インターネットアクセスポリシーの複雑さ、およびこれは何につながりますか?
著名なコミュニティへの挨拶。
私は4年間、企業のローカルネットワークのシステム管理に携わってきましたが、「会社の従業員のインターネットアクセスを規制するポリシーは何か?」という質問が常に浮上します。毎年、この質問に対する私の答えは常に変化しています。 そして今日、私はこの問題に関する議論を提供し、この問題に関する私の意見を反映する記事を公開したいと思います。
システム管理者として仕事を始めた当初、私が会社に来たとき、私はインターネットアクセスを非常に厳しく規制し、すべてを考慮に入れ、制御する必要があると信じていました。 職場でソーシャルメディアを受け取る人はいません。ソーシャルメディア、ビデオホスティングなど、あらゆる種類のメディアを含めました。 私が始めたとき、私は同僚の目に理解を見つけました。この理解は、次の存在によってサーバールームにも反映されました:アクセス制御を備えたsquid、完全なレポートシステム、サイトを訪問するための動的な制限の大きなセット。 制限されたアクセスグループの速度。 トラフィック制限あり。 時間制限付き。 ダウンロードファイルに制限されています。 「そして、それは素晴らしい、そして非常に、非常に良いように思えました。」 確かに、このようにして、従業員はより生産的に働き、システム管理者は一種の「インターネットの神」になります。なぜなら、システムの日に全員をハングさせるのはとてもクールだったからです。 インターネットページの最初の入り口にある管理者は、「管理者おめでとうございます! 今日が彼らの日です。」 そして、悪い顔の営業部からのVasyaは速度を10kb / sに設定しました。 -このすべては、私が組織に参加する前でさえあり、これが私が必要としていたように思えました。 しかし、実際には...
仕事の最後の場所で、上司はいつも「社会サービスを閉じないでください。 ネットワークでは、不必要な制限やエンティティは必要ありません。「しかし、私は常にそれに応えて叫びました-」いいえ! 必要です! 彼らは何もせず、ただ社会サービスに行きます。 ネットワーク! すべてを閉じる必要があります。」 時間が経つにつれて、すぐに古い管理者が去り始め、以前の職務が私に委ねられ始めました。これは「継承」と呼ばれます。 最初はとても幸せでした! 「ああ...思った。 だから、結局のところ、私はインターネットの神であり、今ではスイッチを持っています。」
しかし、それは何から来た..?
しかし実際には、これらの制限はすべて、コンピューターについて何も理解せず、特に何も訪れない一般の人々の生活を大きく妨げ、仕事、そのような機会の欠如のために、彼らは絶えずIT部門と呼ばれています「インターネットの神」にファイルをアップロードするように頼みました。 -しばらくして、私はそれをすべて退屈させ始めました。そして、この無意味な仕事をすべてやりたくなかったので、人々にダウンロードファイルへのフルアクセスを与えなければなりませんでした。 そして、私は構成ファイルで何を見つけましたか...? すでに人々の大部分が判明しており、私なしでは長い間フルアクセスに移行していました。
そしてcな人..? -そして、cなものは何でもダウンロードでき、さまざまな制限について気にしません。
ウイルス..? -たくさんあったので、たくさんあります。 最終的な職場の明るい頭とウイルス対策を除いて、これから適切なレベルで何も保存されません。
そして、ネットワークセキュリティ..? -そして、このアプローチにはありますか? いや 理由は次のとおりです。
ポート443、および他の多くのポートを開く必要がありました。これは、多くのポートが単にプロキシすることは不可能であり、さらに高レベルでキャッシュすることは誰にとっても明らかだからです。 -非常に大規模な組織でユーザーにサーバーへのアクセスを許可する必要がある状況が本当に好きでした-そして、WindowsでSOCKSプロキシサーバーのポータブルバージョンが権利を必要とせず、アクセスがすぐに許可されたのは驚きでしたポート443のサーバー。 -そして、彼らはこの会社のすべてがセキュリティに関して非常に複雑であると私に確信させました。 -言うまでもなく、Radminクライアントはトラフィックを暗号化します。つまり、このスキームに陥ることはほとんどありません。 -しかし、私たちはふけることはありません。
次に何が起こりましたか? -そして、経営者は従業員の1人のサイトの出席に関するレポートを要求しました。 -そして、私は正直に美しくデザインされたイカのログを提供しましたが、訪問されたURLについて私が印刷した50ページのレポートを見たいと思う人は誰でしょうか。 結局のところ、誰もが1つのサイトのみにアクセスすると多くのURLにつながることを知っています。 「これらはトラフィックの総量のみに制限されていました。そして、従業員の義務に基づいて、このトラフィック量は明らかにすべての合理的な制限を超えることが明らかになりました。
キャッシングは最新のWeb動的コンテンツで役立ちますか? -私はほとんどないと思います。
その結果、数年後、私は上司の言葉の知恵を理解し始めました。 そして彼は、L7トラフィックのレベルで賢くて神になる必要は実質的にないという結論に達しました。 さらに、L2 / L3トラフィックをカウントし、ホストが消費するトラフィックの総量(週/月)を調べる方がはるかに効率的であるという考えにますます傾いています。 ホスト-このDHCP + MACと結び付けることができます-通常のネットワークでは、これで十分です。 極端な場合、MACによるポートフィルタリングを使用してスマートスイッチを構成できます。
厳格なインターネットアクセスポリシーはその関連性を失い、L7レベルでトラフィックをフィルタリングすることは利点よりも多くの問題をもたらすように思われます...結局のところ、このすべてをサポートする必要があり、何かを常に許可する必要があり、何かを禁止する必要があります。 そして、これらすべてから乾燥残留物は実質的にゼロです。
PSもちろん、これらすべてのことから、時には単純さは盗難よりも悪いことを理解する必要があります。 そして、健全なバランスを維持し、従業員の仕事に明らかに不要なものをすべて閉じる必要があります。 私たちは、機密データを扱うことのない小規模オフィス組織について話している。
そして、評判の良いコミュニティはこれについてどう思いますか? 厳しい政策は、メンテナンスや合併症の不必要な問題を除いて、何の役にも立たないコンシェルジュ症候群を発症しますか? この洗練されたアクセスポリシーシステムすべての利点は何ですか? -Windowsドメインは良好ですが、ますます多くの*パッドテクノロジーが登場し、ドメインがすでに失われているため、元の意味(単一のランドスケープ)を伝えることができます。