Utrudnienia w pracy związane z security

0

Pracuję od jakiegoś czasu dla firmy w branży finansowej i powoli zastanawiam się nad zmianami.
Zajmuję się czymś pomiędzy developmentem a devops-em i chciałbym mieć możliwość w nowej pracy swobodnego wyboru narzędzi. Jak to wygląda w waszych firmach w Krakowie? Niestety moim wyborem są raczej duże molochy (> 100 osób), więc nie chodzi mi o startupy, a nie chciałbym wpaść z deszczu pod rynnę

Jakie macie utrudnienia z powodu security w pracy - chodzi mi oczywiście o środowiska developerskie...

  • mozliwosc wyboru os (Linux, Win, etc..)
  • uzytkownik z prawami administratora (na windowsach/linux)
  • instalowanie wlasnego softu bez utrudnień (gpl/open source)
  • dostep do VM/VDI i admin na nich bez zbędnej biurokracji
  • las firewalli i blokowanie dostępów między maszynami bez ostrzeżenia
  • publikowanie kodu GPL (czy macie klauzulę w umowie że wszystkie prawa majątkowe przechodzą na pracodawcę? Co jeśli chcecie np. napisać patcha open source i wrzucić go na githuba?)
  • wymuszone updatey, które restartują wam lapka np. w środku prezentacji
  • inne (szyfrowane dyski na laptopie, dziwne procesy-ale nie antywirus-ktore zamulają i nie da się ich ubić, blokowanie pendrive-ów... itp..)
0

Nie Kraków, ale u mnie:

  • praca na powolnym VDI zamiast własnym sprzęcie - koszmar
  • brak możliwości wyboru OS, tylko Windows
  • utrudnione instalowanie własnego softu
  • dostęp do app serverów czy większe uprawnienia na bazach tylko ze specjalnego konta, plus oczywiście załatwienie uprawnień
  • jakiekolwiek załatawianie uprawnień przechodzi przez las ludzi, którzy i tak nie wiedzą kim jesteś, więc klikają approve bezmyślnie
  • brak dostępu z serwerów aplikacji do zewnętrznego świata jako default
  • brak dostępu do głównych reposytoriów paczek typu nuget, npm etc. - tylko do lokalnych (w sieci firmy) mirrorów

Praca dla zachodniego banku i to nie pierwsza z kolei, w której tak to wygląda.

0

Kraków, również bank. Podobnie jak kolega wyżej, praca na zdalnej maszynie w USA, tylko Windows, brak admina, ograniczona whitelista programów o które można składać wniosek, długi czas oczekiwania na własną wirtualkę, szyfrowane dyski, blokada zewnętrznych repozytoriów.

0
Zasiedziały Pterodaktyl napisał(a):
  • publikowanie kodu GPL (czy macie klauzulę w umowie że wszystkie prawa majątkowe przechodzą na pracodawcę? Co jeśli chcecie np. napisać patcha open source i wrzucić go na githuba?)

sprecyzuj

0

Brak pracy zdalnej, brak internetu na kompie, logowanie sie przez VPC na maszyne wirtualna, na ktorej jest odblokowane tylko kilka stron. Nie mozna nic sciagac z Internetu, wszystko albo request o zainstalowanie do helpdesku albo do sciagniecia z dysku sieciowego. I wisienka na torcie - naklejki na aparaty fotograficzne w telefonie, zeby nie robic zdjec ekranom :)

0

Ja pracuje w banku, zwolniłem się i wyglądało to tak:

  • na laptopie win bez admina z masa szpiegującego softu, nic nie zainstalujesz
  • z vpn brak dostępu do czegokolwiek więcej niż jira etc. Reszta przez do bez roota
  • brak roota gdziekolwiek
  • na serwerach domyślnie nie masz nawet wjazdu po ssh
  • segregation of duties - Dev nie ma wjazdu na produkcje, a ops nie może mieć dostępu do kodu źródłowego.
  • blokowane pełno stron, np. github
  • Man in the Middle, sprawdzają co piszesz na fejsie, podmieniają certy ssl.
  • cały ruch wchodzący i wychodzący skanowany
  • ludzie pracują na wirtualkach które sobie sami instalują
  • czasami dadzą ci admina na laptopie to możesz sobie zainstalować coś innego niż dostarczane przez it. Robią regularnie skany, mi odinstalowali vima bo sekjurity
0

Ja również pracuję w banku jako kontraktor i po kablu działa mi większość stron bankowych domenowych (git/jira [..]), które potrzebuję. Na VDI loguję się tylko sprawdzić pocztę.
Google, Facebook, Githuby wszystko poblokowane, ale od czego jest tablica routingu. ;)

Tak btw. to nie wierzę, że ktoś jest w stanie pracować na VDI. U nas to czasem ciężko tą pocztę tam odczytać tak to opornie chodzi. I co z pracą na kilku ekranach?

0
  • Windows 7,
  • super szypki sprzęt, (formalnie nie jest zły ( mam nowego lapka, poprzedni był baaardzo zły), natomiast tona poinstalowanego badziewia powoduje, że wszystko i tak kwiczy),
  • do tego stopnia, że jako że pracuje przez firmę pośrednia wymogliśmy własny hardware w banku i własne laptopy (współczujemy programistom bankowym siedzących na ich biedamaszynach, z bieda monitorami, biedaklawiaturami i biedamyszami, nam się to wydało niegodne),
  • blokowanie stron w normie - 4 programmers da się przeczytać, (ale logowania nawet nie testuje), facebook i inne nawet nie przyszły mi do głowy,
  • często nie masz uprawnień nawet żeby zobaczyć jak własny soft działa na testach (!),
  • biblioteki zewnętrzne tylko z listy (to jest niezła zagwózdka dla typowego jawowca, co wkleja ich po 150 w projekt) ( nie jest totalnie źle, podczas developmentu można używać prawie wszystkiego z maven central repo, + npm, tylko najwyżej nie zostanie wpuszczone na produkcje... :-) ),
  • oczywiście reguły na commity, review itp.,
  • oczywiście nic nie mozna spoza listy wybranego softu zainstalować,
  • ale jest intellij - w jakiejś tam wersji (który czasem się wywala bo traci połączenie z serwerem licencji),
  • praca zdalna możliwa, ale tylko na terenie kraju ( to nie Polska, kraj jest mały: pare górek, ze trzy jeziorka, więc jest to poważne ograniczenie),
  • pendrive-y i inne takie to se moge wsadzić... w oko ,

Podsumowując, gdyby nie bieda sprzęt to całą resztę uważam w zasadzie za słuszną, a nawet mogła by być bardziej restrykcyjna (!),

-I ostatnie : oczywiście, że takie rzeczy to piszemy tylko z anonimowego konta i **proszę ** o nie identyfikowanie, nawet jak widać, kto to.

0
Sierotkowy migacz do lwa napisał(a):

-I ostatnie : oczywiście, że takie rzeczy to piszemy tylko z anonimowego konta i **proszę ** o nie identyfikowanie, nawet jak widać, kto to.

ci absolwenci infy to mają jednak muski...

0

Cieszę się, że wygląda to gorzej niż obstawiałem :)

0

Pracowałem w banku w którym it było bardzo srs jesli chodzi o security do tego stopnia że gdy 1 człowiek z zespołu podłączył pendriva z dokumentacją to w ciągu 10 minut dostał telefon z it że jego konto jest już zablokowane i cofają mu wszelkie pozwolenia :D
To był jego koniec przygody w projekcie.

O adminach na lapkach czy odblokowanych portach nawet nikt nie słyszał...

0

Też kiedyś pracowałem w projekcie finansowym, robota na jakichś zdalnych VDI, praktycznie wszystko poblokowane - ale jakimś cudem udało mi się zainstalować gita zanim zablokowali, więc byłem szczęśliwy mogąc zachować podstawową higienę pracy. Żeby było śmieszniej, security było tak zaawansowane, że mieliśmy nakaz łączyć się jakimś pulpitem zdalnym VMware i oczywiście wszytko tam było poblokowane (schowek, mapowanie dysków, itp.) Ale zwykłe windowsowe RDP nie miało takich ograniczeń. :D

0

TWIększość z tego co tu opisujecie to horror story, a nie security. A jak już to robione od d**y strony.

1

Czytam ten wątek i nie mogłem się powstrzymać przed tym linkiem: http://devopsreactions.tumblr.com/post/139476901765/trying-to-identify-a-problem-without-adequate

0

Nie możecie po prostu sobie przynieść własnego tabletu z własną karta sim z internetem? Nie mówieę już o własnym laptopie.

0
nobody napisał(a):

Nie możecie po prostu sobie przynieść własnego tabletu z własną karta sim z internetem? Nie mówieę już o własnym laptopie.

Do czego? Chyba do zabawy, bo na pewno nie do pracy. Przecież dlatego jesteśmy na VDI, bo nie jesteśmy wewnątrz sieci, w której pracujemy, czyli nawet nie ma dostępu do repo.

0

Przyszła i mi praca na VDI (zdalny Windows) pracować. Firma z USA finansowa. Praktycznie wszystko zablokowane, jak rozmawiam z kimś ze Stanow przez to VDI to są lagi i zakłócenia. Jeszcze za bardzo nie mam pojęcia jak skonfigurować środowisko.

Ogólnie czuje sie przytłoczony bo pracuje już 2 tygodnie a nawet nie skonfigurowałem środowiska - tak to wolno wszystko działa. Wszystko mega wolno i czuje lekki chaos.

1 użytkowników online, w tym zalogowanych: 0, gości: 1