Selon la directive R9 tu peux faire des copier/coller sommaire (je pense que du texte, pas d’image etc…) entre deux machines, mais les fichiers passent forcement par un serveur de fichier. Apres la R9 dit que la version poste d’admin et vm bureautique via un serveur rebond est une solution sauf dans le cadre d’une administration d’annuaire et d’hyperviseur.
Aujourd’hui nos postes bureautiques n’ont meme pas un accès direct au proxy internet. On utilise une solution a base de XenAPP et nous avons des postes dédiés pour l’administration (aucune deviation possible par rapport au guide). C’est un guide pour avoir un SI validable par la LPM/OIV. Si c’est pas l’objectif c’est peut etre derogatoire avec ton RSSI. Pr On 29 June 2019 at 15:43:07, Thierry CHICH (thierry.ch...@ac-clermont.fr) wrote: Pour notre part, nous voudrions tenter de fonctionner à base de machines virtuelles au dessus d’un système durci. D’un côté on lancerait des machines « utilisateurs » et de l’autre des machines « admin ». Pour avoir utilisé un prototype sommaire, le gros souci, c’est de rendre possible les échanges entre les catégories de machines de manière fluide. Il n’est pas concevable de ne plus pouvoir copier des bouts de code. Il faut donc que le copier coller et la circulation de fichiers puisse se faire sans trop d’entrave. Cordialement Thierry > Le 29 juin 2019 à 08:44, professor geek <prg...@gmail.com> a écrit : > > Hello, > > Oui je suis confronté aussi a ce pb et comme tu le dis encore plus dans > notre environnement DevSecOps.. > l’ANSSI developpe un OS sécurisé qui permetrait d’avoir une machine admin > et une LAN sur le meme hardware. > la solution se base sur un GENTOO securisé, la solution et sa roadmap sont > sur GitHub : CLipOS. > aujourd’hui la solution est en Alpha. j’attends la release … mais comme > d’hab avec les services d’etats c’est long ! les devs repondent rapidement > aux questions, c’est deja ca ! > > Le poste admin c’est qu’une partie. Ne pas oublié la zone réseau dédié, etc… > > > On 28 June 2019 at 18:39:29, Thierry Del-Monte (tdelmo...@integra.fr) wrote: > > Bonjour à tous, > > L'ANSSI dans son guide sur l'administration sécurisée de SI > ( > https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf), > > préconise dans sa recommandation R9 l'utilisation d'un poste > d'administration dédié ou à multi-niveaux. > > Est-ce que l'un de vous a déjà mis en place ou rencontré ce > fonctionnement dans son entreprise ? > Je suis à la recherche d'un retour d'expérience aussi bien sur la > solution choisie que sur son exploitabilité au quotidien (la contrainte > me semble très forte pour les sysops et netops). > > Merci par avance pour votre partage > > Thierry > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
