Я искал и читал эту тему уже несколько недель, и это мое текущее понимание ситуации:
Чтобы решить проблему с наибольшей частью этого варианта использования, первое, что возникло в моем исследовании, - это шифрование диска. Один из часто используемых продуктов для этого - Bitlocker. Но я быстро понял, что шифрование диска само по себе не решает проблему, если пользователя не заставляют использовать надежный пароль (и не заставляют его ноутбук бездействовать в течение 3 часов без запуска экрана блокировки и т. Д.): Компания должна иметь возможность применять политики (надежный пароль, максимальное время блокировки экрана и т. д.).
На этом этапе моего исследования возникла Active Directory, которая отвечает практически на любые вопросы на этом уровне, однако есть несколько недостатков, которые делают ее интеграцию проблемой: потребность в локальном сервере, требование предоставить VPN-доступ к сети компании. (в этом не было необходимости в случае, когда пользователи работают с облачными службами, такими как Office 365), автономный доступ, ... Active Directory, похоже, не предназначен для мобильности, особенно для малых / средних компаний. Также есть большие накладные расходы на управление им (обслуживание сервера, конфигурации, ...). Другая альтернатива: использование удаленных рабочих столов, но по-прежнему существует проблема, требующая подключения к Интернету в 100% случаев.
После этого я пытался найти альтернативы и в конце концов посмотрел на продукты, предлагаемые компаниями по обеспечению безопасности (Kaspersky, McAfee, Norton, ...). Их решения кажутся смесью антивируса и программного обеспечения для развертывания, и я не смог точно определить, будут ли соблюдены все требования безопасности с этими продуктами.
Наконец, я также прочитал (и согласился с!), Что важнее было убедиться, что не слишком много данных хранилось локально, а не добавлять тысячи уровней безопасности и хранить все. Однако с учетом требований к мобильности и того факта, что людям может потребоваться работать в автономном режиме, казалось, что ни одно решение действительно не способно автоматизировать уменьшение количества файлов, хранящихся локально. Хранение файлов на удаленном диске невозможно, и Sharepoint или аналогичный продукт хранят все данные локально, когда папка синхронизируется.
Так как я сейчас занимаюсь исследованием безопасности данных и корпоративных ноутбуков, я бы предпочел программные решения с централизованным управлением и некоторыми функциями безопасности (но не всеми). Я что-то упустил или сделал ошибку в суждении? Есть ли лучший способ обеспечить безопасность корпоративных ноутбуков, сохраняя при этом удобство работы конечных пользователей?
Возможно, вам захочется ознакомиться с функциями MS Intune. Он делает многое из того, что вам нужно, особенно с удаленным управлением устройствами, доступом к VPN и безопасностью. Если вы синхронизируете локальную AD с Azure AD, это также поможет с управлением учетными данными.
Типичное решение:
1) Connect the PC to the domain
2) Fully encrypt the HDD
3) Setup VPN access for external users
Есть некоторые проблемы с этой настройкой. Однако клиент будет кэшировать учетные данные AD в течение некоторого времени, поэтому пользователям не нужен 100% круглосуточный доступ к DC. Если они входят в систему перед выходом из офиса и снова входят в систему до истечения срока действия учетных данных. Так что если они приходят и уходят, это обычно не проблема.
Также MS предлагает службу AD через свою платформу Azure. Я не знаю подробностей, но с вашей стороны не должно быть никакого серьезного обслуживания, кроме оплаты счета и настройки пользователей.
Другое решение - использовать тонкий клиент, если вы хотите убрать требование шифрования конечной точки. Пользователь мог войти на какой-нибудь сервер через VPN, чтобы ничего не хранилось локально.