我办公室有几个人要求在他们的计算机上安装 DropBox 以同步文件,以便他们可以在家中处理它们。我一直对云计算持谨慎态度,主要是因为我们是一家加拿大公司,享有隐私并且不受爱国者法案的约束。
在我开始之前的政策是,拥有公司发行笔记本的员工可以获得一个 VPN 帐户,而其他所有人都必须拥有远程桌面连接。这种逻辑背后的理论(据我了解)是我们有可能锁定笔记本电脑,而员工的家用电脑不在我们的掌握范围内。我们无法确保它们不是一直以管理员身份运行/正在运行 AV,因此它们感染恶意软件的风险更高,并且可能危及网络安全。
随着想要 DropBox 的人的增加,我很好奇这项政策是否过于严格和过于偏执。在不知道他们的计算环境是什么样子的情况下向员工提供 VPN 访问通常是安全的吗?
我根本不认为您的政策过于严格或偏执。认为 VPN 客户端计算机不如您的本地 LAN 连接计算机受信任是正确的。设置防火墙或其他控制设备来限制允许进出该半受信任 VPN 安全区域的流量进入/从该半受信任的 VPN 安全区域进入网络中更受信任的区域是一种合理的做法。在我看来,来自加入域的公司拥有的计算机的 VPN 访问比家庭计算机的 VPN 访问更值得信赖。但是,根据公司拥有的计算机使用的身份验证机制,我可能倾向于像限制家用计算机一样限制它们的访问。例如,如果只是刷公司拥有的笔记本电脑无需额外身份验证即可授予 VPN 访问权限,例如,我将锁定公司拥有的计算机从 VPN 的网络访问权限,
但是,您遇到的根本问题是政策问题,而不是技术问题。是否应允许员工将公司数据复制到非公司拥有的数据存储机制中是您的管理层需要做出的政策决定。非公司拥有的数据存储库的安全性并不总是不言而喻,但公司几乎总是无法轻松审核其安全性。在没有审计的情况下相信安全是一个坏主意。
另一种选择是使用具有集成 NAC 功能(包括客户端扫描)的 VPN。
客户端代理将能够检查个人拥有的设备的安全状况,并对连接到网络的风险提供一定程度的保证。您可以使用基于 Web 的按访问扫描程序(由于用户上下文而存在限制),或者由于他们正在连接工作,您可以要求他们下载并安装软件代理以获得连接权限。
在我看来,问题在于数据对您的业务有多大价值。如果您愿意将其存储在具有未知安全控制的家庭网络上的不安全计算机上,或者如果数据泄露不会使企业面临过高的风险,那么就没有必要进行限制。
查看 Dropbox 服务条款。它曾经对谁可以访问(他们的员工、政府机构等)相当开放。他们还存在任何密码都允许访问的漏洞。
我相信使用 VPN 和/或远程桌面是有意义的。然后,您至少可以管理哪些数据存储在哪里。
我们还使用带有 SSL (HTTPS) 的 SharePoint 来允许用户访问内部文档,然后能够签入和签出并维护版本控制。
我认为您对家用硬件的担忧是合理的。
我们还部署了允许 HTTPS 访问特定文件夹的 CrushFTP。然后用户可以访问文件,我们可以与客户和合作伙伴共享。采取了一些管理措施,但受到好评并给予了更多控制权。