我们有一台物理机用于数据库和网站服务。我们想聘请一名顾问来负责这项计划中的从旧物理 Windows 机器到最新全新虚拟机的迁移。
显然,承包商需要一个具有权限的帐户来实现这一点。在这种情况下,我信任他们,但与此同时,如果我不信任他们或对他们了解不够多,无法完全信任他们,该怎么办?我正在寻找发生这种情况时的最佳做法(您不知道是否信任承包商)。如果他们设置了后门怎么办?或者由于失误或不知情,做了一些可能在以后危及新机器的事情?
我的问题:雇用外部承包商在我们的站点上做需要具有特权的帐户的工作时,制定安全计划的最佳做法是什么?
我找到了这个答案:为服务器管理员承包商提供 root 访问权限的最佳实践(在 CentOS 上)?但它针对的是 Linux 风格,可能已经过时了。我喜欢制定工作说明的建议,我会考虑,但也在寻找技术解决方案。
答案1
如果您的目标是 Windows,这里有一些通用的提示;因为您的问题没有说明您正在使用哪个操作系统。
为承包商创建一个仅供他使用的帐户。最好是新旧服务器的本地管理员。
如果您需要为他创建一个 Active Directory 帐户,则请使该帐户仅对这两个虚拟机具有正确的 LOGON 权限。您还可以为该帐户设置到期日期。
提前创建新的 VM 以避免必须授予他访问您的 VM 基础设施的权限。
您可以为他创建任何 VPN 帐户,让他只允许访问两个虚拟机来完成他的工作。
聘请一家声誉良好的公司或个人。不要在这件事上低估自己。一家声誉良好的公司不会希望因为可能给您造成的违约而失去声誉。