Revoca l'accesso dalla rete intranet se un dipendente lascia l'organizzazione

3

Ultimamente mi è stata in mente una domanda. Supponiamo che tu abbia un'organizzazione globale con una rete Intranet che non esiste, ma che dovrebbe essere sviluppata.

Questa organizzazione ha uffici in oltre 50 paesi e ogni ufficio funziona fondamentalmente come una piccola azienda. L'intranet viene utilizzato per condividere i numeri di transazione tra i diversi uffici e condividere altre conoscenze.

Ciò significa che i singoli uffici possono avere diversi domini e server di posta elettronica e possono persino operare con un nome di società diverso.

Supponiamo che un dipendente lasci la società, possiamo supporre che un leader di un paese chiuda il suo account di posta elettronica. Supponiamo che la comunicazione nell'organizzazione non sia così grande, quindi l'amministratore di sistema della intranet non viene informato che il dipendente ha lasciato l'organizzazione ... quindi il dipendente ha ancora accesso alle conoscenze all'interno della intranet.

La mia domanda è : esiste un metodo per tenere traccia dell'esistenza di una e-mail sul lato server? Perché se potessi verificare che l'e-mail è diventata inattiva, potresti semplicemente revocare il loro accesso quando provano ad accedere di nuovo con un utente che è stato registrato con quella e-mail.

Ho fatto qualche ricerca, ma per quanto posso vedere, è solo possibile verificare se un dominio esiste o meno. Se non è possibile controllare questo, come si dovrebbe fare questo?

Una soluzione che posso pensare è che la intranet invia un'e-mail, ad esempio, a settimana, confermando se l'e-mail è attiva o meno. Tuttavia, il dipendente potrebbe potenzialmente avere accesso per una settimana. Un'altra soluzione è un codice speciale giornaliero che viene inviato a tutti i membri dell'organizzazione, ma ciò sembra non ottimale.

In che modo un problema come questo è risolto nella vita reale? Tutti gli input sono molto apprezzati.

    
posta Rasmus 08.04.2016 - 20:52
fonte

1 risposta

4

Penso che se continui su questa linea di pensiero verso una soluzione solida come la roccia, devi considerare cose come "cosa succede se l'email settimanale è falsificata?" ... "Forse ho bisogno di firmare digitalmente quelle liste", ecc. E finirai per inventare qualcosa di molto simile a una Autorità di certificazione .

Utilizza un'autorità di certificazione interna

Penso che il modo più semplice (e meno costoso) per raggiungere l'obiettivo sia utilizzare una VPN con certificati client per garantire ai dipendenti l'accesso alla intranet. Per emettere e gestire i certificati, impostare una gerarchia delle autorità di certificazione ( ad esempio con openssl ): la radice verrebbe gestita dalla società madre e ciascuna filiale locale eseguirà una CA emittente per emettere e gestire i certificati dei dipendenti in quell'ufficio.

Configurare la VPN per utilizzare i certificati client

Configurare i firewall per i server Intranet in modo che accetti solo le connessioni dall'interno della rete, richiedendo agli utenti di accedere a VPN. Configurare il server VPN in modo che richieda i certificati client che risalgono alla CA radice gestita dalla società madre. A causa di come funzionano i certificati, ogni volta che un utente tenta di accedere, il server VPN controllerà con la propria CA di emissione per assicurarsi che il loro certificato sia ancora valido, quindi ogni ufficio gestisce il proprio database di dipendenti. Ciò significa che gli amministratori locali di ogni ufficio possono aggiungere (alias "problema") o rimuovere (alias "revocare") i dipendenti a loro piacimento e la VPN accetterà / rifiuterà automaticamente i loro accessi. Credo che la maggior parte delle VPN commerciali e open source supportino la modalità operativa client-cert.

Un'altra opzione: acquista un prodotto di autenticazione COTS

Un'opzione leggermente più complessa (e costosa) consiste nell'acquistare un'applicazione web di autenticazione basata su certificato che funge da gatekeeper per la tua intranet e richiede agli utenti di fornire il loro certificato e una prova di possesso della chiave privata. Non menzionerò prodotti specifici perché la mia azienda ne vende uno e non voglio essere accusato di conflitto di interessi.

    
risposta data 08.04.2016 - 21:20
fonte