Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Bonjour Je ne vais parler ici qu'en mon nom propre, évidemment pas de mes employeurs passés, présents, futurs. Mais en tant qu'un des concepteurs de SEDUCS (ce qui n'est pas un titre de gloire), utilisateur de QubesOS et aillant commencé à travailler sur le sujet il y a une bonne décennie, je me sens concerné par le thread. On 6/29/19 2:51 PM, Florent CARRÉ wrote: > Bonjour tout le monde, ... > > Incroyable, l'ANSSI aurait enfin compris que c'était stupide d'interdire la > virtualisation pour le poste d'administration. > Ils auraient pu éviter d'attendre aussi longtemps. De mémoire, le premier document public de l'ANSSI décrivant le concept de poste admin avec virtualisation doit dater de 2015. Ce n'est plus si récent. Si je lis bien, le principe décrit dans le guide est juste: - avoir un hyperviseur comme socle non géré par l'utilisateur qui ne sert qu'a gérer les VM et leurs échanges - et avoir des VM cloisonnées par usage, plus ou moins autonomes selon leur sensibilité. C'est assez faisable avec Xen, KVM, HyperV... Microsoft propose d'ailleurs une architecture de stations d'admin (Privileged Access Workstation ou PAW) basée sur ce principe https://blogs.technet.microsoft.com/datacentersecurity/2018/04/30/paw-deployment-guide/ C'est une question de configuration pas d'intégration complexe. > ... > Concernant Clip OS, ça fait depuis 2006 qu'ils sont dessus la chose et puis > leur plus gros concurrent (qui est en production), c'est SEDUCS ( > http://www.c-s.fr/file/174062) de C&S (Communications & Systèmes). SEDUCS c'est un socle multi-compartiment pour des applications sensibles. C'est très loin d'un OS généraliste. Il existe des tonnes de socles de ce genre développés pour les besoins du monde gouvernemental de chaque grand pays et de chaque industriel de défense. Par exemple https://www.businesswire.com/news/home/20120227006690/en/BAE-Systems-STOP-OS%E2%84%A2-Secure-Application-Platform En fait, à l'époque ou le DoD demandait des TrustedOS (Trusted Solaris par exemple), faire des compartiments de niveau de classification séparé était assez commun dans ce cadre. Voir https://en.wikipedia.org/wiki/Multilevel_security#Trusted_operating_systems > ... > Peut être qu'un jour il y aura une release stable de Clip OS, quand il aura > 18 ans (on s'en approche rapidement). En fait, ClipOS 4 est utilisé en production depuis des années. C'est ClipOS 5, une mise à jour majeure et libre qui est en cours de maturation. Par contre, aujourd'hui Clip 4 est pensé comme un poste bureautique et messagerie sécurisé. Il n'est pas pensé pour développer ou scripter ce qui le rend peu apte à servir de poste d'admin en 2019. Si je comprends bien, élargir les cas d'usage devrait être possible avec la v5. >... > Pourquoi ne pas envisager Qubes (https://www.qubes-os.org) ? J'utilise Qubes sur la plupart de mes machines. C'est initialement conçu dans l'idée que l'utilisateur est autonome et son propre administrateur. A noter que si le fonctionnement des VM Linux est complètement transparent, coté Windows il ne faut pas trop rêver. Dans la version 4, Qubes a introduit un framework de gestion proche des concepts de ClipOS basé sur Salt https://www.qubes-os.org/news/2015/12/14/mgmt-stack/ Je n'ai pas testé, je ne sais pas à quel point c'est pratique de déploiement, mais l'idée est de gérer les postes sans accès à leur contenu. Il existe en fait plein d'usages basé sur de la simple config et des GPO dans le monde Windows, des déploiement d'images Linux, voire des intégrations dédiées avec de hyperviseurs durcis (par exemple Polyxène de Bertin). Mais l'important au final, c'est de se débarrasser des usages à risque dans le monde privilégié (socle de l'hyperviseur, ou VM d'admin). A ma connaissance, il n'existe pas aujourd'hui de solution d'OS multi-compartiment disponible sur l'étagère qui soit qualifiée par l'ANSSI, ClipOS inclus. Mais ce n'est pas nécessaire dans la plupart des cas. Bref, ce n'est ni infaisable, ni même aussi dur à faire qu'on croit souvent de prime abord. -- Christophe Renard https://ww.goupilland.net --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
En effet, il n'y a pas de bonnes solutions, l'administrateur va "souffir" (en comparaison a un setup moins secure selon le ref ANSSI) Dans tt les versions il y'a deux systemes 1 d'admin, 1 de bureatique. Le poste d'admin est forcement physique, le poste bureautique est soit physique soit une VM. L'acces est uniquement autorise depuis le poste d'admin vers le poste bureautique. La version la moins penible, je trouve, est un bureau distant depuis le poste d'admin vers le poste bureautique qui autorise le copier/coller, mais il faut accepter la perte de qq fonctionnalites "attendu" d'un poste bureautique (la video avec son dans le cadre de visioconf par exemple) Il faudra dans ce cas fournir un poste nomade pr la visio pr les admins en question. Dans tous les cas, il reste a traiter les problemes de teletravail ds ce contexte ainsi que la telemaintenance :) Youssef On Mon, Jul 1, 2019 at 1:16 PM Thierry Del-Monte wrote: > > Bonjour, > > Merci à tous pour vos échanges et vos idées. > Comme je m'y attendais, le sujet est loin d'être simple. > > La R9-- propose l'utilisation d'un VDI pour accéder à l'internet mais le > déconseille pour administrer des Hyperviseurs et des Annuaires. > La R9- est a solution la plus sexy (utilisation de poste multi-niveaux) mais > peu de solutions sur le marché, l'ANSSI développe Clip-OS depuis 2006 mais en > 2019 toujours pas de version utilisable en production et SEDUCS en lisant le > PDF je n'ai pas compris ce que cela faisait exactement. > La R9 demande d'avoir deux PC physiques différents (là je vais perdre tous > mes ingénieurs ...) > > S'il y a des personnes de l'ANSSI sur la liste, il serait intéressant qu'ils > puissent partager dans les grandes lignes la solution mise en place chez eux. > > Thierry > > > > > Le 29/06/2019 à 17:22, Stéphane Rivière a écrit : > > Le 29/06/2019 à 16:51, Florent CARRÉ a écrit : > > Bonjour tout le monde, > > Je plussoie ton approche, y compris l'excellent saltstack. Xen a une > empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit > d'aller voir sur le site de Qubes ou mater leurs ML... > > Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de > zorro" pour taper les credentials, de boucher/briquer tous les ports > pour la "femme de chambre", etc...). > > Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi > l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé. > > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Bonjour, Merci à tous pour vos échanges et vos idées. Comme je m'y attendais, le sujet est loin d'être simple. La R9-- propose l'utilisation d'un VDI pour accéder à l'internet mais le déconseille pour administrer des Hyperviseurs et des Annuaires. La R9- est a solution la plus sexy (utilisation de poste multi-niveaux) mais peu de solutions sur le marché, l'ANSSI développe Clip-OS depuis 2006 mais en 2019 toujours pas de version utilisable en production et SEDUCS en lisant le PDF je n'ai pas compris ce que cela faisait exactement. La R9 demande d'avoir deux PC physiques différents (/là je vais perdre tous mes ingénieurs .../) S'il y a des personnes de l'ANSSI sur la liste, il serait intéressant qu'ils puissent partager dans les grandes lignes la solution mise en place chez eux. Thierry Le 29/06/2019 à 17:22, Stéphane Rivière a écrit : Le 29/06/2019 à 16:51, Florent CARRÉ a écrit : Bonjour tout le monde, Je plussoie ton approche, y compris l'excellent saltstack. Xen a une empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit d'aller voir sur le site de Qubes ou mater leurs ML... Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de zorro" pour taper les credentials, de boucher/briquer tous les ports pour la "femme de chambre", etc...). Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé. smime.p7s Description: Signature cryptographique S/MIME
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Le 29/06/2019 à 16:51, Florent CARRÉ a écrit : > Bonjour tout le monde, Je plussoie ton approche, y compris l'excellent saltstack. Xen a une empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit d'aller voir sur le site de Qubes ou mater leurs ML... Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de zorro" pour taper les credentials, de boucher/briquer tous les ports pour la "femme de chambre", etc...). Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé. -- Be Seeing You Number Six --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
D’hab c’est le vendredi les trolls^^ Le systeme preco par l’ANSSI est tellement contraignant que les develos utilisent leur pc/mac portable en 4G et s’envoie le code. ils utilisent les postes uniquement pour l’envoyer dans git. Tout la chaine CD est géré par l’IT. …J’avais pas compris pourquoi, à mon arrivée à l'IT, ils m’avaient fourni une caisse de doliprane/nurofen… Sans OS multi-niveau comme le decrit la spec de Clip pour faire tourner des machines en // pas de moyen de consolider les infrastructures de poste client. Pr On 29 June 2019 at 16:55:04, Florent CARRÉ (colund...@gmail.com) wrote: Bonjour tout le monde, /* début du risque de troll */ Incroyable, l'ANSSI aurait enfin compris que c'était stupide d'interdire la virtualisation pour le poste d'administration. Ils auraient pu éviter d'attendre aussi longtemps. Concernant Clip OS, ça fait depuis 2006 qu'ils sont dessus la chose et puis leur plus gros concurrent (qui est en production), c'est SEDUCS ( http://www.c-s.fr/file/174062) de C&S (Communications & Systèmes). Peut être qu'un jour il y aura une release stable de Clip OS, quand il aura 18 ans (on s'en approche rapidement). /* fin du risque de troll */ Pourquoi ne pas envisager Qubes (https://www.qubes-os.org) ? C'est du basé sur Xen, un système qui permet de faire un copier/coller entre les vm où il faut utiliser une option spéciale quand on veut le faire mais ça fonctionne. Ça répond à tout le besoin out of box. Le côté encore supplémentaire, c'est qu'il faut que l'administration se fasse sur une patte dédiée donc vpn ... Et c'est là où la vm est pratique parce qu'on ne donne pas la patte admin à tout le système. Le plus difficile, c'est que l'ANSSI ne veut pas que les admin soit root de leur poste d'admin. On utilisait du SaltStack (à work-N) et sur le dernier en date c'était du Ansible (avec plus de problèmes que de solutions mais ça allait avec la mentalité des gars) pour gérer la configuration du poste et le password root était caché au coffre. Toute interaction avec le root étant interdite. Là où cela avait été une stupidité d'être avec Ansible c'est le manque d'agent sur le poste donc lancer manuellement l'update ou via un systemd-timer. Mais cela reste bancal et sans la possibilité de révoquer l'accès si le poste se fait voler (ok, bypasser le password efi, luks et session, faut vraiment le vouloir) ou même de forcer l'update des postes via le salt-master (bien pratique en cas de release urgente d'une update interne ...) Le process en utilisant SaltStack était simple, si on avait besoin du password, cela signifiait qu'on avait briqué le système via SaltStack donc via une maj des dépôts Git. C'était efficace mais je ne me relancerai pas dans la migraine absolue de cette chose. Bon courage à ceux/celles qui doivent mettre en place une solution de ce type. Bon weekend On Sat, Jun 29, 2019, 08:45 Thierry CHICH wrote: > Pour notre part, nous voudrions tenter de fonctionner à base de machines > virtuelles au dessus d’un système durci. > D’un côté on lancerait des machines « utilisateurs » et de l’autre des > machines « admin ». > Pour avoir utilisé un prototype sommaire, le gros souci, c’est de rendre > possible les échanges entre les catégories de machines de manière fluide. > Il n’est pas concevable de ne plus pouvoir copier des bouts de code. Il > faut donc que le copier coller et la circulation de fichiers puisse se > faire sans trop d’entrave. > > Cordialement > Thierry > > > Le 29 juin 2019 à 08:44, professor geek a écrit : > > > > Hello, > > > > Oui je suis confronté aussi a ce pb et comme tu le dis encore plus dans > > notre environnement DevSecOps.. > > l’ANSSI developpe un OS sécurisé qui permetrait d’avoir une machine admin > > et une LAN sur le meme hardware. > > la solution se base sur un GENTOO securisé, la solution et sa roadmap > sont > > sur GitHub : CLipOS. > > aujourd’hui la solution est en Alpha. j’attends la release … mais comme > > d’hab avec les services d’etats c’est long ! les devs repondent > rapidement > > aux questions, c’est deja ca ! > > > > Le poste admin c’est qu’une partie. Ne pas oublié la zone réseau dédié, > etc… > > > > > > On 28 June 2019 at 18:39:29, Thierry Del-Monte (tdelmo...@integra.fr) > wrote: > > > > Bonjour à tous, > > > > L'ANSSI dans son guide sur l'administration sécurisée de SI > > ( > > > https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf > ), > > > > préconise dans sa recommandation R9 l'utilisation d'un poste > > d'administration dédié ou à multi-niveaux. > > > > Est-ce que l'un de vous a déjà mis en place ou rencontré ce > > fonctionnement dans son entreprise ? > > Je suis à la recherche d'un retour d'expérience aussi bien sur la > > solution choisie que sur son exploitabilité au quotidien (la contrainte > > me semble très forte pour les sysops et netops). > > > > Merci par avance pour votre partage > > > > Thierry > > > > --- > > Liste de diffusion du FRnOG
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Bonjour tout le monde, /* début du risque de troll */ Incroyable, l'ANSSI aurait enfin compris que c'était stupide d'interdire la virtualisation pour le poste d'administration. Ils auraient pu éviter d'attendre aussi longtemps. Concernant Clip OS, ça fait depuis 2006 qu'ils sont dessus la chose et puis leur plus gros concurrent (qui est en production), c'est SEDUCS ( http://www.c-s.fr/file/174062) de C&S (Communications & Systèmes). Peut être qu'un jour il y aura une release stable de Clip OS, quand il aura 18 ans (on s'en approche rapidement). /* fin du risque de troll */ Pourquoi ne pas envisager Qubes (https://www.qubes-os.org) ? C'est du basé sur Xen, un système qui permet de faire un copier/coller entre les vm où il faut utiliser une option spéciale quand on veut le faire mais ça fonctionne. Ça répond à tout le besoin out of box. Le côté encore supplémentaire, c'est qu'il faut que l'administration se fasse sur une patte dédiée donc vpn ... Et c'est là où la vm est pratique parce qu'on ne donne pas la patte admin à tout le système. Le plus difficile, c'est que l'ANSSI ne veut pas que les admin soit root de leur poste d'admin. On utilisait du SaltStack (à work-N) et sur le dernier en date c'était du Ansible (avec plus de problèmes que de solutions mais ça allait avec la mentalité des gars) pour gérer la configuration du poste et le password root était caché au coffre. Toute interaction avec le root étant interdite. Là où cela avait été une stupidité d'être avec Ansible c'est le manque d'agent sur le poste donc lancer manuellement l'update ou via un systemd-timer. Mais cela reste bancal et sans la possibilité de révoquer l'accès si le poste se fait voler (ok, bypasser le password efi, luks et session, faut vraiment le vouloir) ou même de forcer l'update des postes via le salt-master (bien pratique en cas de release urgente d'une update interne ...) Le process en utilisant SaltStack était simple, si on avait besoin du password, cela signifiait qu'on avait briqué le système via SaltStack donc via une maj des dépôts Git. C'était efficace mais je ne me relancerai pas dans la migraine absolue de cette chose. Bon courage à ceux/celles qui doivent mettre en place une solution de ce type. Bon weekend On Sat, Jun 29, 2019, 08:45 Thierry CHICH wrote: > Pour notre part, nous voudrions tenter de fonctionner à base de machines > virtuelles au dessus d’un système durci. > D’un côté on lancerait des machines « utilisateurs » et de l’autre des > machines « admin ». > Pour avoir utilisé un prototype sommaire, le gros souci, c’est de rendre > possible les échanges entre les catégories de machines de manière fluide. > Il n’est pas concevable de ne plus pouvoir copier des bouts de code. Il > faut donc que le copier coller et la circulation de fichiers puisse se > faire sans trop d’entrave. > > Cordialement > Thierry > > > Le 29 juin 2019 à 08:44, professor geek a écrit : > > > > Hello, > > > > Oui je suis confronté aussi a ce pb et comme tu le dis encore plus dans > > notre environnement DevSecOps.. > > l’ANSSI developpe un OS sécurisé qui permetrait d’avoir une machine admin > > et une LAN sur le meme hardware. > > la solution se base sur un GENTOO securisé, la solution et sa roadmap > sont > > sur GitHub : CLipOS. > > aujourd’hui la solution est en Alpha. j’attends la release … mais comme > > d’hab avec les services d’etats c’est long ! les devs repondent > rapidement > > aux questions, c’est deja ca ! > > > > Le poste admin c’est qu’une partie. Ne pas oublié la zone réseau dédié, > etc… > > > > > > On 28 June 2019 at 18:39:29, Thierry Del-Monte (tdelmo...@integra.fr) > wrote: > > > > Bonjour à tous, > > > > L'ANSSI dans son guide sur l'administration sécurisée de SI > > ( > > > https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf > ), > > > > préconise dans sa recommandation R9 l'utilisation d'un poste > > d'administration dédié ou à multi-niveaux. > > > > Est-ce que l'un de vous a déjà mis en place ou rencontré ce > > fonctionnement dans son entreprise ? > > Je suis à la recherche d'un retour d'expérience aussi bien sur la > > solution choisie que sur son exploitabilité au quotidien (la contrainte > > me semble très forte pour les sysops et netops). > > > > Merci par avance pour votre partage > > > > Thierry > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Si, mais pas validé ANSSI. les differents points sont detaillés sur https://clip-os.org/en/ En gros si tu veux eviter d’empiler des boites du attends ClipOS… On 29 June 2019 at 16:47:48, Gilou (contact+fr...@gilouweb.com) wrote: Le 29/06/2019 à 15:43, Thierry CHICH a écrit : > Pour notre part, nous voudrions tenter de fonctionner à base de > machines virtuelles au dessus d’un système durci. D’un côté on > lancerait des machines « utilisateurs » et de l’autre des machines « > admin ». Pour avoir utilisé un prototype sommaire, le gros souci, > c’est de rendre possible les échanges entre les catégories de > machines de manière fluide. Il n’est pas concevable de ne plus > pouvoir copier des bouts de code. Il faut donc que le copier coller > et la circulation de fichiers puisse se faire sans trop d’entrave. Yo, Ça fait quelques temps que je n'ai plus suivi, mais ce n'est pas l'idée de qubes OS ? https://www.qubes-os.org/intro/ @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Selon la directive R9 tu peux faire des copier/coller sommaire (je pense que du texte, pas d’image etc…) entre deux machines, mais les fichiers passent forcement par un serveur de fichier. Apres la R9 dit que la version poste d’admin et vm bureautique via un serveur rebond est une solution sauf dans le cadre d’une administration d’annuaire et d’hyperviseur. Aujourd’hui nos postes bureautiques n’ont meme pas un accès direct au proxy internet. On utilise une solution a base de XenAPP et nous avons des postes dédiés pour l’administration (aucune deviation possible par rapport au guide). C’est un guide pour avoir un SI validable par la LPM/OIV. Si c’est pas l’objectif c’est peut etre derogatoire avec ton RSSI. Pr On 29 June 2019 at 15:43:07, Thierry CHICH (thierry.ch...@ac-clermont.fr) wrote: Pour notre part, nous voudrions tenter de fonctionner à base de machines virtuelles au dessus d’un système durci. D’un côté on lancerait des machines « utilisateurs » et de l’autre des machines « admin ». Pour avoir utilisé un prototype sommaire, le gros souci, c’est de rendre possible les échanges entre les catégories de machines de manière fluide. Il n’est pas concevable de ne plus pouvoir copier des bouts de code. Il faut donc que le copier coller et la circulation de fichiers puisse se faire sans trop d’entrave. Cordialement Thierry > Le 29 juin 2019 à 08:44, professor geek a écrit : > > Hello, > > Oui je suis confronté aussi a ce pb et comme tu le dis encore plus dans > notre environnement DevSecOps.. > l’ANSSI developpe un OS sécurisé qui permetrait d’avoir une machine admin > et une LAN sur le meme hardware. > la solution se base sur un GENTOO securisé, la solution et sa roadmap sont > sur GitHub : CLipOS. > aujourd’hui la solution est en Alpha. j’attends la release … mais comme > d’hab avec les services d’etats c’est long ! les devs repondent rapidement > aux questions, c’est deja ca ! > > Le poste admin c’est qu’une partie. Ne pas oublié la zone réseau dédié, etc… > > > On 28 June 2019 at 18:39:29, Thierry Del-Monte (tdelmo...@integra.fr) wrote: > > Bonjour à tous, > > L'ANSSI dans son guide sur l'administration sécurisée de SI > ( > https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf), > > préconise dans sa recommandation R9 l'utilisation d'un poste > d'administration dédié ou à multi-niveaux. > > Est-ce que l'un de vous a déjà mis en place ou rencontré ce > fonctionnement dans son entreprise ? > Je suis à la recherche d'un retour d'expérience aussi bien sur la > solution choisie que sur son exploitabilité au quotidien (la contrainte > me semble très forte pour les sysops et netops). > > Merci par avance pour votre partage > > Thierry > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Le 29/06/2019 à 15:43, Thierry CHICH a écrit : > Pour notre part, nous voudrions tenter de fonctionner à base de > machines virtuelles au dessus d’un système durci. D’un côté on > lancerait des machines « utilisateurs » et de l’autre des machines « > admin ». Pour avoir utilisé un prototype sommaire, le gros souci, > c’est de rendre possible les échanges entre les catégories de > machines de manière fluide. Il n’est pas concevable de ne plus > pouvoir copier des bouts de code. Il faut donc que le copier coller > et la circulation de fichiers puisse se faire sans trop d’entrave. Yo, Ça fait quelques temps que je n'ai plus suivi, mais ce n'est pas l'idée de qubes OS ? https://www.qubes-os.org/intro/ @+ Gilou --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Pour notre part, nous voudrions tenter de fonctionner à base de machines virtuelles au dessus d’un système durci. D’un côté on lancerait des machines « utilisateurs » et de l’autre des machines « admin ». Pour avoir utilisé un prototype sommaire, le gros souci, c’est de rendre possible les échanges entre les catégories de machines de manière fluide. Il n’est pas concevable de ne plus pouvoir copier des bouts de code. Il faut donc que le copier coller et la circulation de fichiers puisse se faire sans trop d’entrave. Cordialement Thierry > Le 29 juin 2019 à 08:44, professor geek a écrit : > > Hello, > > Oui je suis confronté aussi a ce pb et comme tu le dis encore plus dans > notre environnement DevSecOps.. > l’ANSSI developpe un OS sécurisé qui permetrait d’avoir une machine admin > et une LAN sur le meme hardware. > la solution se base sur un GENTOO securisé, la solution et sa roadmap sont > sur GitHub : CLipOS. > aujourd’hui la solution est en Alpha. j’attends la release … mais comme > d’hab avec les services d’etats c’est long ! les devs repondent rapidement > aux questions, c’est deja ca ! > > Le poste admin c’est qu’une partie. Ne pas oublié la zone réseau dédié, etc… > > > On 28 June 2019 at 18:39:29, Thierry Del-Monte (tdelmo...@integra.fr) wrote: > > Bonjour à tous, > > L'ANSSI dans son guide sur l'administration sécurisée de SI > ( > https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf), > > préconise dans sa recommandation R9 l'utilisation d'un poste > d'administration dédié ou à multi-niveaux. > > Est-ce que l'un de vous a déjà mis en place ou rencontré ce > fonctionnement dans son entreprise ? > Je suis à la recherche d'un retour d'expérience aussi bien sur la > solution choisie que sur son exploitabilité au quotidien (la contrainte > me semble très forte pour les sysops et netops). > > Merci par avance pour votre partage > > Thierry > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Poste d'administration multi-niveaux
Hello, Oui je suis confronté aussi a ce pb et comme tu le dis encore plus dans notre environnement DevSecOps.. l’ANSSI developpe un OS sécurisé qui permetrait d’avoir une machine admin et une LAN sur le meme hardware. la solution se base sur un GENTOO securisé, la solution et sa roadmap sont sur GitHub : CLipOS. aujourd’hui la solution est en Alpha. j’attends la release … mais comme d’hab avec les services d’etats c’est long ! les devs repondent rapidement aux questions, c’est deja ca ! Le poste admin c’est qu’une partie. Ne pas oublié la zone réseau dédié, etc… On 28 June 2019 at 18:39:29, Thierry Del-Monte (tdelmo...@integra.fr) wrote: Bonjour à tous, L'ANSSI dans son guide sur l'administration sécurisée de SI ( https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf), préconise dans sa recommandation R9 l'utilisation d'un poste d'administration dédié ou à multi-niveaux. Est-ce que l'un de vous a déjà mis en place ou rencontré ce fonctionnement dans son entreprise ? Je suis à la recherche d'un retour d'expérience aussi bien sur la solution choisie que sur son exploitabilité au quotidien (la contrainte me semble très forte pour les sysops et netops). Merci par avance pour votre partage Thierry --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Poste d'administration multi-niveaux
Bonjour à tous, L'ANSSI dans son guide sur l'administration sécurisée de SI (https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf), préconise dans sa recommandation R9 l'utilisation d'un poste d'administration dédié ou à multi-niveaux. Est-ce que l'un de vous a déjà mis en place ou rencontré ce fonctionnement dans son entreprise ? Je suis à la recherche d'un retour d'expérience aussi bien sur la solution choisie que sur son exploitabilité au quotidien (la contrainte me semble très forte pour les sysops et netops). Merci par avance pour votre partage Thierry smime.p7s Description: Signature cryptographique S/MIME
