short-local-policies-example.txt

Политики проектирования сетей. Учитываящие современные реалии. Минимально и на скорую руку.

-- Сеть. Составить проект сети влючающий:
Транзитную зону. Зону DMZ. Изолированный Сегмент управления. Домен управления ВМ, и устройтв. Мониторинг внутреннего сетевого трафика.
Отдельная AAA для него, лучше всё это обвязывать уже не Microsof-ом.
-- Сеть: Серверный сегмент. В него должны смотреть устройства и виртуалки интерфейсами предоставляющими сервисы для бизнеса. Здесь AAA на Microsofе и возможно, выделенный домен для AAA пользователей, которые стучатся трастами от одного домена в другой. Трасты делаются через группы доступа. Это всё надо продумать.
-- Сеть: Виртуализация. Проект перевода с VMWare vSphere на PVE от ALTLinux. Там же есть несколько продуктов для налаживания архивирования и бэкапирования различными средствами.
-- Сеть. AAA, AD, Domain Controllers. Трафик к- и от- DCs. ВМки с DCs должны выполняться в отдельной сетевой зоне/зонах, и трафик к ним должен контроллироваться через ACL вышестоящей группы маршрутизаторов.
-- Сеть. Домен AD. Использование учёток от и выше- чем Domain Admininstrator -- должно быть сокращено до 1-3штук. Всё остальное делегируется прекрасно. Смена паролей на данные учётки должна быть тоже проверена, и выполняться только ими. Фактически, это резервный вход, когда очень надо, и именно локально, когда гарантированно не с порутанной тачки (типа ноутбука с Remmina).
-- Сеть. ServiceDesk Accounts. У спецов должны быть две учётки. Одна с минимальными правами (пользователь -- типично, группа sd, и тп.). Вторая типа sd1-sa -- для выполнения runas -- у неё для группы SD-sa-GG на группу ПК должны быть предоставлено членство в LocalAdministrators.
-- Сеть: Стек Microsoft, задеплой отдельную ВМ для SEP14, и сделай для них политики, как были сделаны у нас. Возможностей SEP14 даже без лицензий хватает на тот случай, если купить не получается. Доступ к нему надо продумывать отдельно.
-- Сеть. Архивирование. Составьте план уже на его работу, и проверьте наличие персонала для его обеспечения. Проверка восстановления должна производится.
-- Сеть. В транзитной зоне размещать детекторы и снифферы. Другой трафик в сеть не должен попадать. Тут тебе SEP поможет -- он позволяет контроллировать использование других внешних подклчений. И политики домена в помощь так же.
-- Сеть: Серверный сегмент. Транзитный сегмент. Пользователи. Трафик должен сканироваться сертифицированными продуктами отечественного бренда.
-- Сеть. Фронтальные маршрутизаторы должны резервироваться и быть от отечественного производителя.
-- Сеть. Внутренняя группа маршрутизаторов должна резервироваться аппаратно, и работать в стеке с агрегированными коммуаторами достаточной производительности и гибкости управления. Маршрутизаторы должны мониториться отдельно.
-- Сеть. Wireless сегмент. Внутренний доступ к Wireless зонам, должен управляться, различные SSID должны иметь различные уровни безопасности проверки входа, и разные уровни приоритета и маршрутизации.
-- Архивирование: Операции с резервированием и восстановлением должны выполняться отдельным персоналом, который должен отвечать только за эту задачу, и за задачу выполнения проверок восстановления. Вероятно, это ИБ.
-- Сеть: Пользователи. Отделы должны находится каждый в отдельной VLAN. Трафик между ними не пересекаться. Доступ к сервисному трафику регулируется маршрутизатором с IDS ,  и проверяется каким-то лицензированным продуктом.
-- Сеть. Сегмент пользователей. Выполнить аудит приложений на рабочих местах. Задача -- определить возможность перевода рабочего места на работу в режиме алтернативном работе модели OS_Windows_Box.
-- Сеть. Удалённый доступ. Кому нужен доступ по работе -- получают устройство, предоставляют информацию о статическом адресе и подключаются с него. Раз в месяц приносят в SD для проверки и настройки. Удалённый доступ без IP, выдаётся на промежуточный сервер с изолированной виртуальной машиной с RDS. Доступа с портмэппингом нет, всё шифруется, и туннелируется. Доступ к VPN предоставляется формализованно, и раз в интервал времени обнуляется.

Остальные ЦОД должны быть спроектированы с учётом примерно такох вот особенностей и с учётом реалий.