שירות EXCHANGE מאובטח

[lilimeshi]

שירות EXCHANGE מאובטח

לקוח שלי עובד כיום בGOOGLE APPS ורוצה להעביר את המיילים שלו למצב המאובטח ביותר שיכול להיות מטעמים נפשיים . הוא לא שקט שזה נמצא בענן כזה או אחר

הוא מוכן להשקיע כספים כדי לספק את השקט הנפשי שלו.

עצתכם לבניית מערכת? או שלא משנה מה אבנה לבד כל 365 יהיה מאובטח ברמה גבוהה יותר?

במידה ואפשר להגיע לאבטחה טובה יותר INHOUSE, אשמח לשמוע על מבנה מערכת מומלץ
לא מדובר במערכת גדולה, בסך הכל 10 משתמשים. אבל החשיבות העליונה שלו היא אבטחת המידע - זו השריטה שלו

המערכת צריכה לשרת גם מחשבים ניידים\MOBILE מחוץ למשרדים, הלקוח מבין שאם יש צורך יותקן VPN על הMOBILEים למיניהם.

תודה לעונים

 

[קולרגול ירחמיאל]

לא הבנתי. לא שקט שזה בענן? שים לו inhouse .

 

[lilimeshi]

זה בדיוק מה שאני אומר

מה הBEST PRACTICE לשים INHOUSE בצורה המאובטחת ביותר?

 

[קולרגול ירחמיאל]

אבטחה

http://technet.microsoft.com/en-us/library/bb123843(v=exchg.65).aspx


http://technet.microsoft.com/en-us/library/dd277327.aspx


תגגל securing exchange

 

[F00D Is G00D]

סתם מחשבה

סתם מחשבה.

שתי עובדות ברשותך:

רוב קליינטי הדואר שומרים עותק מקומי.

דואר אלקטרוני בין ארגונים עובר בכל מקרה באופן גלוי בין נתבים באינטרנט, בינהם גם ה isp שלך.

בהתחשב בשני אלו - לא יהיה הכי בטוח להשתמש בשרת pop3/smtp של ה isp שלך שהמידע גם ככה יעבור דרכו (הספק). ולשמור על המחשב שמידע גם ככה יישמר עליו?

זו חשיבה קצת מופשטת , אבל אם רוצים להפחית 'נקודות כשל', זו בדיוק הנקודה.

אני גם תמיד אומר שחשוב לשקול את האיומים. מה הם? סחיטה? נוזקות ראנדומאליות? מתחרים? עובדים מפוטרים? השמדת המידע? שינוי המידע? מנהל מערכת חטטן?

לדעתי לארגון בסדר גודל הזה, שרותים מבוזרים נותנים יותר הגנה ביותר פרמטרים ממה ששרות מקומי ייכול לתת.
סביר מאוד שמספר התיבות exchange שכיום נגישות לתוקפים גבוהה ממספר התיבות באופיס 365 וגוגל אפס ביחד. סתם השערה.

ליל"ט






להשתמש

 

[מיצו]

תגדיר "הכי מאובטח שיש". אם הוא מתכוון

לאבטחת המידע שבתיבות הדואר, אז אין ספק שהתקנה מקומית תהיה יותר "מאובטחת" משימוש בשירותי ענן, ולו בגלל שהכל נמצא אצלו בבית ולא באיזה דאטה סנטר אי שם בעולם ללא שליטה על מי יכול לגשת לנתונים.

אבל מהשניה שעובד שלו שולח או מקבל מייל, אין הבדל באבטחת המידע, וגם אם ישתמש ב- HTTPS כדי לאבטח את הגישה לתיבה (כנראה שמופעל ממילא), וגם אם יצפין ב- TLS את מעבר המיילים עצמם (לא פשוט לביצוע) ואת התוכן עצמו יצפין באמצעים שונים (גם לא פשוט לביצוע), עדיין מי שירצה יקח לו את המיילים בהיותם בדרך.

אם במושג "הכי מאובטח שיש" הוא מתייחס גם לשרידות וכו', אז הענן כנראה יתן לו שקט נפשי הרבה יותר גדול ממה שהוא יכול להרשות לעצמו אצלו בבית, כי על מנת להגיע לשרידות של 5 תשיעיות הוא יוציא הון תועפות, וגם אז אם יפול לו איזה גנרטור הוא עדיין יהיה מושבת.

 

[lilimeshi]

פחות מתייחס לשרידות

כלומר שרידות סבירה, לא מעבר
בכל זאת מבנה משרדים מודרני וחדר החשמל והתקשורת מקורר. לא צריך משהו מעבר לאספקת חשמל של חצי שעה-שעה בהפסקת חשמל דבר שלא קשה לייצר.

הדגש הוא על אבטחת המידע מפני גורמים חיצוניים הרוצים "לשתות" אותו

 

[xcalibur]

תראה לו את זה

שיבין איפה בדיוק המיילים שלו מאוחסנים:

https://www.google.com/maps/place/G...0x8850df17d806f847:0x66557dc5619a385d!6m1!1e1


אחר כך תן לו הצעה של 10 מליון דולר על מנת לבנות חיקוי אצלו במשרד כולל אבטחה והסמכות וכו'.
אחר כך תעשה לו אותנטיקציה כפולה על כל החשבונות ושלח אותו לשלום.

לדעתי צריך תקציב של ממשלה על מנת לאבטח את המידע שלך ברמות כאלו גבוהות. לארגון של 10 אנשים אין בכלל מקום למחשבה.

 

[lilimeshi]

מחקרי לימדו אותי כדלקמן (ותקן אותי אם טועה)

שבתקציב שפוי (אמנם רוצים מאובטח ברמה גבוהה אבל לא יוציאו שם חצי מיליון שקל - בכל זאת עשרה משתמשים) אני יכול כך :

1. WAN
2. FW חומרה (הומלץ לי על CHECKPOINT 600 שכן התוכנה שבו זה לאפליינסים הגדולים רק עם יכולת תעבורה קטנה יותר) שפתוח לעולם רק עם 443 ו25
3.שרת קטן (איזה HP310 וכדומה עם 16-32GB RAM) עם ESXI
3.VM אחד שהוא FW תוכנה TMG 2010 \ DC עם תעודת SSL UCC טובה שלוקח NIC1
4.VM שני שהוא EX2013 גם כן עם תעודה כמובן שלוקח NIC2
5.מדיניות סיסמאות קשוחה (תפוגה\אורך סיסמאות\מורכבות)

בתצורה הזאת (למיטב הבנתי) ה"פורץ" עוצר בקיר ראשון של הCHECKPOINT, קיר שני של הTMG. למיטב הבנתי גם למשתמשים אין מגע ישיר עם הEX, אלא כל התנועה היא דרך צינור הTMG. ועוד ממה שהבנתי שהוא אחד המוצרים שהכי "מדברים" עם הEX מבחינת הרגישויות השונות שלו לניסיונות חדירה כאלה ואחרים.

מה אומר כבודו? נשמע סביר לתקציבים 10-20K דולרת מבחינת יחס עלות\תועלת?