En effet, il n'y a pas de bonnes solutions, l'administrateur va "souffir" (en comparaison a un setup moins secure selon le ref ANSSI) Dans tt les versions il y'a deux systemes 1 d'admin, 1 de bureatique. Le poste d'admin est forcement physique, le poste bureautique est soit physique soit une VM. L'acces est uniquement autorise depuis le poste d'admin vers le poste bureautique. La version la moins penible, je trouve, est un bureau distant depuis le poste d'admin vers le poste bureautique qui autorise le copier/coller, mais il faut accepter la perte de qq fonctionnalites "attendu" d'un poste bureautique (la video avec son dans le cadre de visioconf par exemple) Il faudra dans ce cas fournir un poste nomade pr la visio pr les admins en question. Dans tous les cas, il reste a traiter les problemes de teletravail ds ce contexte ainsi que la telemaintenance :)
Youssef On Mon, Jul 1, 2019 at 1:16 PM Thierry Del-Monte <tdelmo...@integra.fr> wrote: > > Bonjour, > > Merci à tous pour vos échanges et vos idées. > Comme je m'y attendais, le sujet est loin d'être simple. > > La R9-- propose l'utilisation d'un VDI pour accéder à l'internet mais le > déconseille pour administrer des Hyperviseurs et des Annuaires. > La R9- est a solution la plus sexy (utilisation de poste multi-niveaux) mais > peu de solutions sur le marché, l'ANSSI développe Clip-OS depuis 2006 mais en > 2019 toujours pas de version utilisable en production et SEDUCS en lisant le > PDF je n'ai pas compris ce que cela faisait exactement. > La R9 demande d'avoir deux PC physiques différents (là je vais perdre tous > mes ingénieurs ...) > > S'il y a des personnes de l'ANSSI sur la liste, il serait intéressant qu'ils > puissent partager dans les grandes lignes la solution mise en place chez eux. > > Thierry > > > > > Le 29/06/2019 à 17:22, Stéphane Rivière a écrit : > > Le 29/06/2019 à 16:51, Florent CARRÉ a écrit : > > Bonjour tout le monde, > > Je plussoie ton approche, y compris l'excellent saltstack. Xen a une > empreinte bien plus faible qu'un nux. Enfin, on va pas détailler, suffit > d'aller voir sur le site de Qubes ou mater leurs ML... > > Maintenant, comme tu dis, bon courage... (et n'oublions pas la "cape de > zorro" pour taper les credentials, de boucher/briquer tous les ports > pour la "femme de chambre", etc...). > > Sans compter le hardware. Un PC sans hardware certifié, il sert à quoi > l'OS ultra sécurisé ? À rester bien au chaud dans un intranet blindé. > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
