Considerazioni sulla sicurezza nella fornitura dell'accesso VPN a computer non aziendali

8

Ci sono state alcune persone nel mio ufficio che hanno richiesto l'installazione di DropBox sui loro computer per sincronizzare i file in modo che possano lavorare su di loro a casa. Sono sempre stato cauto sul cloud computing, principalmente perché siamo un'azienda canadese e godiamo della privacy e sono al di fuori della portata del Patriot Act.

La politica prima di iniziare era che i dipendenti con notebook emessi dalla società potevano ottenere un account VPN e tutti gli altri dovevano avere una connessione desktop remota. La teoria alla base di questa logica (a quanto ho capito) era che avevamo il potenziale per bloccare i taccuini mentre i computer domestici dei dipendenti erano fuori dalla nostra portata. Non eravamo in grado di garantire che non stessero correndo come amministratore per tutto il tempo / stessimo facendo AV, quindi erano più a rischio di essere infettati da malware e potrebbero compromettere la sicurezza della rete.

Con l'aumento delle persone che vogliono DropBox sono curioso di sapere se questa politica sia troppo restrittiva e eccessivamente paranoica. È generalmente sicuro fornire l'accesso VPN a un dipendente senza sapere come si presenta il proprio ambiente di elaborazione?

    
posta DKNUCKLES 12.04.2012 - 16:50
fonte

4 risposte

6

Non ritengo la tua politica eccessivamente restrittiva o paranoica. È giusto considerare i computer client VPN meno affidabili rispetto ai computer collegati alla LAN in loco. È prassi consolidata disporre di firewall o altri dispositivi di controllo per limitare il traffico autorizzato a spostarsi da / verso la zona di sicurezza VPN semi-attendibile in aree più affidabili della rete. A mio parere, l'accesso VPN da computer appartenenti a domini, di proprietà dell'azienda, è più affidabile dell'accesso VPN dai computer di casa. A seconda dei meccanismi di autenticazione utilizzati dai computer di proprietà dell'azienda, tuttavia, potrei essere propenso a limitare il loro accesso come se fosse un computer di casa. Se semplicemente facendo scorrere un laptop di proprietà dell'azienda si garantisce l'accesso VPN senza un'autenticazione aggiuntiva, ad esempio, avrei bloccato anche l'accesso alla rete dei computer di proprietà dell'azienda dalla VPN.

Il problema principale a cui stai andando, però, è un problema di policy e non tecnico. Indipendentemente dal fatto che i dipendenti debbano essere autorizzati a replicare i dati aziendali in meccanismi di archiviazione dei dati di proprietà non aziendale è una decisione politica che la tua gestione deve prendere. Non è sempre un truismo che un archivio di dati di proprietà non di proprietà dell'azienda sia meno sicuro, ma è quasi sempre qualcosa che la società non ha la capacità di controllare facilmente la sicurezza di. Prendere la sicurezza sulla fede senza auditing è una cattiva idea.

    
risposta data 12.04.2012 - 18:19
fonte
3

Un'altra opzione potrebbe essere l'utilizzo di una VPN con funzionalità NAC integrate, inclusa la scansione lato client.

Un agente sul lato client sarebbe in grado di verificare la posizione di sicurezza dei dispositivi di proprietà personale e dare un certo livello di sicurezza sul rischio di collegamento alla rete. È possibile utilizzare uno scanner all'accesso basato sul Web (che presenta limitazioni dovute al contesto dell'utente) o, dal momento che si connettono per lavoro, è possibile richiedere loro di scaricare e installare un agente software per disporre dei privilegi di connessione.

    
risposta data 12.04.2012 - 19:07
fonte
2

Mi sembra che il problema sia quanto siano preziosi i dati per la tua azienda. Se si desidera archiviarlo su computer non protetti su reti domestiche con controlli di sicurezza sconosciuti o se la divulgazione di dati non pone il business a un rischio troppo elevato, allora non sono necessarie restrizioni.

    
risposta data 12.04.2012 - 17:24
fonte
0

Controlla i termini di servizio di Dropbox. Era piuttosto aperto su chi poteva accedere (il loro personale, agenzie governative, ecc.). Hanno anche avuto una violazione in cui QUALSIASI password consentirebbe l'accesso.

Credo che l'uso di VPN e / o desktop remoto abbia senso. È quindi possibile gestire almeno quali dati sono memorizzati dove.

Abbiamo anche utilizzato SharePoint con SSL (HTTPS) per consentire agli utenti di raggiungere i documenti interni e quindi poter effettuare il check-in e il check-out e mantenere il controllo delle versioni.

La tua preoccupazione sull'hardware di casa è ragionevole a mio parere.

Abbiamo anche implementato CrushFTP che consentiva a HTTPS di accedere a cartelle specifiche. Gli utenti avrebbero quindi accesso ai file e potremmo condividere con clienti e partner. Ha preso qualche managemnt ma è stato ben accolto e ha dato più controllo.

    
risposta data 12.04.2012 - 17:07
fonte

Leggi altre domande sui tag