Bonjour la communauté,
Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support.
Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.
Il s'agit de machines virtuelles
Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)
1 poste par admin sys et tech réseau
1 poste commun au support (multi utilisateurs)
Des règles de FW par machine
Les outils nécéssaires (putty / rdp ...)
Les admins ne sont pas admin de la vm.
Un antivirus est installé
Pare Windows en mode bloque tout sauf RDP
App locker
OTP pour l'ouverture de la machine
J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_02... ) Qu'en pensez vous ?
Voyez vous d'autres point intéressantes ?
Merci pour votre avis.
Bonjour,
Il te faut effectivement un annuaire dédié administration. Toute auth backend sur l'annuaire de "prod métier" est à proscrire. J'ajouterais une CMDB de conformité des postes/VM au modèle, avec logging verbeux de toute modification. Snapshot regulier des VM admin et revert si pb. Si le template VM admin/support est générisque et standard, un revert 2 snapshot automatique sur extinction/reboot est un plus. Enfin, un bastion + fw en coupure du réseau OOB admin vs le reste du SI est impératif. Si le budget le permet, des diodes H/W existent pour environnement sensibles (overkill dans ton cas?) Prévoir une station blanche pour sanitizer les échanges via supports amovibles. Enfin, une boite à logs pour surveiller et tracer tout ce bel écosysteme admin, et tu devrais t'en sortir.
Bon courage
#mytwo
Le 26 mai 2021 21:21:23 elpablodelcasata@netcourrier.com a écrit :
Bonjour la communauté,
Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support. Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.
Il s'agit de machines virtuelles Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste) 1 poste par admin sys et tech réseau 1 poste commun au support (multi utilisateurs) Des règles de FW par machine Les outils nécéssaires (putty / rdp ...) Les admins ne sont pas admin de la vm. Un antivirus est installé Pare Windows en mode bloque tout sauf RDP App locker OTP pour l'ouverture de la machine
J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_02... ) Qu'en pensez vous ? Voyez vous d'autres point intéressantes ?
Merci pour votre avis. _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Hello,
Ça dépend de la taille de ta structure, et de l'objectif de ces postes "renforcés".
Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels types d'opérations ? Un accès sur site ou potentiellement à distance ? Combien d'admins, de techs ?
Ce n'est pas la même chose de concevoir une archi d'administration pour une PME de 10 personnes dont l'administration sys/net s'effectue tous les 32 du mois, que pour une grosse boîte avec 20 admins full time ;)
Bonne journée,
Cécile Martron Ingénieure Systéme Réseaux et Télécommunication +33 (0) 6 85 44 33 38
Le 26/05/2021 à 11:26, elpablodelcasata@netcourrier.com a écrit :
Bonjour la communauté,
Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support. Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.
Il s'agit de machines virtuelles Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste) 1 poste par admin sys et tech réseau 1 poste commun au support (multi utilisateurs) Des règles de FW par machine Les outils nécéssaires (putty / rdp ...) Les admins ne sont pas admin de la vm. Un antivirus est installé Pare Windows en mode bloque tout sauf RDP App locker OTP pour l'ouverture de la machine
J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_02... https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf ) Qu'en pensez vous ? Voyez vous d'autres point intéressantes ?
Merci pour votre avis.
Liste de diffusion du FRsAG http://www.frsag.org/