Takže mi tahle myšlenka přijde trochu jako zamykání branky, u které není plot
Souhlas.
Jsou sítě, kde se omezuje provoz oboustraně, vyjmenovává se každá jednotlivá služba apod. Většinou to vypadá tak, jak jsem psal. Jsou povolené všechny služby, které na serveru běží a žádná jiná se na server stejně nedostane. Ale tak ok. Jsou i sítě, kdy komunikace (pouze http) dovnitř jde jen přes reverzní proxy a komunikace ven přes autentizaci na normální proxy. Pokud jsou na ostatních služby vnitřní servery, tak je do taky ještě docela ok, hlavně když to není tajná transparentní proxy. A pak když tam chcete pracovat, tak vám správce dá tajně přístup na "zadní vrátka" a dostanete se všude (i takový už jsem dostal). Výsledkem je extrémně drahé řešení, které, aby se tam dalo pracovat, tak tam někdo udělá díru. Jinak totiž pracovat nejde. Takže výsledkem je stav, na který je snad i nějaký audit a správce pro vlastní práci tam má někde soukromou VPN.
Teď pracujeme na projektu pro jeden z největších podniků v ČR. Všechno musí schvalovat bezpečnostní oddělení, všechno musí projít přes tamní správce sítě, vše je na příkaz a povolení od vedení a vše je pouze dočasné. Adresy DNS resolverů jsem dostal "už" po 14 dnech (forward před 16 lidí) a SMTP relay nastavovali bezmála měsíc. Jako dobře, možná že to je bezpečné, ale z tohoto způsobu práce je jasné, že tam nikdo nemá celkový přehled o celé síti (možná je to tak schválně). Povolují a zakazují se jen jednotlivé schválené služby a asi by šlo si nechat "nezávisle na sobě" povolit takové kombinace přístupů, že by z toho byla díra jak vrata do dvora. Výsledek je ale extrémně pomalé nasazení produktu, místo dvou dnů je to již na 3 měsíce. Na druhou stranu, je kompletně dokumentován každý krok a to je rozhodně plus. Ale nestěžuji si, na rozdíl od ostatních podniků, tady ti lidé dobře vědí co dělají a mají přehled o technologiích i mimo svůj obor. Jen by to chtělo větší systémovou flexibilitu.