Consideraciones de seguridad al proporcionar acceso VPN a computadoras no emitidas por la compañía

8

Algunas personas en mi oficina han solicitado la instalación de DropBox en sus computadoras para sincronizar los archivos para que puedan trabajar con ellos en casa. Siempre he sido cauteloso con la computación en la nube, principalmente porque somos una empresa canadiense y disfrutamos de la privacidad y estamos fuera del alcance de la Ley Patriota.

La política antes de comenzar era que los empleados con computadoras portátiles emitidas por la empresa podían recibir una cuenta VPN, y todos los demás tenían que tener una conexión de escritorio remoto. La teoría detrás de esta lógica (como lo entiendo) era que teníamos el potencial de bloquear los cuadernos, mientras que las computadoras de los empleados en casa estaban fuera de nuestro alcance. No teníamos la capacidad de asegurarnos de que no estuvieran ejecutándose como administradores todo el tiempo / que estuvieran ejecutando AV, por lo que corrían un mayor riesgo de infectarse con malware y podrían poner en peligro la seguridad de la red.

Con el aumento de personas que desean DropBox, tengo curiosidad por saber si esta política es demasiado restrictiva y demasiado paranoica. ¿Es generalmente seguro proporcionar acceso VPN a un empleado sin saber cómo es su entorno informático?

    
pregunta DKNUCKLES 12.04.2012 - 16:50
fuente

4 respuestas

6

No considero que tu política sea demasiado restrictiva o paranoica en absoluto. Es correcto considerar que las computadoras cliente VPN son menos confiables que las computadoras conectadas a la LAN en sus instalaciones. Es una buena práctica tener cortafuegos u otros dispositivos de control para limitar el tráfico permitido a / desde esa zona de seguridad VPN semi-confiable a áreas más confiables de la red. El acceso VPN desde computadoras unidas a un dominio y propiedad de la compañía es, en mi opinión, más confiable que el acceso VPN desde computadoras domésticas. Sin embargo, dependiendo de los mecanismos de autenticación utilizados por las computadoras propiedad de la compañía, podría estar inclinado a limitar su acceso como lo haría con las computadoras domésticas. Si el simple hecho de deslizar una computadora portátil de la empresa otorga acceso a la VPN sin autenticación adicional, por ejemplo, también estaría bloqueando el acceso a la red de las computadoras de la empresa desde la VPN.

Sin embargo, el problema de raíz al que se refiere es un problema de política y no técnico. Si a los empleados se les debe permitir o no replicar los datos de la compañía en mecanismos de almacenamiento de datos que no pertenecen a la compañía es una decisión de política que su administración debe tomar. No siempre es cierto que un repositorio de almacenamiento de datos que no sea de la empresa sea menos seguro, pero casi siempre es algo de lo que la empresa no tiene la capacidad de auditar fácilmente la seguridad. Tomar seguridad en la fe sin auditar es una mala idea.

    
respondido por el Evan Anderson 12.04.2012 - 18:19
fuente
3

Otra opción sería usar una VPN que tenga una capacidad NAC integrada que incluya escaneo del lado del cliente.

Un agente del lado del cliente podría verificar la postura de seguridad de los dispositivos de propiedad personal y ofrecer cierto nivel de seguridad sobre el riesgo de conexión a la red. Puede usar un escáner de acceso basado en la web (que tiene limitaciones debido al contexto del usuario) o, dado que se están conectando para trabajar, puede requerir que descarguen e instalen un agente de software para tener privilegios de conexión.

    
respondido por el Mark Beadles 12.04.2012 - 19:07
fuente
2

Me parece que el problema es cuán valiosos son los datos para su negocio. Si se siente cómodo almacenándolo en computadoras no seguras en redes domésticas con controles de seguridad desconocidos o si la divulgación de datos no pone a la empresa en un riesgo demasiado alto, entonces no hay necesidad de restricciones.

    
respondido por el uSlackr 12.04.2012 - 17:24
fuente
0

Verifique los términos de servicio de Dropbox. Solía ser bastante abierto sobre quién podría acceder (su personal, agencias gubernamentales, etc.). También tuvieron una violación donde CUALQUIER contraseña permitiría el acceso.

Creo que el uso de VPN y / o escritorio remoto tiene sentido. Entonces, al menos, puedes administrar qué datos se almacenan donde.

También hemos utilizado SharePoint con SSL (HTTPS) para permitir que los usuarios accedan a documentos internos y luego puedan registrar, retirar y mantener las versiones.

En mi opinión, su preocupación por el hardware del hogar es razonable.

También implementamos CrushFTP que permitió a HTTPS acceder a carpetas específicas. Los usuarios tendrían acceso a los archivos y podríamos compartir con clientes y socios. Tomó un poco de gestión, pero fue bien recibido y le dio más control.

    
respondido por el Dave M 12.04.2012 - 17:07
fuente

Lea otras preguntas en las etiquetas