|
Может среди нас есть люди работающие в крупных корпорациях, которые поделятся опытом.
Есть группа программистов, пишущих код. Хотелось бы защититься от утечки физически (юридической защиты недостаточно). Но: 1. Используется Linux, и к компам подключена специфическая переферия. 2. Для работы нужен Internet Т.е. я так понимаю из пункта 1 вытекает невозможность терминальной работы с защищенным облаком. Еще варианты есть? Если жена ушла от вас к соседу, не огорчайтесь: теперь вы — сосед |
|
Послушайте, защита от утечки это целый комплекс програмно-аппаратных и административных средств защиты. Вам никто здесь на форуме в двух словах не расскажет как вам в вашем конкретном случае защитить данные. Для этого нужно устроится к вам на работу, получить бюджет, понять что хочется, понять что можно сделать за эти бабки и т.д....
Плюс защиты 100% не бывает, это некий процесс - оцениваем риски, ищем средства снижения рисков, внедряем решения, и опять оцениваем риски... |
|
Caballero, продублирую нашу переписку, может кому полезно будет.
В крупных компаниях (или компаниях с дорогими рисками по утечке разработок) RnD отделы сидят без инета. Сегмент сети физически не подключен к роутеру и Интернетам, не то что программно 
Все, что надо для работы - или давно лежит на серваке, или инет на специальном ноуте. Задача просто шире, чем "не дать кому-то из инженеров продать код/инфу на сторону". Если предложат адекватных денег - то способ все равно найдется. Крысятничество должно отторгаться уже на уровне предположения - все должны хорошо понимать, что утечка инфы - это звездец сразу всем. Когда человек самостоятельно примет решение не ставить себе на рабочую машину удобный варез - потому что от вареза до бот-сети и слива всего винчестера дядям один шаг - задача, считай, выполнена. Но особо сознательных мало, поэтому лучше от лица инвестора нанять спец человека по безопасности (одмина). Этот человек должен ставить софт на машины, фильтровать файло и интернеты и заколупывать всех на тему "оппа, внезапная проверка бдительности ! ". Но надо, чтобы админ по сесюрити трахал всех - и начальнега в том числе. Тогда крысячить будет не по пацански. А исходить говном на курилке на страшного админа , которого прислал заказчик, и который изабелл всех - можно годами. Но если админ будет быстро и хорошо делать свою работу - то на курилке оно все и закончится
Виртуалки и прочий удаленный доступ - не катят. Самое главное - ты сильно потеряешь в эффективности разработки Когда среда подтормаживает (а тормозить будет знатно) - программера это законно бесит и работать невозможно. В хороших фотоаппаратах, автомобилях, телефонах и форумах - всего пять букв.
Воинствующий скептик. |
|
Виртуалки очень используются в очень крупных корпорациях, где параноят секртеты и защищают информацию
Вставай со своей жопы
Кончай пить растворитель К нам едет из Европы Шива-разрушитель |
|
Пс. Открою к тому же страшную новость - виртуалка не является 100% барьером для вредного софта...
В хороших фотоаппаратах, автомобилях, телефонах и форумах - всего пять букв.
Воинствующий скептик. |
|
Ваванчег, виртуалка без доступа к и-нету выглядит непривлекательно. Вот еслиб были облака с разпределением доступа - код в протектед области, а скопилированное - на машине с и-нетом где можно ставить либы и т.д, было б круто
Если жена ушла от вас к соседу, не огорчайтесь: теперь вы — сосед |
|
Caballero, друже, это разумная мысль на самом-то деле...
Added after 50 minutes: Две виртуалки (или хост + виртуалка). На одной (виртуалке) - исходники, среда разработки - вирусы и малваря обычно обучены пролезать на хост с виртуалки, а не наоборот
Все отладчики и девайсы подключены к хосту. Последовательные порты провешены через какой-то com2tcp, сеть - через какой-то роутер... На хосте запущен gdb server. USB порты и сеть наружу закрыта, кроме какого-то общего FTP/NFS сервера. Настроены некие скрипты... суть работы с отладчиком и девайсом такова (хотя все зависит от среды разработки, насколько ее можно приспособить) : 1) собирается проект в среде 2) бинарный файл ложится на общий ресурс 3) передергивается gdb server 4) на виртуалке среда разработки настроена на этот самый gdb сервер для отладки 5) запускается отладчик в среде разработки 6) ????? 7) PROFIT !!!!!!!! Один раз помудохаться, все сделать - и пользоваться. Тормоза будут незначительные (если не разворачивать виртуалку на i3, конечно), сесюрити будет обеспечено - все спят спокойно. Added after 1 minutes: ps. Хост имеет доступ в инет и куда угодно. В хороших фотоаппаратах, автомобилях, телефонах и форумах - всего пять букв.
Воинствующий скептик. |
|
_dem, да, склоняюсь к подобному варианту - vmware имеет DLP модуль с аудитом и правами - VMware vShield™. Поставлю мощный сервак, разверну ВМВарь, задушу доступы этим vShield-ом, пусть кодят в песочнице, а бинарный код складывать будет в паблик, ну и аудит будет отчеты слать че делали, какие княпки жали.
Если не говорить заказчику, что код тупо мобилкой могут перефоткать и распознать - то в остальном все заипись 
ЗЫ. Да, я вкурсе про видеонаблюдение как защиту от фотографирования, не хочу ) Короче надо фирму найти, которая vmware развертывание осуществляет, и фсе в шоколаде. Если жена ушла от вас к соседу, не огорчайтесь: теперь вы — сосед |
