Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Enterprise Cryptomator

25-05-2020, 18:12 door Pandit, 11 reacties
Hallo allemaal.

Op mijn werk is een afdeling die met vertrouwelijke data omgaat en daarom een eigen infrastructuur beheerd. Daar willen ze vanaf en overstappen op generieke infra met de garantie dat zij de enigen zijn die bij de data kunnen. Mijn eerste advies was de inzet van Cryptomator. https://cryptomator.org. Helaas kwamen ze met logische additionele eisen zoals auditing, usercontrol , ldap en integratie met PKI etc, dus enterprise functionaliteiten. Helaas voldoet Cryptomator niet aan deze eisen. Er is wel een Cryptomator server, maar zie daar weinig ontwikkelingen in en werkt alleen via een Docker container. Ik zou dus naar een enterprise product die deze functionele eisen kan inwilligen. Iemand een suggestie?
Reacties (11)
25-05-2020, 22:22 door karma4
Wat is het budget?
Hoeveel fte mogen er in vast dienstverband mee bezig zijn?
26-05-2020, 08:51 door Pandit
Door karma4: Wat is het budget?
Hoeveel fte mogen er in vast dienstverband mee bezig zijn?
mag best wat kosten , gaat over gevoelige data, momenteel een man of 10, maar wel willen dit als een dienst aanbieden dus er moet een schaalbaar product zijn.
26-05-2020, 09:07 door Anoniem
Security Officer hier:
Hoe meer security-termen je in een omgeving gooit, hoe veiliger deze lijkt.

Generiek infra betekent dat een ander dan jijzelf restores van backups kan doen, of clones van je VM's maakt, en bij je data kan, tenzij je die crypt op een slimme manier, en een veilige reguliere data-toegang hebt.

ldap/pki/auditing.., leuk om zeker te weten dat je op de goede plek komt, en alleen jij, maar check goed waartegen je je beveiligt voor je beveiliging toepast.
in een clone kan een infra beheerder doen wat hij wil,en helpt auditing niet.
26-05-2020, 09:07 door SecOff - Bijgewerkt: 26-05-2020, 09:08
Is EFS geen optie? Je kunt daarmee data ook goed afschermen voor beheerders en je gebruikt dan de standaard AD accounts en fileservers. Wellicht geen "military grade" maar wellicht wel genoeg.
26-05-2020, 09:19 door Anoniem
Vormetric kon dit een aantal jaar geleden al verzorgen. Ik weet niet of ze dat nu nog kunnen nu ze onderdeel van Thales zijn geworden. Indertijd was het een prachtige maar dure tool.
26-05-2020, 09:34 door Anoniem
Door Pandit: Hallo allemaal.
Op mijn werk is een afdeling die met vertrouwelijke data omgaat en daarom een eigen infrastructuur beheerd. Daar willen ze vanaf en overstappen op generieke infra met de garantie dat zij de enigen zijn die bij de data kunnen. Mijn eerste advies was de inzet van Cryptomator. https://cryptomator.org.
Ziet er maar uit als een hele vage tool, die je niet eens in een Enterprise zou willen gebruiken.

Als dit je eerste advies zou zijn, ben jij dan de juiste man om voor deze vertrouwenlijke informatie een oplossing te bedenken?

Helaas kwamen ze met logische additionele eisen zoals auditing, usercontrol , ldap en integratie met PKI etc, dus enterprise functionaliteiten.
Hele basis requirements. Blijkbaar begrijpt de afdeling (Enterprise IT) een stuk beter.

Helaas voldoet Cryptomator niet aan deze eisen. Er is wel een Cryptomator server, maar zie daar weinig ontwikkelingen in en werkt alleen via een Docker container.
Cryptomator heeft ook een hele andere opzet. Het is duidelijk gemaakt voor prive gebruik en niet iets van shared/centraal
beheerd.

Ik zou dus naar een enterprise product die deze functionele eisen kan inwilligen. Iemand een suggestie?
Ik heb hier in het verleden al eens onderzoek naar gedaan. Mede omdat hier al Sophos SafeGuard draaide voor disk encryptie en USB encryptie.
Sophos SafeGuard Encryption for File Shares kan dit allemaal, inclusief de basic requirements die je even noemde.
Ik kan alleen niet specifief meer dit onderdeel vinden op de website. Misschien is het nu een onderdeel van het totaal product geworden.

Alternatief: Mcafee File & Removable Media Protection
https://www.mcafee.com/enterprise/en-us/products/technologies/file-removable-media-protection.html
26-05-2020, 09:35 door Anoniem
Door SecOff: Is EFS geen optie? Je kunt daarmee data ook goed afschermen voor beheerders en je gebruikt dan de standaard AD accounts en fileservers. Wellicht geen "military grade" maar wellicht wel genoeg.
EFS is voornamelijk userbased on dus niet voor groeps data te gebruiken. Is ook een drama onderdeel van Windows.
26-05-2020, 09:49 door karma4
Door Pandit: mag best wat kosten , gaat over gevoelige data, momenteel een man of 10, maar wel willen dit als een dienst aanbieden dus er moet een schaalbaar product zijn.

Kijk naar een document management systeem als het om teksten notulen gaat (ongestructureerde data). Zoek op DMS
De uitdaging blijft dat het verwijderen van persoonsgegevens menselijk handwerk blijft als daarvan wat openbaar gemaakt moet kunnen worden. Het nadenken wikken en wegen valt niet te automatiseren al zijn er wel tools die dat makkelijker maken.

Gaat het om gestructureerde data, zeg maar een database, doe een analyse en een globaal dataontwerp van de gegevens.
Met het idee om het 1-1 om te zetten enkel kijkend naar de techniek zijn al velen nat gegaan.
Ze stellen de vraag niet voor niets. Klein begonnen en nu het duidelijk is hoe belangrijk het is, is het meest logische.
Dan is het ook tijd de nu genoemde pijnpunten goed te doorgronden. De meeste DBMS kunnen hashen data / tabellen isoleren met autorisatie in SSO is vrijwel standaard mogelijk.

Er zijn Cloud/ SAAS varianten, je hebt veel uit te zoeken.
26-05-2020, 11:03 door SecOff - Bijgewerkt: 26-05-2020, 11:16
Door Anoniem:
Door SecOff: Is EFS geen optie? Je kunt daarmee data ook goed afschermen voor beheerders en je gebruikt dan de standaard AD accounts en fileservers. Wellicht geen "military grade" maar wellicht wel genoeg.
EFS is voornamelijk userbased on dus niet voor groeps data te gebruiken. Is ook een drama onderdeel van Windows.
Je kunt meerdere gebruikers toevoegen aan één EFS share. Het gaat maar om 10 gebruikers, die kun je nog best op gebruikersniveau toevoegen.
26-05-2020, 11:26 door Anoniem
Kijk nou maar eerst eens bij Vormetric. Dat doet precies wat je wilt, inclusief auditing en dergelijke. Volledige RBAC. Encrypt alles en geeft alleen vrij waar jij krachtens de RBAC regels bij mag. Werd door een bank in Luxenmburg gebruikt om hun infra in een publieke cloud te plaatsen en toch veilig te blijven.
26-05-2020, 15:53 door Pandit
Bedankt voor alle reacties ik ga hiermee aan de slag. aan EFS hebben we gedacht maar zaten haken en ogen aan , ook aan een DMS.

Vormetric klinkt goed, Auditing RBAC. mooi. We zijn al een vaste klant bij Thales voor onze cryptoboxen. Ik zie wat filmpjes op YT die ik ga bekijken. Ik kan ook onze accountmanager bij Thales benaderen, super allemaal ik kan weer verder

Groeten Pandit
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.