Мне нужны пользователи, работающие из дома, чтобы получить доступ к большому количеству файлов (не очень больших, но многих из них), легко более 18 ТБ файлов. Проблема в том, что эти пользователи не работают на нас на 100%, и нам нужен способ максимально изолировать их машины от нас.
Я знаю, что есть и другие способы добиться этого, но я бы хотел изучить этот.
Моя идея:
Дайте им небольшую виртуальную машину для локального запуска на своих компьютерах, эта виртуальная машина будет настроена для:
Таким образом, пользователь получит доступ к общей папке и будет работать как обычно, но у нас будет полный контроль над машиной, соединяющейся с нами. (Пользовательский компьютер не является собственностью нашей компании)
Чтобы быть точным в отношении моего вопроса, я хотел бы знать, звучит ли это слишком безумно или, может быть, кто-то знает, будут ли у меня проблемы с этим?
Каким будет лучший подход к этому, если вы не сочтете это правильным?
У вас не будет полного контроля над машиной, так как вам нужно сообщить пользователям парольную фразу для шифрования, иначе они не смогут запустить машину. При этом они также получат полный контроль над виртуальной машиной.
Просто дайте им доступ к какому-нибудь серверу RDP, к которому они могут подключиться, чтобы работать с файлами (за VPN) - у вас будет гораздо больше контроля над этим.
Изменить: еще одно объяснение, почему я не думаю, что ваше решение стоило бы усилий.
Во-первых, давайте рассмотрим обычный VPN и прямое подключение к вашему серверу CIFS. Обычно вы можете использовать брандмауэр конечной точки VPN таким образом, чтобы он разрешал только подключения к вашему серверу CIFS через порты CIFS. Затем сервер CIFS убедится, что клиент может получить доступ только к тем ресурсам, для которых у него есть разрешения.
Ваше решение виртуальной машины позволит в основном то же самое, с той разницей, что оно будет проксировать соединение CIFS через службу Samba. Конечно, это является дополнительный уровень безопасности, поскольку клиенту будет сложнее атаковать потенциальные уязвимости реализации CIFS на вашем сервере (хотя это не обязательно невозможно). Однако цена за это действительно высока, поскольку ваша среда очень сложна и подвержена ошибкам, а также требует интенсивной поддержки, поскольку вам необходимо активно разблокировать зашифрованную виртуальную машину всякий раз, когда клиентский компьютер должен быть перезапущен по какой-либо причине (и, откровенно говоря, я не позволит никому получить доступ к моей частной машине для этой цели!).
Добавление прокси CIFS на вашей стороне действительно сработает и приведет к гораздо более удобной для обслуживания среде с тем же конечным результатом - просто подключите VPN клиентов к этому прокси вместо исходного сервера CIFS.
NB: Все это хорошо и хорошо, но, к сожалению, это не защищает вас от реальной, наиболее вероятной опасности во всем этом сценарии, а именно от возможности заражения клиента вредоносным ПО, например. программы-вымогатели. Каким бы способом вы это ни реализовали, клиент будет иметь доступ на запись к некоторому общему ресурсу CIFS, и единственный способ защитить вас от этого - поддерживать регулярные и надежные резервные копии и тестировать их!