Size: a a a

DevSecOps - русскоговорящее сообщество

2019 July 16

k

kvdrt in DevSecOps - русскоговорящее сообщество
разумно:)
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
То что без IDS никак вопрос спорный)
источник

k

kvdrt in DevSecOps - русскоговорящее сообщество
все в нашем мире спорно) но игрушку то хочется. опять же в моей организации помогла найти несколько каналов утечек даже криво работая пару недель. поэтому вопроса разворачивать или нет у меня не стоит. хотя бы пока не приведу в порядок ис, а это с маленькими бюджетами дело небыстрое
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
зачем работать в компании с маленькими бюджетами?))
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
когда столько с большими)
источник

k

kvdrt in DevSecOps - русскоговорящее сообщество
качать скилл. деньги мне капают иначе :D per aspera ad astra
источник

k

kvdrt in DevSecOps - русскоговорящее сообщество
прийти и поднять из руин компанию. это же как хорошая rpg и ctf на максималках
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Пользуется кто-нибудь pritunl.com?
Я читаю доку там прям всё волшебно. И SSO, и Zero Trust, и какое-то решение для ssh бастион, и всё open source.
В чём подвох?
источник

KS

Konstantin Sverdlov in DevSecOps - русскоговорящее сообщество
Alex Akulov
Пользуется кто-нибудь pritunl.com?
Я читаю доку там прям всё волшебно. И SSO, и Zero Trust, и какое-то решение для ssh бастион, и всё open source.
В чём подвох?
например, там нет Device Check в Zero Trust. Т.е. надо самим допиливать, например, интегрируя с osquery.
потом олдфагам не понравится, т.к. putty не умеет ssh-сертификаты.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Расскажи подробнее про интеграцию, там можно самому накодать это или надо заплатить им за какой-то премиум или подписку?
источник

KS

Konstantin Sverdlov in DevSecOps - русскоговорящее сообщество
Инфа от автора презентации: Привет! Вы правы, Zero Client это просто питоновый скрипт :-( https://github.com/pritunl/pritunl-zero-client
Видимо, они только сделали часть с 2ФА и сертификатами, без проверки девайсов :( 
Но можно дописать самому интеграцию с MDM теоретически, как и в случае с Teleport и BLESS

Спасибо за уточнение, поправлю у себя в презентации.
источник

KS

Konstantin Sverdlov in DevSecOps - русскоговорящее сообщество
в детали не вникал, сам не писал.
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Мне сейчас просто VPN надо, и я не хочу заниматься всей этой шляпой с выдачей и отзывом сертификатов в OpenVPN.
Хочу по людски VPN через Google Oauth2, и эта штука вроде как умеет такое. Я прав?
источник

AA

Alex Akulov in DevSecOps - русскоговорящее сообщество
Да, давно хотел этот доклад глянуть, спасибо что напомнил)
источник

KS

Konstantin Sverdlov in DevSecOps - русскоговорящее сообщество
я классическую часть (сам VPN) от них совсем не смотрел. Но про бесплатность все-таки есть оговорки: Pritunl is free to use with optional monthly subscriptions available to purchase for additional features. The enterprise license may be used on all the servers in the cluster and does not require a individual license for each server.
источник

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Нам тоже нужно девайс ид проверка в притунл, может кто делал и может поделиться?
источник

KS

Konstantin Sverdlov in DevSecOps - русскоговорящее сообщество
и тот же SSO есть только в Enterprise
источник

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Alex Akulov
Пользуется кто-нибудь pritunl.com?
Я читаю доку там прям всё волшебно. И SSO, и Zero Trust, и какое-то решение для ssh бастион, и всё open source.
В чём подвох?
В гуглогруппах нельзя иметь пользователя в нескольких, выбирается первая попавшаяся и одна, также нельзя вложенные группы.
Поидее все можно допилить - там питон и поддержка камтомных плагинов
источник

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
Нельзя добавлять свои правила в иптаблес ещё связанные с логикой для клиентов, притунл при рестарте свои выше поставит, по хорошему тоже нужно плагином решать который выстрелит при подключении клиента например
источник

RR

Roman Rusakov in DevSecOps - русскоговорящее сообщество
В целом мне больше понравился чем openvpn access server, не знаю почему
источник