Правильная настройка таблицы управления доступом

Gandliar

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
Здравствуйте!

Подскажите правильный подход настройки таблицы управления доступом на клиентах.
Периодически меняются/добавляются разработчики
Правильно ли будет
всех разработчиков сертифицировать как Иванов Иван Иванович/developers/организация
и политикой добавить во все туд пользователей */developers/организация

Или лучше какой то другой подход?
 
Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
29
Так понимаю речь об ECL (execution control list). Не пользую маски, т.к. к ним вопросы с точки зрения информационной безопасности - что мешает обновлять политику безопасности и распространять новый список ECL среди пользователей автоматоматически.
Есть другая практика - подписывать какой-то обезличенной учетной записи обновленный код программиста. Если разработчики меняются периодически, то руководитель разработчиков обычно не так часто меняется (иначе совсем плохи дела в Компании). После доработок программистом в шаблоне, руководитель переносит изменения в продуктив и подписывает измененные элементы дизайна доверенной учетной записью.
 
  • Нравится
Реакции: BlackHundred
garrick

garrick

Lotus Team
26.10.2009
1 367
152
BIT
364
Если это про ECL, то нехорошо дизайн боевых баз пописывать чей-то личной подписью. Правильно Wanderstep говорит. Заведите специальную учётную запись только для этого или подписывайте серверной подписью. Личную подпись обычно банят после увольнения пользователя/разработчика и всё им подписанное перестаёт работать.
 
  • Нравится
Реакции: VladSh и BlackHundred
Gandliar

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
garrick сказал(а):
Если это про ECL, то нехорошо дизайн боевых баз пописывать чей-то личной подписью. Правильно Wanderstep говорит. Заведите специальную учётную запись только для этого или подписывайте серверной подписью. Личную подпись обычно банят после увольнения пользователя/разработчика и всё им подписанное перестаёт работать.
Нажмите, чтобы раскрыть...

Может я что то делаю не так?

В настоящий момент у меня для каждой базы есть 3 объекта
1. шаблон
2. тестовая
3. боевая

Вот как раз сейчас все подписывается специальной учеткой админа.
Но при этом есть проблемы
Хотелось бы видеть кто и когда что изменял, то есть еще по идее нужен 4й объект - готовый шаблон, который подписывается админской учеткой, с которого потом уже обновляется боевая база

С другой стороны прописать в ecl */developers/фирма и по идее должно работать, но выше пишут что небезопасно, правда непонятно почему.
 
Gandliar

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
Wanderstep сказал(а):
Так понимаю речь об ECL (execution control list). Не пользую маски, т.к. к ним вопросы с точки зрения информационной безопасности - что мешает обновлять политику безопасности и распространять новый список ECL среди пользователей автоматоматически.
Есть другая практика - подписывать какой-то обезличенной учетной записи обновленный код программиста. Если разработчики меняются периодически, то руководитель разработчиков обычно не так часто меняется (иначе совсем плохи дела в Компании). После доработок программистом в шаблоне, руководитель переносит изменения в продуктив и подписывает измененные элементы дизайна доверенной учетной записью.
Нажмите, чтобы раскрыть...
Поясните пожалуйста, в чем вопросы к маскам с точки зрения информационной безопасности.
С другой стороны может и есть смысл сделать единую точку обновления дизайна (типа через руководителя/администратора) с сохранением всех версий шаблонов.
 
Wanderstep

Wanderstep

Lotus Team
23.03.2006
493
66
BIT
29
Вам уже указали выше, почему нельзя использовать персональную учетку для подписи - если уволят сотрудника и учетка будет удалена - будут проблемы со стартом тех же агентов, которые были подписаны этой учеткой и т.д. и т.п.
С точки зрения ИБ - представьте, как вы будете расследовать инцидент ИБ, если вы не знаете конкретного списка учеток, кому даны расширенные права на выполнение кода? Сегодня в АК 5 учеток по маске, указанной вами, а еще час назад их было 7, две были созданы и удалены после отработки кода, к примеру.
 
Gandliar

Gandliar

Lotus Team
16.02.2004
564
26
BIT
110
Wanderstep сказал(а):
Вам уже указали выше, почему нельзя использовать персональную учетку для подписи - если уволят сотрудника и учетка будет удалена - будут проблемы со стартом тех же агентов, которые были подписаны этой учеткой и т.д. и т.п.
С точки зрения ИБ - представьте, как вы будете расследовать инцидент ИБ, если вы не знаете конкретного списка учеток, кому даны расширенные права на выполнение кода? Сегодня в АК 5 учеток по маске, указанной вами, а еще час назад их было 7, две были созданы и удалены после отработки кода, к примеру.
Нажмите, чтобы раскрыть...
Спасибо за комментарий.
Проверю, будет ли работать агент, подписанный уволенным и забаненным работником.
Конкретный список учеток с раширенными правами - он то есть, сейчас записан в настройках сервера

Видимо надо делать 5 баз для каждого объекта
1. рабочая
2. тестовая
3. подписанный специальной учеткой шаблон последней рабочей версии
4. шаблон последней рабочей версии, переданный на подпись
5. шаблон текущей разработки

что думаете об этом или есть попроще подход?
 
garrick

garrick

Lotus Team
26.10.2009
1 367
152
BIT
364
На сервере должен быть шаблон с которого обновляется рабочая база. Этот шаблон должен быть подписан учёткой не какого-то конкретного администратора Васи Пупкина, а "фейковоого администратора" типа "Администратор"/ "Admin" или ещё как вы его там назовёте. Конечно доступ к этой учётке есть только у ответственного/уполномоченного сотрудника. IBM, например все шаблоны подписывали учёткой Lotus Notes Template Development/Lotus Notes, очевидно доставшейся им в наследство в 1995 году от Lotus Development. И даже HCL это не меняет, как мне кажется, доверие к этой учётке где-то глубоко в коде прописано и никто не знает где.

Все остальные вариации с тестовыми/рабочими базами/шаблонами - это на ваш вкус, как вам удобнее организовать своё производство. Нормально, как мне кажется, рабочая база и рабочий шаблон подписанные разработчиком. Тестовая среда должна настраиваться администратором и может быть подписана "админский" подписью, что бы у тестировщиков не было проблем с "сообщением безопасности", да и ситуация будет максимально приближена к боевой.

Если хотите знать кто-что правил. когда и т.п. - типа контроль версий, то надо ставить
Ссылка скрыта от гостей
- конечно не верх совершенства, но другого, более вменяемого, нет.
 
  • Нравится
Реакции: VladSh
savl

savl

Lotus Team
28.10.2011
2 624
314
BIT
541
Если хотите знать кто-что правил. когда и т.п. - типа контроль версий, то надо ставить TeamStudio CIAO! - конечно не верх совершенства, но другого, более вменяемого, нет.
Нажмите, чтобы раскрыть...

Есть - git и он вполне себе рабочий.
 
  • Нравится
Реакции: Иван Пахомов
VladSh

VladSh

начинающий
Lotus Team
11.12.2009
1 797
158
BIT
232
garrick сказал(а):
Чтобы лотусовый проект загрузить в Git или из Git в Designer, его (проект) надо сначала напильником доработать, а TS для него родное.
Нажмите, чтобы раскрыть...
Именно так.
Тем более, что без потерь загрузить все элементы дизайна обратно в шаблон не получится, но это уже тема другой ветки.
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
471
garrick сказал(а):
Чтобы лотусовый проект загрузить в Git или из Git в Designer, его (проект) надо сначала напильником доработать, а TS для него родное.
Нажмите, чтобы раскрыть...
"правильнописание хорошее, но почему-то хромает"... лочит, всякие чекины и прочая лабуда жить мешают, мерджи через одно место...
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ