Есть ли какие-либо особые проблемы с безопасностью, которые следует учитывать при использовании общекорпоративной службы общего доступа к файлам Dropbox / управления версиями / резервного копирования, и есть ли какие-либо конкретные параметры или настройки, которые можно рекомендовать для ограничения риска?
Это зависит от вашего бизнеса и вашего уровня паранойи. Гораздо безопаснее, хотя и дороже, выпускать ноутбуки с подключением через VPN.
Очень быстро...
Некоторые риски:
Рекомендации:
Паранойя ????
Чувак .. Отойди от сети .. МЕДЛЕННО .. Убери руки от Клавиатуры .. СДЕЛАЙТЕ ЭТО СЕЙЧАС !!!
«Потребительские» решения на основе облачных хранилищ файлов, такие как Dropbox, не предназначены для бизнеса или корпораций. Microsoft сказала, что это лучше всего с Skydrive, когда они вышли, и сказала, что эти типы продуктов не являются и не должны использоваться в бизнес-целях.
Есть тысячи причин, по которым это не перевешивает причины, по которым нужно это делать.
Самый большой ЮРИДИЧЕСКАЯ причина вне рисков безопасности (И Условия использования, в которых указано, что третьи стороны могут иметь доступ к конфиденциальным файлам, следовательно, ничего конфиденциального не должно храниться в такой службе, основанной на потребителях .. КОГДА-ЛИБО ..) это факт с таким сервисом, как Dropbox, ну. Позвольте мне спросить ... Где хранятся эти файлы? Где расположены эти серверы? Вы можете быть уверены, что предложив самую низкую цену, позвоните в так называемые правила и законы экспорта данных ... Если у вас есть один крошечный файл, "правительство Соединенных Штатов может счесть риском или потенциальным риском для безопасности США" (может быть что-то Вы нарушаете этот закон, например, от электрической схемы до места общественного сбора, школы, спортзала, паролей или имени пользователя для чего-то вроде учетной записи Cisco, где вы можете загрузить программное обеспечение с ограничениями на экспорт и т. д.) до секретных документов. Вы попадаете в тюрьму, вы не проходите мимо .. Теперь я верю, что этим занимается Федеральная торговая комиссия и Национальная безопасность.
Условия использования БД указывают (в основном), что если он установлен на бизнес-ПК, (Dropbox предполагает, что это лицо, потому что человек, устанавливающий на бизнес-ПК, гарантирует, что он это делает, щелкая TOU), это делает «авторизованный» человек. ДЛЯ ВСЕЙ КОМПАНИИ .. Срок ... (Первый раздел ion Dropbox.com/terms)
Что мешает мне использовать это вне моего сервера и рабочей среды, так это просто этика ... У вас есть потребительский продукт, такой как Skydrive, который большими буквами говорит: «Нет бизнеса ... Не надо! Потому что они не хотят рисковать данными клиентов на бизнес-уровне, потому что они ЗНАЮТ, что это риск! И затем Flippin Dropbox, который использует в своих контрактах юридические слова, такие как слово «материал», который лепит всю «вещь безопасности» и ведет себя так, будто в этом нет ничего страшного (вы бы хотели терять прибыль и ценные акции? Наверное, нет ...) ....
Это большое дело ... Чем больше групп безопасности умоляют вас и меня следовать простым практикам, тем больше появляется крупных компаний, таких как Dropbox, и за деньги ... для получения прибыли действуйте так, как будто в этом нет ничего страшного ...
Что, если бы ваш бизнес сохранил крошечный кусочек единственного номера кредитной карты, имени и срока действия? Теперь предположим, что компьютер, на котором был установлен клиент Dropbox, был, ммм, "проник в ..." через казенную часть системы безопасности Dropbox ... Следуя за мной? Visa / Amex и т. Д. Огромные банковские компании С государственной поддержкой (потому что так сказано в стандартах индустрии платежных карт (PCI) ... вот кто ...) Оштрафует вас ... получите это ... вы можете сесть .. ошеломляющие 500 000 долларов США ЗА ИНЦИДЕНТ ... Этого достаточно, чтобы вывести малый или средний бизнес из бизнеса, в котором они работают ....
ЕДИНСТВЕННЫЙ способ обойти это - локально зашифровать эти данные с помощью продукта шифрования, сертифицированного PCI, ДО того, как они попадут в Dropbox, приобретя лицензию для всех ваших удаленных устройств, загрузив нужный вам файл и расшифруйте его, прежде чем вы сможете использовать это .. (Нет, не похоже, что это совсем не весело ...) (Или шифрование данных в вашей сети серверов и клиентов на шлюзе ...)
При этом менее чем за 20 долларов на пользователя (около 11 долларов за базовый) вы можете получить план Office365 серии E, сертифицированный HIPAA, SOX, ISO и PCI. (Dropbox, скрытый на этих страницах, четко заявляет: " в настоящее время ", их нет ....)
Так что спросите себя, пусть даже в уме ... Действительно ли это стоит риска? и ХОТИТЕ ли вы вести дела с компанией, которая, как я думаю, осторожно поступает или игнорирует риски, связанные с использованием их продукта ...
Стоит ли рисковать для вашей карьеры, если вы работаете в сфере технологий, и у вас действительно проблемы, и вы ДЕЙСТВИТЕЛЬНО разрешили Dropbox? Считаете ли вы, что сможете трудоустроиться после того, как ваше имя будет рядом с задом и вы попали в новости? Как технический директор, я могу вам пообещать, что ни за что, я бы даже не услышал оправдание, стоящее за этим ... Я бы никогда не стал брать интервью у тех технических специалистов, которые своими собственными действиями или решениями привели к потере данных в сети любого размера ... Да, все мы совершаем ошибки, поэтому ваша работа в ИТ состоит в том, чтобы как можно лучше исключить любой риск, большой или маленький. Не открывать червоточину и кричать об Алисе ...) Это катастрофа для PR .. для бизнеса (если конкурент узнал и утек, кто вы ... (ах), что вы сделали ... и повышенная ответственность нанять кого-то, потому что они разрешили сервис обмена файлами, который публично признал и заявил, что они не PCI, SOX , Сертифицированы ISO, HIPAA или PCI
Ну .. Это тебе решать ... Стоит ли карьера? Стоит ли потеря данных вашей компании или клиентов?
Для меня .. Это не ... Потребители используют потребительские товары, а не бизнес ... Точка.
Я бы поступил здесь очень осторожно. Dropbox позволяет расширение на жесткий диск другого компьютера.
Это расширение хуже USB-ключа в том смысле, что заражение на одном ПК может попасть на все остальные ПК, используя этот общий ресурс, гораздо легче, чем USB-ключ. Авторы вирусов / троянов / ботов не нацелены на Dropbox (пока), но если они решат, то у вас есть виртуальная незапертая дверь с ПК, контролируемого компанией, в защищенной сети на незащищенный компьютер в незащищенной сети. Как есть, используя обычные операции, нельзя просто пройти через эту дверь и посмотреть на другие вещи на компьютере - можно увидеть только элементы в Dropbox, а новые элементы могут быть созданы только в этой области, но при условии, что Само приложение dropbox не может быть взломано.
Кроме того, Dropbox заявляет о высокой степени безопасности, но что вам на самом деле можно доказать? Возможно, кто-то сможет удаленно проникнуть в это окно с совершенно другого компьютера и попытаться поместить зараженные документы и программы на рабочий компьютер.
Очевидно, что Dropbox использует протокол для связи со своими клиентами - зашифрован ли он? Имеет ли он иммунитет к переполнению буфера? Атакует человек посередине? Нюхает? Воспроизвести атаки? Можно ли, используя стандартный протокол, размещать файлы внутри или даже за пределами стандартной области Dropbox? Если протокол имеет переполнение буфера, можно ли скомпрометировать его таким образом, чтобы разрешить полный доступ к машине? Сетевые ресурсы на машине?
Я не думаю, что риск очень велик, но нанесенный ущерб может быть значительным, поэтому это нужно тщательно продумать.
-Адам
Dropbox недавно признал, что не использует SSL для передачи метаданных файлов между мобильными клиентами и их серверами. Они делают это специально из соображений производительности. Они нигде на своем веб-сайте не заявляют, что делают это. Вы можете прочитать об этом здесь:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Обновление (1,5 года спустя): Dropbox утверждает, что теперь они передают данные по протоколу SSL и хранят их в контейнерах AES-256, которые они не могут получить самостоятельно (без пароля).
Я думаю, что они работают над версией, которую компании смогут использовать для внутреннего пользования, с большей безопасностью, но между тем файлы не зашифрованы на их серверах, поэтому вы должны им доверять.
Кроме этого, я не вижу других угроз безопасности, присущих Dropbox (например, утечки информации).
Многое будет зависеть от политики вашей компании. Если это похоже на то, где я работаю - где все разработки, которые я делаю, принадлежат больнице, а не мне - тогда я был бы обеспокоен тем, что это простой способ для интеллектуальных активов компании «уйти».
Существует множество систем управления документами, которые позволят вам настроить то, что доступно только изнутри или через контролируемое соединение.