我们正在准备进行安全/合规审计,由于我们与金融机构打交道,提到的一个潜在标志是我们如何跟踪/监控在生产和非生产环境之间传输的文件。
我们经营一家 Windows 商店。我们的 IT 部门(域管理员)可以访问我们的生产域和非生产域(公司域)。当需要将构建或文件推送到生产环境时,IT 需要执行任何文件传输。
为了满足这一要求,我们被要求查看一些DLP 解决方案而这些成本相对比较高。
我们还探讨过可能要求 IT 团队使用某种 FTP 或托管文件传输系统以便在环境之间移动文件,但这似乎很麻烦。
还有其他潜在的解决方案可以探索吗?主要要求是我们对在环境之间复制的任何文件进行某种跟踪或记录。除了每天结束时对环境进行一次巨大的“DIFF”之外,不确定我们能做什么。
答案1
有很多方法可以跟踪系统和环境之间的文件移动。然而,这实际上并不是技术产品的情况。这是一个业务流程和信息安全的情况。即使你购买了非常昂贵的 DLP,你也需要策略、流程和审计来使其有意义。(见我的结束语。)
与其浪费大量的时间和金钱去研究值得花钱的闪亮东西,我建议你看看信息安全 Stack Exchange网站以获取有关该主题的更多指导。
一旦你很好地掌握了开发、测试和操作环境的良好分离以及“职责分离”的目标,你很可能就会意识到技术问题并没有那么难。就你所描述的情况而言,它们听起来确实不难。
我建议:
- 对于访问控制、角色和职责以及 PROD 和 DEV 环境之间的职责分离有完善的策略。
- 至少对 PROD 环境进行足够的事件监控和审计。如果两种环境都存在就更好了。
- 负责方(您的 IT 部门)如何接收、验证、传输和实施 PROD 中的代码或文件更改的标准操作程序。
那么如果它能让 3 号更容易/更快/更具成本效益,那么你可以去购买闪亮的。
< 咆哮 > “让我们买点东西来满足审计要求”的初始反应几乎总是长期的业务或安全失败。它推动了 IT 行业的合规性部分,但它不会在实际安全方面给您带来太多帮助,而且从长远来看可能会花费更多。