Soru Diğer şirketler dahili kurumsal web geliştirme donanımı için onaylanmış tarayıcıları ve sürümleri nasıl ele alır?


Çok büyük bir BT organizasyonu için bir web geliştiricisiyim. Sitelerimiz, Google Chrome’dan trafiğimizin sağlıklı bir bölümünü görmektedir. Bir web geliştiricisi olarak web uygulamalarımızı test etmek için geliştirdiğim dizüstü bilgisayardaki tarayıcıya sahibim. IE 8 (onaylanmış şirket varsayılan tarayıcısı) ve FF'nin güncel sürümü (ayrıca onaylanmış yazılım) ile birlikte Büyük kuruluşların problemi olduğu gibi elbette iş ortaklarımız ve BT Güvenlik ortaklarımız birbirleriyle konuşmuyor.

Bugün, dahili BT güvenlik ekibimizden, Google Chrome'un yazılımı onaylamadığını belirten bir e-posta aldım ve "kuruluş için büyük bir risk" olduğunu belirtiyorum. Bana bugün makinemden otomatik olarak çıkaracaklarını söylediler. Şimdi, Chrome trafiğini destekleme gereksinimini destekleyemiyorum ve onaylanmayan yazılım politikasını destekleyemiyorum.

Tarayıcıların (ve muhtemelen e-postaların) dahili çalışanlar için BT güvenliğinin en büyük dahili tehditleri olduğunu biliyorum. Ancak, bu sorun kesinlikle bizim organizasyonumuza özgü değildir. Bu yüzden, diğer dahili BT güvenlik ekiplerinin, şirket donanımında kullanım için onaylayan tarayıcıları nasıl ele aldığını bilmek merak ediyorum.


5
2018-02-03 19:49


Menşei


Sadece bugün, Chrome Blog bir makale yayınladı: Alman Federal Bilgi Güvenliği Ofisi, Chrome'u önerir :) - Janis Veinbergs
@JanisVeinbergs Sadece bu yazıyı arıyordum! Daniel'in önerisiyle birlikte, BT güvenliği için güçlü bir kullanım davası / gerekçesi olmalı. Hala erişime izin vermiyorlarsa, geri itin. - Publiccert
BT ile savaşmak istemiyorsanız, her zaman BrowserStack.com veya bir EC2 Windows örneği gibi bir şey vardır. - ceejayoz
@ceejayoz Kesin diye bir şey söyleyemem ama bu IT 'güvenlik' grubunun Chrome’u engellemediğini hayal edersem, onunla çok fazla heyecanlanmayacaklar. RDP’ye: P Sadece bir düşünce, ama senin fikrin iyi ne olursa olsun. - Publiccert
Chrome Blog makalesi için teşekkürler. Bu makaleyi kesinlikle onların dikkatine getireceğim. Benim kaygılarım, masum politikayı kanıtlayana kadar beni suçlu sayıyor gibiydi. Bu yüzden, onlarla tanıştığımda diğer şirketlerin bu sorunu nasıl ele aldıklarına dair çok fazla bilgiye sahip olduğumdan emin olmak istiyorum. - Kip Diskin


Cevaplar:


Şimdi, Chrome trafiğini destekleme gereksinimini destekleyemiyorum ve onaylanmayan yazılım politikasını destekleyemiyorum.

Bu sosyal bir problem, bu yüzden aklı başında teknik bir çözüm yok. (Belli ki güvenlik politikasını ihlal eden şeyleri yapabilir ve riske girmenizi veya kovulmanızı ya da iş ihtiyacını karşılamaması riskini ve aynı şeyi riske atma riskini alabilirsiniz.)

Bir problemin var: Patronun, güvenlik ekibinin yapmanı yasakladığı bir şey istiyor. Bu ona geri almanız gereken bir problem ve bir çözüm bulun.

(... ve eğer güvenlik ekibi kurallarını çiğnemeyi içeriyorsa yazı bunu yapmadan önce.)


13
2018-02-03 19:51



Kötü yönetilen bir organizasyonun muhtemelen başarısızlığa mahk ism olduğunu söyleyebilirim, bu yüzden becerilerimi kullanmak için daha iyi bir yer aramaya başlarım. - Aleksander Adamowski
Sunulan verilerden bu kadar geniş bir sonuca ulaşamadım; Bu durum söz konusu olsa da, BT güvenlik grubunun hiç sorulmamış olması ve "herhangi bir onaylanmamış yazılımı" örneğin yasal nedenlerden dolayı bu şekilde ele alması da olabilir. (... ama muhtemelen başka bir yere taşınacağım, kendim.) - Daniel Pittman
İşten ayrılmaya (ya da kovulmaya) bakmıyorum ve daha büyük sorunun, iş ortaklarımız ve BT Güvenlik ortaklarımızın konuşmaya başlaması gerektiği olduğunu biliyorum. Ancak, tarayıcılar hemen hemen her sektörde her şirket için büyük bir güvenlik riski oluşturuyor, bu yüzden bu şirketlerin geliştirme personelinin hangi tarayıcıları kullanacağına nasıl karar verdiği hakkında daha fazla bilgi edinmeyi umuyordum. Yasal kararlar, güvenlik açığı artıları / eksileri, bu tür şeyler - Kip Diskin
Güvenlik önemli bir sorunsa, belki de geliştiricilerine, test sunucusunun, hassas bitlerden korunan ağın bir bölümüne yerleştirildiği bir tür test terminali sunucusu / vdi kurulumuna erişebilir. - Zoredache
Bu. Bir kilitlenme var. İşinizin görevlerini yerine getirmek için kırmalısınız. Bir yazılım geliştirme yöneticisi olarak patronunuzun birincil görevlerinden biri, ödeme notunuzun üzerindeki engelleri kaldırmaktır. Yani, işimin gerektirdiği bir şeyi kullanamayacağımı söylediysem bu benim ilk durağım olur. BT'yi kendiniz almayın; En azından doğrudan onlara geri itmeden önce patronunuzun nimetine sahip ol. - KeithS


En sık karşılaştığım şey, bu tür kısıtlamaların sadece uyumluluk, tutarlılık ve kolay destek isteği değil, aynı zamanda uyumluluk veya raporlama gereklilikleri nedeniyle ortaya çıkmasıdır. BT, eski kategoride kendi kurallarına istisnalar getirmeyi seçebilirken, ikincisi daha çok BT departmanının kendisinin dışındaki güçlere dayanmaktadır. izin Verme kimse Bu gerekliliklerden sapmak, uygunluğu göstermek için kullanılan izleme sistemlerine müdahale edecektir ve genellikle onaylanmış bir istisna elde etmek için Tanrı'nın bir hareketini gerektirir. Bu istisnaların genellikle "kötüye kullanıldığı" gerçeği, Chrome gibi bir şeyin hızlı bir şekilde tarayıcınızın yanı sıra bir test tarayıcısı haline gelmesi, hiçbir şekilde yardımcı olmaz.

Bu vesileymiş geliştiricilerin genellikle çekirdek masaüstündeki temel güvenlik politikasına uymaları beklenir. 

Ama bu sadece çekirdek sistemi. Bu aptalca kısıtlamaların üstesinden gelmek için, geliştiricilerin test ortamları için sanal makineleri çalıştırmasına izin verilir.Açık ortamlara ve uygulamalara sahip olan veya yüklenenlere önemli ölçüde daha fazla özgürlük sağlayan görüntüleri veya şablonları kullanma. Bu, normal güvenlik politikasının dışında kalabilecek Chrome gibi uygulamaları içerir. Böylelikle, hepsi aptalca yönetim raporları alanında iyi bir şeydir, ancak ihtiyaç duyulduğu zaman işler hala yapılır.

Diğer seçenekler arasında fiziksel makinelerin bulunduğu laboratuar ortamları, fiziksel makinelerin tamamen farklı bir ağ kesimi ve geçişi bulunmaktadır. Artık bu VM'ler çok kolay olsa da, bu daha az yaygındır.

Ancak, muhtemelen VM'leri veya laboratuvarı kendiniz temin etme gücünüz yoktur. Patronunu buraya dahil etmelisin. Soruna doğru kanallar aracılığıyla yaklaşırsanız ve bir VM ortamı (ve belki de bunun üstesinden gelebilecek donanım) gibi bir uzlaşma çözümünü sorarsanız, ilgili güvenlik ve BT konularını anladığınızı ve bunlara saygı duyduğunuzu gösterirsiniz. Bu sayede isteğinizi ciddiye almaları daha olasıdır.


5
2018-02-03 21:23