> Quanto c’è da fidarsi di queste “soluzioni” ? Resto sul vago (relativamente al prodotto) di proposito perché sono “papabili” un paio di soluzioni/prodotti. Ma al di fuori di questo (questo brand piuttosto che quest’altro) come mi fido di un eseguibile di terze parti installato su tutta la nostra rete ? > Ciao, hai da valutare in base al rischio, che e' commisurato a cosa devi proteggere.... Esempio, sono i dati PCI o PII, sono i prodotti che vuoi usare certificati e studiati per quello? E' il gestore del cloud certificato per quello? Poi in base a quello fai un'analisi sul design. Puoi creare una dedicata management Vlan, su una nuova physical o virtual interface e fare il bind del daemon/agent solo su quella interface. Personalmente non userei la frontnet o la tua management Vlan.Avere una dedicata DMZ sul firewall da cui hai un IPSEC VPN al cloud. A seconda del tipo di protocollo, potresti avere un proxy che logga e ispeziona anche l'SSL e un AV. In quel modo, in caso di incidente riconosci la sorgente e hai un gateway con log. Se metti su ELk, Splunk, puoi avere piu' controllo della soluzione e connetterlo al tuo SIEM. Ma se i dati che ti exfiltrano sono PII e PCI, quando hanno lasciato il tuo perimetro...non hai piu' controllo, quindi devi essere sicuro che 3rd parties prende responsabilita'. Se l'agent puo' fare network trace, stai attento a dove li tieni, perche' possono contenere dati sensibili e essere un modo per exfiltrare dati. my 2cents
