad:
1: VMware View: Nadelen: - Geen Linux ondersteuning
- Hoeveel verschillende templates zouden nodig zijn voor veel verschillende profielen?
2: Jumphost (huidige oplossing): Verschillende VM's specifiek opgezet voor de verschillende personen (we zitten momenteel aan meer als 30 verschillende jumphosts)
3: ???
Hebben jullie nog suggesties? Mochten er eventueel nog vragen zijn, wil ik die ook wel beantwoorden.
Dit is reeds grotendeels omgezet naar een praktische kant, maar voor 1 onderdeel is mijn directe baas, net zoals ik, niet akkoord met de architect die het document heeft samengesteld.
De passage waar ik het over zou willen hebben is de volgende:
------------------------------------------------------------------------------
Beheerportalen (jumphost)
De systemen voor het beheer van de VFP infrastructuur zijn uitsluitend toegankelijk via de Juniper SSL/VPN remote access voorziening, die voor elke sessie sterke authenticatie vereisten (zie 4.4). Na succesvolle authenticatie krijgt de beheerder (afhankelijk van het gebruikersprofiel) toegang op het jumphost systeem waarvoor deze is geautoriseerd.
De jumphost is een virtuele client omgeving welke alle toepassingen bevat die nodig zijn voor het beheer van de systemen waarvoor de betreffende competentie cel de verantwoordelijkheid draagt.
Vooralsnog zijn de jumphosts geaccommodeerd op een VMware vSphere systeem, en kunnen de door VMware ondersteunde client OS varianten worden toegepast:
- Linux Redhat of OpenSuze
- Server 2008 R2
Via de SSL/VPN verbinding kan met een terminalserver protocol toegang worden verkregen op de jumphost. De volgende protocollen worden op het netwerk toegelaten:
- RDP
- VNC
De jumphost omgevingen worden tot op het niveau van het virtualisatie platform (VMware) beheerd door de dienst Systemen van de F&B ICT afdeling. Eventueel kan de Windows 7 user build worden gefaciliteerd. Echter, de gebruiker van de jumphost is zelf verantwoordelijk voor de inrichting en het beheer van de client omgeving.
Voor elke beheerder is in principe een exclusieve jumphost desktop omgeving beschikbaar. Er wordt echter we van uitgegaan dat dat voor elke competentie-cel een gemeenschappelijk OS build wordt toegepast, welke volgens de standaards van de betreffende organisatie is geconfigureerd. De Linux omgevingen kunnen wel worden gedeeld door meerdere gebruikers mits deze gebruik maken van een persoonlijk user-account.
Voor het gebruik van de jumphost gelden de volgende regels:
- Er mag uitsluitend programmatuur worden geïnstalleerd die voor de uitvoering van de beheer-taken noodzakelijk worden geacht.
- De gebruiker dient zelf zorg te dragen voor
o Regelmatige controle op virussen
o Effectieve security hardening van het OS
o Beheer van passwords
o Regelmatige software updates
- De autorisaties zijn strikt persoonlijk en mogen dus niet worden gedeeld met andere personen. Bij personele wijzigingen van de competentie cel kan contact worden opgenomen met het F&B Security Office.
--------------------------------------------------------------------------------------------------------------------------------
Over het bovenstaande gaat de vraag dus, hoe zouden jullie dit omzetten naar een werkbare en vooral beheersbare omgeving?
Mogelijkheden die ik reeds in gedacht heb gehad:
1: VMware View: Nadelen: - Geen Linux ondersteuning
- Hoeveel verschillende templates zouden nodig zijn voor veel verschillende profielen?
2: Jumphost (huidige oplossing): Verschillende VM's specifiek opgezet voor de verschillende personen (we zitten momenteel aan meer als 30 verschillende jumphosts)
3: ???
Hebben jullie nog suggesties? Mochten er eventueel nog vragen zijn, wil ik die ook wel beantwoorden.
:strip_icc():strip_exif()/u/84973/images.jpg?f=community)
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)