Blokuj dostęp pracowników do chmury publicznej

29

Po pierwsze, pozwól mi stwierdzić, że to nie jest mój pomysł i nie chcę dyskutować, czy takie działanie jest uzasadnione.

Jednak czy dla firmy istnieje sposób, aby uniemożliwić pracownikom dostęp do publicznych usług chmurowych? W szczególności nie powinni mieć możliwości przesyłania plików do żadnego miejsca w sieci.

Blokowanie HTTPS może być pierwszym, prostym, ale bardzo radykalnym rozwiązaniem. Użycie czarnej listy adresów IP również nie wystarczy. Prawdopodobnie potrzebne jest jakieś oprogramowanie do filtrowania ruchu na poziomie zawartości. Pomocny może być serwer proxy, który może filtrować ruch HTTPS.

Tezy to moje dotychczasowe myśli. Co myślisz? Jakieś pomysły?

security firewall cloud marsze
źródło
2
Jeden z naszych klientów (robimy dla nich inne rzeczy) tuneluje cały ruch przez serwer proxy, który jest obserwowany przez bluecoat.com . Wiele witryn (przechowywanie plików, gry, hackowanie, media ...) jest zablokowanych. Naprawdę nienawidzę tego ...
Reeno
45
Rozumiem, dlaczego mówisz, że nie chcesz o tym dyskutować, ale to przesuwa się nad jedną z największych części opisu dobrego sysadmina: mówienie prawdy władzy. Czasami pomysł jest na pierwszy rzut oka głupi; innym razem nie jest to zły pomysł, ale jest to pomysł społeczny / biznesowy i nie najlepiej nadaje się do rozwiązania technicznego. W obu przypadkach jedyną prawidłową rzeczą dla administratora systemu jest odwrócenie się i powiedzenie „ nie ”.
MadHatter obsługuje Monikę
4
@MadHatter Mimo tej wspólnej intuicji staram się przynajmniej przedstawić to, co byłoby technicznie możliwe. Poza tym zgadzam się.
marsze
8
Czy nie do tego służą zasady zarządzania i dopuszczalnego użytkowania?
user9517 obsługuje GoFundMonica
6
możliwe: ich komputery nigdy nie są podłączone do Internetu, nie mają dostępu do żadnej kamery (oczywiście telefon komórkowy) ani urządzenia nagrywającego (takiego jak długopis) w biurze, w biurze, które nie ma okna, które można otworzyć lub przejrzeć. Ponadto użytkownicy muszą być w pełni przeszukani i wymazani za każdym razem, gdy opuszczają biuro, w przeciwnym razie mogą zapamiętać coś i umieścić go w Internecie później!
njzk2

Odpowiedzi:

71

Zasadniczo masz tutaj trzy opcje.

1. Odłącz swoje biuro / użytkowników od Internetu

  • Jeśli nie mogą dostać się do „chmury publicznej”, nie mogą niczego do niej przesłać.

2. Zbuduj czarną listę określonych usług, o które martwisz się dostępem użytkowników.

  • Będzie to absolutnie ogromne, jeśli ma być nawet zdalnie skuteczne.
    • Zaawansowani technicznie użytkownicy zawsze będą w stanie znaleźć sposób na obejście tego problemu - mogę połączyć się z moim komputerem z dowolnego miejsca na świecie za pomocą połączenia internetowego, więc ... powodzenia, na przykład blokując mnie.

3. Zrób coś bardziej rozsądnego / poznaj granice technologii.

  • To nie jest twój pomysł, ale ogólnie, jeśli zapewnisz kierownictwu pułapki i koszty wdrożenia takiego rozwiązania, będą bardziej otwarci na lepsze podejścia.

    • Czasami jest to kwestia zgodności lub „tylko na pozory” i są zadowoleni z blokowania najpopularniejszych usług
    • Czasami naprawdę nie rozumieją, jak szalona jest ich prośba, i musisz im powiedzieć w sposób zrozumiały.
      • Miałem kiedyś klienta, kiedy pracowałem dla dostawcy bezpieczeństwa komputerowego, który chciał, abyśmy zapewnili sposób, aby powstrzymać pracowników przed ujawnieniem poufnych informacji za pośrednictwem naszego agenta AV. Wyjąłem smartfon, zrobiłem zdjęcie ekranu i zapytałem, jak mógłby temu zapobiec, a nawet zapisać informacje na kartce papieru.
      • Skorzystaj z wiadomości i ostatnich wydarzeń w swoim wyjaśnieniu - jeśli armia nie może powstrzymać Manninga, a NSA nie powstrzyma Snowdena, co sprawia, że ​​myślisz, że możemy to zrobić i ile pieniędzy, jak myślisz, będzie kosztować?
Beznadziejny
źródło
11
Dobra odpowiedź. Żądanie naprawdę nie może być rozpatrzone poza faktem 2a - przy użyciu BIAŁEJ LISTY. A potem zatrudnianie ludzi do zarządzania;) Ponieważ człowieku, będzie to dużo pracy. Prawdopodobnie mniej niż czarna lista. I nadal nic nie osiągam (fajny pomysł ze smartfonem). Surrealistyczna prośba.
TomTom
1
@TomTom Tak, myślałem o białej liście, ale wszędzie, gdzie kiedykolwiek widziałem, biała lista tych części Internetu, do których chcą uzyskać dostęp, jest znacznie większa niż czarna lista usług, których irracjonalnie boją się / nie chcą pracowników dostęp.
HopelessN00b
1
Myślę, że to zależy. Na przykład w mojej firmie biała lista może być po prostu 300 pozycji. Wymagane dla biznesu. Czarna lista rozpocznie obsługę wszystkiego. Co więcej, biała lista, którą wygrywasz (zawsze obowiązuje, zaczyna się od 0 wpisów) - czarnej listy, której nawet nie wiesz od czego zacząć. Ale ogólnie są to daremne próby.
TomTom
3
IMHO, zablokowanie 10 najbardziej oczywistych stron prawdopodobnie osiągnę 95% tego, czego szuka zarządzanie. Nikt nie przejmuje się kilkoma kujonami, którzy będą tunelować wokół bloku.
Steve Bennett
3
@SteveBennett Chociaż jest to prawdopodobnie prawda, nie jest bezpiecznie zakładać, że kierownictwo nie dba o 5% i / lub ludzi, którzy mogą i będą obchodzić system. Jeśli zasoby techniczne nie poinformują kierownictwa o ograniczeniach systemu, będą to zasoby techniczne, których głowy przewrócą się, gdy ktoś prześle całą własność IP firmy do BitTorrent (lub jakikolwiek incydent zwróci uwagę tej kwestii na zarządzanie).
HopelessN00b
30

Oczywiście nie ma możliwości całkowitego jej zablokowania, chyba że sieć korporacyjna zostanie odłączona od Internetu.

Jeśli naprawdę chcesz czegoś, co powinno działać przez większość czasu, a jednocześnie być w większości transparentne, musisz głęboko wąchać pakiety . Skonfiguruj serwer proxy SSL / TLS typu man-in-the-middle, a także serwer proxy do nieszyfrowanej komunikacji i zablokuj cały ruch, który nie przechodzi przez jeden z nich.

  • Blokuj żądania HTTP PUT
  • Blokuj wszystkie żądania HTTP POST, w których typ treści nie jest aplikacją / x-www-form-urlencoded lub multipart / form-data
  • W przypadku żądań HTTP POST typu multipart / form-data usuń pola z rozmieszczeniem zawartości „pliku” (ale przepuść inne pola).
  • Blokuj ruch FTP, BitTorrent i SMTP
  • Blokuj cały ruch do głównych usług poczty internetowej i głównych publicznych witryn do przechowywania plików.

Jak widać, jest to ogromne i bolesne przedsięwzięcie. Jest również daleki od nienaruszalności : myślę o kilku obejściach, nawet gdy to piszę, z których niektórych nie da się rozwiązać bez zasadniczego zerwania połączeń internetowych użytkowników, i prawdopodobnie pojawią się komentarze pokazujące wiele innych, których nie zrobiłem myśleć o. Ale powinien przepuścić większość ruchu, jednocześnie odfiltrowując najprostsze sposoby na wyeliminowanie przesyłania plików.

Najważniejsze jest to, że jest to więcej kłopotów niż jest warte.

Najlepszą odpowiedzią byłoby podjęcie pewnego rodzaju negocjacji ze swoimi szefami: dowiedz się, czego naprawdę chcą (prawdopodobnie ochrony tajemnic handlowych lub zapobiegania odpowiedzialności), i wskaż, dlaczego te niewykonalne środki technologiczne nie zapewnią im tego, czego chcą. Następnie możesz wypracować rozwiązania ich problemów, które nie wymagają niewykonalnych środków technologicznych.

Nie martw się o ideologię w tych dyskusjach: wszystko, co musisz zrobić, to skupić się na tym, co zadziała, a co nie . Znajdziesz tam wszystkie argumenty, których potrzebujesz, i chociaż bez wątpienia będzie to frustrować zarówno ciebie, jak i twoich szefów, unikasz wydawania przeciwko nim ocen wartości (co może być zasłużone, ale spowoduje tylko załamanie rozmów, a to jest złe ).

The Spooniest
źródło
4
+1 za podanie użytecznych sugestii dotyczących wdrożenia, a także za przedstawienie opinii na ten temat z szerszej perspektywy!
marsze
26

Co powiedział HopelessN00b. Chciałem tylko dodać, że:

Mam koleżankę z pracy w agencji rządowej, w której nie wolno jej zabierać do biura telefonu komórkowego z aparatem. Zwykle mówi: „Nie wolno mi mieć telefonu komórkowego z aparatem”, ponieważ… no cóż. Jeśli nie może zabrać ze sobą swojej celi, po co ją mieć? Ma problem ze znalezieniem telefonów komórkowych, które nie mają aparatów.

Pracowałem dla innych miejsc o wysokim poziomie bezpieczeństwa, które „rozwiązałyby” ten problem za pomocą faszyzmu administracyjnego :

  • Oficjalna zasada, że ​​dostęp do twojego osobistego adresu e-mail ze stacji roboczej jest przestępstwem zwalniającym.
  • Oficjalna zasada, że ​​dostęp do usługi w chmurze ze stacji roboczej jest przestępstwem zwalniającym.
  • Oficjalna polityka polegająca na podłączeniu pendrive'a, iPoda lub telefonu komórkowego do stacji roboczej jest przestępstwem zwalniającym.
  • Oficjalna polityka, że ​​dostęp do mediów społecznościowych ze stacji roboczej jest przestępstwem zwalniającym.
  • Oficjalna polityka, zgodnie z którą instalowanie nieautoryzowanego oprogramowania na stacji roboczej jest przestępstwem zwalniającym.
  • Oficjalna zasada, że ​​dostęp do osobistej bankowości internetowej ze stacji roboczej jest przestępstwem zwalniającym.
  • Epicka korporacyjna zapora sieciowa / serwer proxy, która blokuje wiele / większość tych witryn. Na przykład każda próba dostępu do facebook.com powoduje wyświetlenie ekranu „Ta witryna jest zablokowana przez ETRM”. Od czasu do czasu blokowali również takie elementy, jak Przepełnienie stosu, jako „hakowanie”.
  • Niektóre „przestępstwa” zasługują na wiadomość e-mail wysłaną do całego zespołu z informacją, że uzyskałeś dostęp do nieautoryzowanej strony (w przeciwieństwie do strzelania… tym razem). („Katherine Villyard uzyskała dostęp do http://icanhas.cheezburger.com/ o 15:21 !”)
  • Zmuszanie wszystkich nowych pracowników do wzięcia udziału w zajęciach z „polityki bezpieczeństwa” wyjaśniających te zasady oraz zmuszanie ludzi do regularnych kursów odświeżających te zasady. A następnie weź i zdaj quiz na ich temat.

Z mojego doświadczenia wynika, że ​​miejsca, które opierają się na administracyjnym faszyzmie, podejmują jedynie pobieżne próby wykonania tych zasad za pomocą środków technicznych. Mówią na przykład, że zwolnią cię, jeśli podłączysz pendrive, ale nie wyłączą USB. Blokują Facebooka przez http, ale nie przez https. I, jak zauważył HopelessN00b, doświadczeni użytkownicy wiedzą i kpią z tego.

Katherine Villyard
źródło
2
Istnieją rozwiązania techniczne, na których możesz polegać w celu wyłączenia urządzeń USB (każdy agent AV, który widziałem od lat, może to zrobić dość skutecznie) lub zablokować dostęp do [niektórych] dobrze zdefiniowanych kategorii stron internetowych. Problem dla PO polega na tym, że „chmura publiczna” / „miejsca, w których użytkownicy mogą przesyłać dane”, nie jest ściśle zdefiniowaną kategorią (i nie będzie wkrótce), więc nie może nawet zaproponować filtru internetowego jako rozwiązania problem ... będzie musiał stworzyć niestandardową czarną listę lub zarząd konwój, aby zobaczyć powód.
HopelessN00b
Wiem i zgadzam się. Z pewnością nie przedstawiłem tej listy, aby poprzeć ją jako sposób działania. :)
Katherine Villyard
9
Technicznie chmury publiczne obejmują każdego hostera, ponieważ wypożyczenie strony internetowej i umieszczenie tam pliku do przesłania jest banalnie proste. Ojej. Problem nierozwiązywalny.
TomTom
Przez wiele lat pracownikom w miejscu pracy mojego ojca nie wolno było nosić w biurze telefonów z aparatem fotograficznym. W końcu firma przeszła na politykę zezwalającą na telefony firmowe (wówczas jeżyny, teraz telefony), ale nie telefony osobiste.
Brian S
Wiele smartfonów wykorzystuje modułowy aparat, który można usunąć przy niewielkim wysiłku. Nie jest to coś, co chciałbyś robić wielokrotnie, ponieważ może to wymagać dziwnego oprzyrządowania, aby było bezpieczne, ale pozwoliłoby na korzystanie z nowoczesnego, przydatnego telefonu w ograniczonym obszarze.
Pekka,
19

W rzeczywistości istnieje proste rozwiązanie, pod warunkiem, że nie oczekujesz, że Twoja sieć wewnętrzna będzie jednocześnie narażona na działanie Internetu.

Twoje komputery muszą być całkowicie zablokowane przed dostępem do Internetu. Wszystkie porty USB zablokowane itp.

Aby uzyskać dostęp do Internetu, ludzie muszą albo użyć innego komputera - podłączonego do innej sieci - lub połączyć się przez RDP z serwerem terminali, który ma dostęp do Internetu. Wyłączasz schowek przez RDP i nie udostępniasz systemu Windows. W ten sposób użytkownicy nie mogą kopiować plików na serwery terminali internetowych, a tym samym nie mogą wysyłać plików.

To pozostawia e-mail ... to twoja największa luka w tym, jeśli pozwalasz na e-maile na wewnętrznych komputerach.

ETL
źródło
3
Brzmi nieciekawie, ale niestety taka jest prawda. Prawie jedyny sposób na rozwiązanie tego.
TomTom
2
Mamy już to rozwiązanie (tylko Internet i poczta e-mail za pośrednictwem serwera terminali) dla części naszej firmy. Jednak dla twórców oprogramowania brak dostępu do Internetu byłby oczywiście bardzo kłopotliwy ...
marsze
@marsze - Widziałem to rozwiązane za pomocą białej listy proxy, gdzie kilka rzeczy, które programiści potrzebują bezpośrednio na swoim urządzeniu (np. repozytorium Maven), jest dozwolone przez proxy.
ETL,
1
To pozostawia długopis i papier lub po prostu pamięć.
njzk2
1
@marsze Pracowałem w firmie z wydzielonymi sieciami, która zrobiła to, dając programistom dwie maszyny. Jeden z nich jest przeznaczony do wykonywania prac programistycznych, podłączony do sieci dostępnej tylko dla wewnętrznego, a drugi (cienki klient lub stary klaster) podłączony do sieci z dostępem do Internetu. Skuteczne, choć uproszczone i droższe rozwiązanie.
HopelessN00b
5

Znasz ten stary żart, że jeśli ty i halfling goni cię gniewny smok, nie musisz biec szybciej niż smok, musisz być szybszy niż halfling? Zakładając, że nie są złośliwi użytkownicy *, nie musisz ograniczać ich dostępu do chmury publicznej, wystarczy, aby użyteczność chmury publicznej była niższa niż użyteczność jakiegokolwiek rozwiązania dla przedsiębiorstw, które masz do dostępu do danych bez ograniczeń biurkowych . Właściwie zaimplementowane, to znacznie zmniejszy ryzyko nie-złośliwych wycieków i jest wykonalne za ułamek kosztów.

W większości przypadków wystarczy zwykła czarna lista. Umieść na nim dysk Google, Dropbox i chmurę Apple. Blokuj także ruch do Amazon AWS - większość tych gorących startupów, które budują kolejną usługę w chmurze, nie buduje własnego centrum danych. Właśnie zmniejszyłeś liczbę pracowników, którzy wiedzą, jak dostać się do chmury publicznej z 90% do 15% (bardzo przybliżone liczby, będą się różnić w zależności od branży). Użyj odpowiedniego komunikatu o błędzie, aby wyjaśnić, dlaczego chmury publiczne są zabronione, co zmniejszy ich poczucie bezmyślnej cenzury (niestety użytkownicy zawsze nie będą skłonni zrozumieć).

Pozostałe 15% nadal może dotrzeć do dostawców spoza czarnej listy, ale prawdopodobnie nie będą się tym zajmować. Dysk Google i spółka zależna podlegają silnym pozytywnym efektom sieciowym (ekonomicznym, a nie technicznym). Każdy korzysta z tych samych 2-3 usług, więc są one wbudowane wszędzie. Użytkownicy budują wygodne, usprawnione przepływy pracy, które obejmują te usługi. Jeśli alternatywnego dostawcy chmury nie można zintegrować z takim przepływem pracy, użytkownicy nie mają motywacji do korzystania z niego. Mam nadzieję, że masz rozwiązanie korporacyjne do najbardziej podstawowego użycia chmury, takie jak przechowywanie plików w centralnym miejscu, dostępnym z fizycznej lokalizacji poza kampusem (z VPN, jeśli potrzebne są zabezpieczenia).

Dodaj do tego rozwiązania sporo pomiarów i analiz. (Jest to zawsze potrzebne w przypadku użytkowników). Pobierz próbki ruchu, szczególnie jeśli wykazują podejrzane wzorce (ruch w górę w seriach wystarczająco dużych, aby przesłać dokumenty skierowane do tej samej domeny). Rzuć okiem na zidentyfikowane podejrzane domeny, a jeśli okaże się, że jest to dostawca chmury, dowiedz się, dlaczegoużytkownicy go używają, rozmawiają z kierownictwem o zapewnieniu alternatywy o równej użyteczności, edukują winnego użytkownika na temat alternatywy. Byłoby wspaniale, gdyby twoja kultura korporacyjna pozwoliła ci delikatnie wyedukować złapanych użytkowników bez zastosowania środków dyscyplinarnych za pierwszym razem - wtedy nie będą oni starali się ukryć przed tobą szczególnie mocno, a będziesz w stanie łatwo wychwycić odchylenia i poradzić sobie z sytuacją w sposób, który zmniejsza ryzyko związane z bezpieczeństwem, ale nadal pozwala użytkownikowi wykonywać swoją pracę skutecznie.

Rozsądny menedżer ** zrozumie, że ta czarna lista doprowadzi do strat wydajności. Użytkownicy mieli powód do korzystania z chmury publicznej - zachęca się ich do bycia produktywnymi, a wygodny przepływ pracy zwiększa ich produktywność (w tym liczbę nieodpłatnych nadgodzin, które są skłonni zrobić). Zadaniem menedżera jest ocena kompromisu między utratą wydajności a zagrożeniami bezpieczeństwa i poinformowanie, czy są skłonni pozwolić na obecną sytuację, wdrożyć czarną listę lub wybrać środki godne tajnych służb (które są bardzo niewygodne i wciąż nie zapewniają 100% bezpieczeństwa).

[*] Wiem, że ludzie, których zadaniem jest ochrona, najpierw myślą o przestępczych zamiarach. I rzeczywiście, zdeterminowany przestępca jest znacznie trudniejszy do zatrzymania i może wyrządzić znacznie gorsze szkody niż nie-złośliwy użytkownik. Ale w rzeczywistości istnieje kilka organizacji, które się infiltrują. Większość problemów związanych z bezpieczeństwem wiąże się z głupotą użytkowników o dobrych intencjach, którzy nie zdają sobie sprawy z konsekwencji swoich działań. A ponieważ jest ich tak wiele, zagrożenie, które stanowią, należy traktować tak poważnie, jak bardziej niebezpiecznego, ale znacznie rzadziej szpiega.

[**] Wiem, że jeśli twoi szefowie już tego zażądali, są szanse, że nie są rozsądnym typem. Jeśli są rozsądni, ale po prostu wprowadzeni w błąd, to świetnie. Jeśli są nierozsądni i uparci, jest to niefortunne, ale musisz znaleźć sposób na negocjacje z nimi. Oferowanie takiego częściowego rozwiązania, nawet jeśli nie możesz go skłonić do zaakceptowania, może być dobrym posunięciem strategicznym - właściwie przedstawione, pokazuje im, że jesteś „po ich stronie”, poważnie podchodzisz do ich obaw i jesteś przygotowany do wyszukiwania dla alternatywy dla technicznie niewykonalnych wymagań.

rumtscho
źródło
4

Twoje kierownictwo prosi o zamknięcie skrzynki Pandory.

Chociaż w zasadzie możesz zapobiec przesyłaniu dokumentacji dla wszystkich znanych możliwych mechanizmów, nie będziesz w stanie zapobiec wykorzystaniu exploitów zero-day (lub ich odpowiedników).

To powiedziawszy, zapora uwierzytelniająca do identyfikacji zarówno użytkownika, jak i stacji roboczej, może zostać zaimplementowana w celu ograniczenia dostępu za pomocą ACL, którego chcesz. Możesz włączyć usługę reputacji zgodnie z opisem w innych odpowiedziach, aby pomóc w zarządzaniu procesem.

Prawdziwe pytanie brzmi: czy chodzi o bezpieczeństwo , czy o kontrolę ? Jeśli jest to pierwszy, musisz zrozumieć próg kosztów, który menedżerowie są gotowi zapłacić. Jeśli jest to drugi, to prawdopodobnie duży widoczny teatr będzie wystarczający, aby przekonać ich, że dostarczyłeś, z niewielkimi wyjątkami.

Pekka
źródło
3

Potrzebujesz urządzenia lub usługi do filtrowania treści, takich jak BlueCoat Secure Web Gateway lub zapory ogniowej z filtrowaniem treści, takiej jak zapora Palo Alto. Takie produkty mają szerokie filtry kategorii, które obejmują pamięć online.

BlueCoat oferuje nawet usługę w chmurze, w której możesz zmusić użytkowników laptopów do łączenia się za pośrednictwem usługi proxy, która działa lokalnie na ich komputerze, ale pobiera reguły filtrowania treści z centralnego źródła.

długa szyja
źródło
2
  • Czarna lista

Utwórz listę witryn, do których użytkownicy nie będą mieli dostępu.

Pro: zablokuj określoną usługę.

Minusy: duża lista, czasem może to pogorszyć działanie zapory ogniowej systemu (zwykle tak jest!). Czasami można to obejść.

  • Biała lista

Zamiast polegać na dużej liście witryn z czarnej listy, niektóre firmy używają białej listy, na której użytkownicy mogą uzyskać dostęp tylko do witryn z białej listy.

Pro: łatwy w zarządzaniu.

Minusy: obniża produktywność.

  • Zablokuj rozmiar wysyłanej informacji (POST / GET).

Niektóre zapory ogniowe pozwalają blokować rozmiar wysyłanych informacji, uniemożliwiając wysyłanie niektórych plików.

Pro: Łatwy w zarządzaniu.

Minusy: niektórzy użytkownicy mogą to obejść, wysyłając pliki w małych porcjach. Może to uszkodzić niektóre witryny, na przykład niektóre witryny Winforms w Javie i Visual Studio regularnie wysyłają wiele informacji.

  • Blokuj połączenia inne niż HTTP.

Pro: łatwy w konfiguracji.

Minusy: może zepsuć obecne systemy.

Z mojego doświadczenia pracowałem w banku. Administratorzy zablokowali dostęp do sterownika USB i uzyskali dostęp do niektórych zastrzeżonych witryn (czarna lista). Jednak utworzyłem plik php na darmowym serwerze internetowym i mogę bez problemu przesyłać moje pliki (korzystając ze zwykłej strony internetowej). Zajęło mi to 5 minut.

Zgadzam się z niektórymi komentarzami, łatwiej i skuteczniej jest stosować zasady dotyczące zasobów ludzkich.

magallanes
źródło
Najnowszym pomysłem było podejście łączone: czarna lista dla HTTP, biała lista dla HTTPS. Jeśli chodzi o inne rozwiązania: zawsze konieczne będzie przetestowanie tego, co można wdrożyć bez niszczenia istniejących systemów, ponieważ różni się to w zależności od przypadku.
marsze