Техномечтания

May 25, 2022 18:21

Вот пара вещей, которые бы хотелось иметь в цифровом мире:

1. Есть много систем, предоставляющих "удалённый рабочий стол" - RDS, Citrix, Azure Virtual Desktop, VMware Horizon... Они все, разумеется, проверяют юзерскую личность на входе. А вот интересно, какие-нибудь из них умеют регулировать трафик, исходящий с этих удалённых десктопов - причём не на основе заранее предопределённых адресов пулов, а на основе этой самой юзерской личности? Групп, к которой эта личность относится, ролей, ей предоставленных?

То есть, скажем, зашёл член группы SQL_Admins - и на здоровье, запускай удалённо SQL Studio и подключайся к своим базам данных. Зашёл кто другой - его трафик к SQL-серверам просто не пройдёт.

В идеале хотелось бы такое иметь не на виртуальных машинах (слишком большой overhead и в техническом, и в финансовом смысле), а на чём-то вроде контейнеров - им можно присваивать личные IP-адреса. Юзер подключается к такому контейнеру, гоняет внутри свои програмки, система автоматически ассоциирует IP контейнера с identity юзера и разрешает или запрещает трафик согласно правилам, базирующихся на этой самой identity, её группам, ролям и прочим критериям.

Есть что-то такое?
( Update: есть, причём на каждой винде!)

(Ну и если б эта самая identity и всё, с ней связанное, передавалась бы на дальнейшие файерволлы по пути, так вообще восторг).

2. Фича, которую хотелось бы иметь в мессенджерах. Вот, допустим, пишет мне некто "Здравствуйте, я Вася из компании ТяпЛяп!" Было бы очень полезно, если бы мессенджер при этом:
- показывал бы мне некий сертификат, выданный каким-нибудь удостоверяющим центром и доказывающий, что это и вправду Вася из компании ТяпЛяп (вариант: выданный ТяпЛяпом и подписанный тяпляповским сертификатом, который в свою очередь подписан центром);
- делал бы это лишь удостоверившись, что мессенджер-клиент Васи доказал владение приватным ключом к сертификату. В идеале удостоверяться в этом должен мой клиент, но даже если это будет сервер - тоже неплохо.

Ещё более замечательным было б, если б на основе этого сертификата между нами устанавливался канал end-to-end encryption, но даже в мессенджерах, где никакого end-to-end по настоящему нет, цифровое доказательство личности собеседника не помешало бы. Мессенджеры на этом зарабатывать бы могли: объявив ли эту фичу платной, или выступая в роли удостоверяющего центра.

internet, security, networking, computing

Previous post Next post
Up