Задача:
организовать безопасный обмен файлами между пользователями в одной сети, но с учетом того, что у этих пользователей могут быть разные права на доступ к коммерческой тайне и один сотрудник может видеть только кусочек данных, а другой видит все.Кейс:
Есть общие папки по smb и в них лежит инфа, которая может быть доступна всем. Периодически возникает потребность передать кому-то файл, который который представляет коммерч тайну и который получатель сам не может получить/сделать. Другой человек с более высоким доступом к ком тайне делает этот файл и хочет передать его. Всякие флешки, общие папки - не удобно или не безопасно.Ограничения:
- файлы должны быть доступны по ссылке, чтобы избежать возможности скачки/просмотра их другими пользователями, у которых нет разрешения на доступ к такой инфе(по политике безопасности, а не права на доступ к файлам)
- по возможности, ссылка должна быть адресована конкретному сотруднику
- ссылки должны автоматически аннулироваться со временем
- файлы не должны храниться в общей куче, чтобы избежать просмотра/скачки другими пользователями
- должен вестись лог доступа к таким файламЧто можно использовать для этого?
PS: пока идея - некоторый сервис, в который можно заливать файлы и получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что, кто и кому.
>[оверквотинг удален]
> - по возможности, ссылка должна быть адресована конкретному сотруднику
> - ссылки должны автоматически аннулироваться со временем
> - файлы не должны храниться в общей куче, чтобы избежать просмотра/скачки
> другими пользователями
> - должен вестись лог доступа к таким файлам
> Что можно использовать для этого?
> PS: пока идея - некоторый сервис, в который можно заливать файлы и
> получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка
> удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что,
> кто и кому.а харды пользователей ты уже шифруешь или нет?
Вайфай тоже выпилил или ещё нет?
Прямо сейчас по СТС идет какая-то часть "Миссия невыполнима".
"Красный портфель" - тебе подойдет лучше всего.
Что вы как маленькие?Сотрудник А. с правами доступа к Коммерческой Тайне пишет заявление в Службу Безопастности с обоснованием необходимости предоставления доступа к Коммерческой Тайне сотруднику Б.
После того как заявление было завизировано Начальником Службы Безопастности и Генеральным Директором
пользователь А. распечатывает документ на бланках с соответсвующим грифом секретности и помещает документ содержащий Коммерческую Тайну в папку цвет которой соответсвуют уровню секретности документа.Также распечатывается документ с правилами обращения информацией содержащей Коммерческую Тайну и перечислением анальных кар вслучае нарушения оных правил в 3х экземплярах.
После подписания сотрудником Б. соответсвующего Документа Об Анальных Карах всё заносится в соответсвующий журнал находящийся в ведении Службы Безопстности и подписывается сотрудниками А. Б. и сотрудником Службы Безопастности.
Из доступного в опенсорсе - ближе всего Nextcloud. Там есть механизмы шаринга файлов на юзера и на группу юзеров. Вы шарите - у юзера в его файловой иерархии файл "появляется". Можно отозвать и файл исчезнет. Срок действия есть. По ссылке там тоже есть, но доступ анонимный. Аудита из коробки нет толкового. Даже не думайте, что сами сможете что-то в нем допиливать - не потянете. Подойдет как есть - берите. Нет - нет.Более хардкорное решение - minio. Ссылки на скачивание создавать можно, политики доступа и идентити менеджмент там тоже есть.
https://min.io/docs/minio/linux/reference/minio-mc/mc-share-...
https://min.io/docs/minio/linux/administration/identity-acce...
https://min.io/docs/minio/linux/administration/identity-acce...
Совместимость по апи с S3 как приятный бонус - клиенты, fuse. Высокая производительность.
>[оверквотинг удален]
> анонимный. Аудита из коробки нет толкового. Даже не думайте, что сами
> сможете что-то в нем допиливать - не потянете. Подойдет как есть
> - берите. Нет - нет.
> Более хардкорное решение - minio. Ссылки на скачивание создавать можно, политики доступа
> и идентити менеджмент там тоже есть.
> https://min.io/docs/minio/linux/reference/minio-mc/mc-share-...
> https://min.io/docs/minio/linux/administration/identity-acce...
> https://min.io/docs/minio/linux/administration/identity-acce...
> Совместимость по апи с S3 как приятный бонус - клиенты, fuse. Высокая
> производительность.Спасибо, приглядывался уже к нему
>[оверквотинг удален]
> - по возможности, ссылка должна быть адресована конкретному сотруднику
> - ссылки должны автоматически аннулироваться со временем
> - файлы не должны храниться в общей куче, чтобы избежать просмотра/скачки
> другими пользователями
> - должен вестись лог доступа к таким файлам
> Что можно использовать для этого?
> PS: пока идея - некоторый сервис, в который можно заливать файлы и
> получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка
> удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что,
> кто и кому.Почитайте https://wiki.astralinux.ru - особенно на предмет мандатного доступа. Они там даже на гос.уровне сертификацию прошли и на академическом уровне доказали защищенность своей разработки. Там (в вике) много на эту тему интересного. Может, натолкнёт на дельные мысли. Может, вам, вообще, сама астра подойдёт...
>[оверквотинг удален]
>> - должен вестись лог доступа к таким файлам
>> Что можно использовать для этого?
>> PS: пока идея - некоторый сервис, в который можно заливать файлы и
>> получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка
>> удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что,
>> кто и кому.
> Почитайте https://wiki.astralinux.ru - особенно на предмет мандатного доступа. Они там
> даже на гос.уровне сертификацию прошли и на академическом уровне доказали защищенность
> своей разработки. Там (в вике) много на эту тему интересного. Может,
> натолкнёт на дельные мысли. Может, вам, вообще, сама астра подойдёт...Спасибо, посмотрю.
>[оверквотинг удален]
>> Что можно использовать для этого?
>> PS: пока идея - некоторый сервис, в который можно заливать файлы и
>> получать ссылку, ссылку кидаем в мессенджер, после получения файла получателем, ссылка
>> удаляется, файл остается, логи пишутся, чтобы потом можно было посмотреть что,
>> кто и кому.
> Почитайте https://wiki.astralinux.ru - особенно на предмет мандатного доступа. Они там
> даже на гос.уровне сертификацию прошли и на академическом уровне доказали защищенность
> своей разработки. Там (в вике) много на эту тему интересного. Может,
> натолкнёт на дельные мысли. Может, вам, вообще, сама астра подойдёт...
>Они там даже на гос.уровне сертификацию прошлитоварищ майор всегда прав