Итак, мы видели вопросы о предоставлении разработчикам разной свободы действий при блокировке или развертывании машин, но как насчет их доступа в Интернет? Вы разрешаете безлимитный NAT для своих рабочих станций? Должны ли они хотя бы запускать прокси, чтобы регистрировать доступ? Они работают через прокси-сервер, который фильтрует возвращаемый им контент? Или вы просто ограничиваете им доступ по мере необходимости?
Мое личное мнение - запускать их через прокси без ограничений на посещаемые сайты, но фильтровать контент по мере его доставки, чтобы предотвратить проникновение вредоносного кода внутрь. Полезные данные - ISO-образы, программы и т. Д. Не ограничены, но сканируются.
Какое лучшее решение для этого? Я ошибся? Должны ли разработчики иметь любой доступ, который они хотят в любое время?
Последующее редактирование:
Для справки, я универсал. То есть я прокси-администратор и постоянный разработчик ERP, где я работаю. И да, мой доступ регистрируется и фильтруется, хотя я могу пойти куда угодно. я видел обе стороны этого вопроса, но я еще не слышал веской причины, почему позволять людям разгуляться с вашими интернет-ресурсами - это хорошо. И не у всех есть огромная пропускная способность - моя работа все еще использует T1 для подключения, и он может заполняться очень и очень быстро.
(Вздох) Еще одно редактирование:
Хорошо, полегче, опустите вилы и факелы ... Я упоминаю "ограничить", и все внезапно видят мир в черно-белом цвете, а не в легком оттенке серого. Это не вопрос или / или, вопрос в том, сколькоНасколько приемлемо для всех участников?
(Еще раз)
Итак, после некоторого обсуждения этого вопроса становится ясно, что суть этого вопроса - культурный, а не технический. Я не большой поклонник необходимости фильтровать все - я бы предпочел получать людям то, что им нужно, когда им это нужно, - но я просто вспомнил, что есть мелочи, которые могут помешать этому.
Это задело столько нервов, что людям может понадобиться новокаин в течение нескольких недель, чтобы справиться с этим.
Задача вопроса была достаточно невинной - выяснить, распространена ли это практика, - и, как оказалось, эту практику ненавидят. Обязательно не буду говорить о таких вещах в приличной компании. :)
Я работаю в крупной организации. Мой доступ в Интернет, как и почти все остальные, должен осуществляться через веб-прокси. Имеется сетевая безопасность, поэтому я не могу просто изменить настройки IE, чтобы пропустить прокси. За исключением периодической блокировки форумов TheDailyWTF, когда он замечает определенные слова, это не вызывает у меня никаких проблем. Наше общее интернет-соединение составляет где-то 2 * 2 Мб для 2000 сотрудников. Иногда мне неудобно загрузить пакет обновления, но, как правило, небольшое планирование предотвращает эту проблему. А если это действительно срочно, то именно для этой цели в офис входит стандартная широкополосная линия. Так что нет. Я не вижу причин, по которым разработчиков следует освобождать от какой-либо, кроме самой драконовской политики в отношении Интернета.
Это скорее вопрос организационной культуры, а не технический вопрос.
Технически, нет веских причин ограничивать их доступ, если у вас нет конкретных «проблемных детей», у которых есть вредные привычки, которые нужно регулировать. (Отказ от ответственности: в прошлом я был проблемным ребенком.) На моем веб-сайте есть сообщения о таких разнообразных вещах, как воспитание щенка в собачьем состоянии и садоводство, что в конечном итоге запускает драконовские фильтры контента «только для работы». Даже если вы используете интернет-соединение с ограниченной пропускной способностью, довольно легко отследить чрезмерное количество пользователей на сетевом уровне и таким образом управлять своими пользователями.
В культурном отношении есть множество причин, по которым это может быть желательно для руководства, но это вопрос / ответ руководства.
Почему вы хотите, чтобы ваши разработчики прыгали через обруч? Разве вы не хотите, чтобы они использовали свое время для реальной работы?
Какую проблему ты пытаешься решить?
Если вы пытаетесь заблокировать их силой, чтобы они не работали в Facebook в рабочее время, почему бы просто не установить политику «Нет facebook в рабочее время»? Вы не доверяете своим разработчикам? А если нет, то почему вы нанимаете разработчиков, у которых нет навыков, чтобы обойти ваши препятствия?
Есть также проблема морального духа рабочих. Если вы не доверяете им, блокируя их или регистрируя доступ, они захотят сменить работу. Я знаю, что буду активно искать новую работу, если бы мой работодатель подключился к Интернету. Относитесь к людям как к преступникам, и они будут действовать как преступники.
Где я работаю // Все // проходят через прокси. Это не имеет большого значения. Он используется для обеспечения соблюдения интернет-политики, но мы быстро исправляем блокируемые вещи, которых не должно быть.
Я всегда считал, что использование ИТ для контроля кадровых вопросов - плохая идея. Если у вас есть проблема с людьми, которые не работают из-за того, что бездельничают в Интернете, то ограничение их доступа в Интернет только заставит их тратить время на что-то другое. Если вы хотите решить проблему, вы должны устранить ее первопричину.
То, как вы это делаете, может принимать разные формы в зависимости от типа работы.
Блокирование порно и потоковый контент (YouTube, и т.д.) должно быть достаточно. Вы можете сделать это с помощью squid или проприетарного сетевого устройства (например, BlueCoat).
Я думаю, что более важно ограничить их пропускную способность. На предыдущей работе, как сетевой администратор, я использовал сетевое соединение с командой разработчиков. И это не весело, когда вы работаете с удаленной системой через VPN, пока какой-то разработчик загружает ISO-образ компакт-диска и т.
Любой знающий человек будет иметь доступ ко всему, что захочет, как только вы разрешите исходящий https (кто угодно?). На самом деле политика и образование намного эффективнее с технически подкованными людьми ...
При этом некоторая фильтрация может быть уместной, но вы должны знать, что ее можно легко обойти, и поэтому не полагайтесь исключительно на эту линию защиты ...
Не строго по теме, но что касается прокси и разработчиков, то я бы сначала позаботился о том, чтобы (веб) разработчики удостоверились, что их приложения хорошо играют за обеспечить регресс прокси, перезапись URL и все такое.
Более того, с философской точки зрения, работодатель имеет полное право контролировать и отслеживать то, что вы видите через его восходящий канал, но (а) во многих местах мира, в первую очередь в Европе, закон не смотрит на это и (б) если у вас есть разработчики, которые недостаточно мотивированы, чтобы не засорять трубки в рабочее время, и недостаточно компетентны, чтобы видеть все, что они хотят, если им разрешен HTTP (меньше черных списков) или, тем более, SSH, ваша проблема не в фильтрации прокси .
QoS - это совсем другая история, но фильтрация, нет.
(Edit: QoS может быть правильным способом фильтрации, в любом случае. Это может выглядеть немного пассивно-агрессивным и больше из психологии, чем строго технологического, но администратор брандмауэра у клиента обнаружил, что, если он заблокирует материал, люди найдут способ вокруг - это была очень технически подкованная база пользователей - но если бы он просто сделал это необычайно медленным, они бы не стали. Может быть, это полезно для вас ...)
Может, стоит перевернуть вопрос?
Что нужно сделать разработчикам, чего нельзя сделать с установленным прокси? Почему к разработчикам нужно относиться иначе (с точки зрения доступа в Интернет) по сравнению со всеми остальными?
Фильтруйте (и кешируйте!) Столько, сколько хотите, но, ради всего святого, используйте автоматически настраиваемый прокси (желательно с WPAD) и не заставляйте разработчиков использовать его. Я использую свой рабочий ноутбук в разных местах (корпоративная сеть, общедоступные и частные WLAN, сети клиентов и т. Д.), Поэтому автоконфигурация избавляет от лишних хлопот. Кроме того, я часто работаю с еще не общедоступными (читай: без DNS) веб-сайтами, расположенными на территории клиента, и эти сайты доступны только с определенных компьютеров (обычно с помощью VPN). Если вы не хотите вести список исключений, позвольте мне обойти прокси, чтобы я мог выполнять свою работу.
Если вы слишком сильно ограничиваете исходящий доступ, разработчики обязательно откроют полные туннели вместо ssl или ssh в какую-то частную сеть за пределами - подвергая вашу инфраструктуру еще большему риску из-за не поддающегося проверке зашифрованного трафика imho ...
... невозможность получить доступ к простому незашифрованному репозиторию svn в Интернете для образцов, потому что порт svn заблокирован, чрезвычайно раздражает, среди многих вещей :)
Это то, что вам необходимо обсудить с ответственными лицами - в первую очередь, решения, а затем технические решения.
Должны ли разработчики иметь любой доступ, который они хотят в любое время?
Да, иначе ваша организация будет анонимно упомянута в stackoverflow в одном из многих вики-вопросов сообщества о «раздражающих условиях работы». ;)
А если серьезно, здесь нужно учесть две вещи. Во-первых, очевидно, что разработчики - довольно технически подкованная группа. Снижается риск того, что они откроют дурацкие вложения электронной почты, посетят / загрузят вредоносный контент и т. Д. Во-вторых, если у вас нет причины использовать прокси-доступ в Интернет, зачем беспокоиться? Ваша организация страдает от проникновения вредоносного контента? Было ли несколько вторжений или других проблем с безопасностью? Разве другие ваши решения не помогли решить такие проблемы?
Если ни один из этих вопросов к вам не подходит, значит, вы решаете проблему, которой не существует, и люди будут рассматривать прокси-доступ как драконовский из-за этого.