Temos uma máquina fÃsica atendendo bancos de dados e sites. Queremos contratar um consultor para essa migração planejada da máquina Windows fÃsica mais antiga para uma nova máquina virtual atualizada.
Obviamente, o contratante precisará de uma conta com privilégios para que isso aconteça. Nesse caso, eu confio neles, mas, ao mesmo tempo, e se eu não confiar neles ou não souber o suficiente sobre eles para confiar inteiramente neles? Eu estava procurando as melhores práticas quando isso acontece (você não sabe se confia no contratante). E se eles colocarem uma porta dos fundos? Ou por engano ou apenas sem saber, fazer algo que possa comprometer mais tarde a nova máquina?
Minha pergunta : Quais são as melhores práticas para preparar um plano de segurança ao contratar um contratado externo para fazer coisas em nosso site que exigem uma conta com privilégios?
Encontrei esta resposta: Prática recomendada para fornecer ao administrador do servidor acesso root (no CentOS)? mas estava visando um Linux Flavor, e possivelmente é datado. Eu gosto da sugestão de definir uma Declaração de Trabalho, que vou considerar, mas também estava procurando soluções técnicas.
Algumas dicas genéricas caso seu alvo seja mais Windows; como sua pergunta não indique qual sistema operacional você está usando.
Crie para o contratante uma conta apenas para ele. Se for um administrador local para o servidor novo e antigo, é melhor.
Se você precisar criar para ele uma conta do Active Directory, faça o LOGON da conta muito certo apenas para essas duas VMs. Você pode definir uma data de expiração também na conta.
Crie antecipadamente a nova VM para evitar ter que lhe dar o acesso à sua infra-estrutura de VM.
Qualquer conta VPN que você possa criar para ele, faça com que ele permita apenas ir às duas VMs para seu trabalho.
Contrate uma empresa ou alguém que tenha uma boa reputação. Não seja baixo nesse assunto. Uma empresa com boa reputação não gostaria de perder sua reputação por uma possÃvel violação que possa ter causado a você.