Я хочу получить отзывы от тех, кто занимается управляемыми настольными компьютерами или в области сетевой безопасности, о рисках внедрения машин, которые не созданы на основе стандартного образа рабочего стола, в крупную корпоративную среду. Этот конкретный контекст относится к стандартному корпоративному образу (32-битная Win XP) в крупной многонациональной стране, не подходящему для определенного сегмента пользователей. Короче говоря, я смотрю, с какими препятствиями мы можем столкнуться, предлагая ввести машины, которые создаются и обслуживаются горсткой разработчиков программного обеспечения, а не основаны на корпоративном образе рабочего стола (предлагается 64-битная Win 7).
Я подозреваю, что препятствия в первую очередь связаны с обновлениями описаний вирусов, развертыванием пакетов обновлений и исправлений и совместимостью существующих приложений с новой ОС. Что касается вирусов и обновлений программного обеспечения, если бы машины использовали обычное программное обеспечение для защиты от вирусов с автоматическими обновлениями и использовали Центр обновления Windows для пакетов обновления и исправлений, существует ли все еще реальный риск для корпоративной среды? Если на то пошло, являются ли большие корпоративные среды обычно уязвимыми для внедрения машины, не основанной на стандартном образе?
Я пытаюсь понять, насколько реален риск заражения и других неблагоприятных событий от компьютеров, подключенных к сети. Есть несколько сценариев, помимо приведенного выше примера, где это может произойти (например, поставщик подключает компьютер для доступа в Интернет во время презентации). Будет ли большая корпоративная сеть достаточно защищена от такой безобидной деятельности? Я ценю теорию относительно того, почему существуют политики, такие как стандартные образы рабочего стола, меня просто интересует реальный, практический риск и насколько сеть должна быть защищена средствами, отличными от тех, которыми управляют на отдельных ПК.
Я предполагаю, что вопрос в том, какой ДОПОЛНИТЕЛЬНЫЙ риск вносит нестандартный ПК. Сделано правильно, очень мало. Сделано плохо, целая куча.
Независимо от того, основан ли он на образе или нет, установка на ПК должна работать с корпоративными системами или руководящими принципами в следующих областях ... каждое исключение увеличивает риск безопасности.
1- ОС - если винда, то она должна быть в домене
2- Безопасность / Разрешения на локальном компьютере
3- Антивирус
4- Управление патчами
5- Доступ к Интернету / Фильтрация / Мониторинг
Развертывание на основе образов выполняется не для управления рисками, а для управления рабочей нагрузкой и повышения контроля. Нестандартный компьютер потребует больше работы для развертывания и поддержки. Каждое «исключение» должно создаваться и управляться отдельно. Специалисты не просто узнают об этом, поэтому на решение проблем уйдет больше времени. Нацисты по стандартизации будут ныть и жаловаться, а это напрасно тратит время.
Снид замечает в сторону ... если организация вложила средства в инфраструктуру обработки изображений, я бы пошел на компромисс, чтобы избежать развертывания систем, которые с ней не работают. Если возможно согласиться с некоторыми задержками при обработке изображений или пойти на компромисс в конфигурации, сделайте это. Или купите дополнительную систему, отдайте ее специалистам по созданию образов и используйте исключение, пока они не получат готовый образ.
Береги себя.
Величина риска, который вы вводите таким образом, будет примерно соответствовать количеству нестандартных машин, которые вы вводите в свою среду. В любом случае будет сложно дать количественную оценку.
Если люди, которым вы позволяете это делать, представляют собой небольшую группу разработчиков, то влияние, вероятно, будет минимальным с точки зрения затрат компании на текущее обслуживание. Если бы это были ребята из финансов, например, они бы не имели ни малейшего представления о том, как поддерживать исправления на своих машинах, и, скорее всего, заразились бы и должны были позвонить в службу поддержки, что будет стоить компании денег. Опять же, я знаю разработчиков, которые тоже ничего об этом не знают.
Что вам следует сделать, так это установить измеримые руководящие принципы безопасности для этих «неуправляемых» машин и автоматизировать процесс для обеспечения их соблюдения. Я бы порекомендовал пойти в Центр интернет-безопасности, загрузить некоторые из их общедоступных руководств по безопасности и внедрить их на этих неуправляемых машинах.
Еще одна вещь, о которой следует помнить, - это лицензирование программного обеспечения. Если вы не управляете этими компьютерами, значит, вы не управляете и программным обеспечением на них. Это может иметь большое значение для крупной корпорации.
Одна из основных причин использования стандартного образа - сокращение затрат и повышение уровня поддержки конечных точек. Без него вы пойдете по пути, который может стоить компании намного больше на рабочий стол для неуправляемых компьютеров.
Люди эмоционально вкладываются в этот вопрос, но на самом деле это не обязательно должна быть священная война.
Либо нестандартные системы могут выполнить свою задачу путем полной изоляции (в этом случае виртуальные локальные сети должны упростить изоляцию их и их рисков), либо им потребуется доступ к локальной сети, что означает игру в мяч с людьми, которых наняли. управлять этими рисками.
Не существует такой вещи, как полная защита вашей сети от бедствий. Вы можете уменьшить риски (большая часть из которых определяет стандартную нагрузку), но эти ПК обслуживаются люди что делает их самым большим риском.
Я видел команду из 18 человек, управляющих 30 000 машин. Это НЕ была гибкая среда, и как поставщик небольшого отдела мы потратили почти год, работая с ними, чтобы найти приемлемый компромисс. (И нет, поставщикам НЕ разрешалось подключаться к их локальной сети - это редкость в наши дни, и я также не разрешаю им подключаться к моей).
У этих людей есть свой авторитет, карьера и несколько ночей на кону, если они назовут слишком много исключений. На самом деле не имеет значения, составляет ли риск 0,005% или 5%, учитывая, что сбой в любом случае может поставить сеть на колени на минуты, часы или дни. Это случается с организациями с тщательно обслуживаемой инфраструктурой.
** Может быть, изоляция действительно лучший выбор. Их работа - контролировать окружающую среду, и никакое «поверь мне» не убедит их довериться своей карьерой в твоих руках. Но вы, возможно, сумеете обосновать то, что вашей группе нужна песочница, в которой большая локальная сеть будет защищена от бедствий, исходящих от вашей группы, и вы сможете строить / развивать что-то менее ограничительное.
К сожалению, корпоративная политика, как и законы в целом, просто не может охватывать все мыслимые ситуации, и должен быть способ получить машину, подходящую для работы. и соответствует среде, в которой он будет использоваться. Корпоративный имидж будет создан потому, что определенные вещи должны быть либо включены, либо исключены. Если вы считаете, что можете создать новый имидж, который по-прежнему соответствует этим целям, вам следует обсудить проблему с начальством и посмотреть, не сможете ли вы прийти к какому-либо соглашению.
Фактический практический риск состоит в том, что нестандартные машины НЕ будут обслуживаться на том же уровне, что и остальные. Это всегда работает так: вы соглашаетесь, что расходы на поддержание нестандартной конфигурации будут покрываться, включая дополнительный персонал. Тогда вы не получите ресурсов. Затем вам говорят просто игнорировать эти машины в целях обслуживания. Затем вы обнаруживаете, что несете ответственность за все, что идет не так.
Что меня непосредственно беспокоит в вашем вопросе, помимо других ответов здесь, так это утверждение:
«создан и поддерживается горсткой разработчиков программного обеспечения»
у разработчиков программного обеспечения обычно нет времени заниматься системным администрированием и управлением, а также вопросами поддержки настольных компьютеров; и вряд ли они будут обладать всеми необходимыми навыками. Вы хотите, чтобы они были заняты написанием и поддержкой программного обеспечения для конечных пользователей, а не предоставляли поддержку оборудования и настольных компьютеров.
Объем работы, затрачиваемой на поддержку среды рабочего стола, который может быть значительным даже для одного или двадцати пользователей, не говоря уже о тысяче или более, не следует преувеличивать или недооценивать. Намного лучше работать с командой, которая это делает, чтобы ваше программное обеспечение могло работать в стандартной сборке. Не пытайтесь замкнуть это короткое замыкание только потому, что вы думаете, что это будет «легче» для вас.