web-dev-qa-db-ja.com

セキュリティのために開発用PCのインターネットアクセスを無効にする

私の友人の会社は、プログラマーの主要な開発用PCのインターネットアクセスを無効にしてセキュリティを向上させ、インターネットに接続するための別のPCを提供しようとしています。彼はWebプログラマーです。これは理にかなっているとは思いません。それはウェブ開発にとってひどく迷惑になるでしょう。 Google、Facebook、StackExchangeのような有名なインターネット企業は決してそうはしないと思います。私の意見では、私の友人の会社はセキュリティを改善する他の方法を見つけるべきですが、私は間違っているかもしれません。

このポリシーは意味がありますか?

7
Sanghyun Lee

まず第一に、私はこれがひどい考えだと思っている収容所にいます。セキュリティとはトレードオフであり、通常は潜在的な安全性と利便性をトレードオフします。しかし、ビジネス環境では、それはすべてコストの問題です。ソースコードに悪意のある可能性のある外部の影響(せいぜい疑わしい)のコストは、劇的な開発コストの増加を上回る必要があります。

セキュリティ障害の代償は、万能ゲームではありません。適切な検証、バックアップ、コードレビュー、およびSCMの手法とツールを使用することにより、セキュリティ障害のコストを軽減できます。さらに、これらの手法は、セキュリティの問題だけでなく、他の問題にも役立ちます。

そのような政策の唯一の言い訳は、それが課すであろう費用の大まかな控えめさと代替案に関する理解の欠如でなければならないでしょう。そして、そのような経営障害のある会社は、長期的な雇用の見込みがありません。

今のところ、そのようなポリシーが完全に合理的である1つの環境を考えることができます。特に、多くのセキュリティ関連企業(特に政府のセキュリティ請負業者)は、すべてに赤緑の部門を持っていますリソース。 「赤」側は外部の影響を受けやすく、「緑」側は完全に隔離され、あらゆる方法で自己完結型です。相互接続、共有システム、共有コード、共有情報はありません。

このような環境では、インターネットから切断されたマシンで「グリーン」な開発を行う必要があります。ただし、このような環境でも、各従業員/開発者には2台のワークステーション(赤と緑のワークステーション)が必要であり、従業員がインターネットから完全に切り離されることはありません。

11
tylerl

実際、会社がハードウェアとネットワークに適切に設定するためにお金を費やすことをいとわないなら、これは素晴らしいアイデアだと思います。また、開発者はおそらく2つ以上のマシンを使用する必要がありますが、それは別の問題です;-)

インターネットマシンに2つのネットワークカードを挿入すると、1つはインターネット用、もう1つは開発用マシン(分離ネットワーク)に接続するために、 ボーダーのないマウス のようなプログラムを使用して開発者を許可できます。あるコンピュータから別のコンピュータにデータをコピーして貼り付ける。また、1つのマシンから別のマシンにファイルをコピーすることもできます。

セキュリティ上の利点は、不便さをはるかに上回るようです。

6
JonnyBoats

簡単なチェックで、これがISO 27002のセクション11.4.5にあることが確認されたので、これは確かに適切な情報セキュリティ管理策です。

もちろん、それが特定のケースで適切であるかどうかは、正確な状況-脅威モデル、リスク評価、許容可能なリスク、生産性に関する測定のコストに依存します。

GoogleとFacebookのどちらもこの種の分離を日常的に行っているとは思いません。 この投稿 一部の元従業員によると、Googleのエンジニアは通常2台のコンピューターを持っていますが、両方で開発作業を行うことができ、Facebookのエンジニアは通常1台のコンピューターを持っています。

6
Graham Hill

セキュリティに関しては不合理ではないように思えますが、開発者としては手を切るようなものです。私は参考のためにインターネットコンテンツを頻繁に参照しています。 Visual Studioの既定のインストールでは、すべてのヘルプコンテンツがオンラインソースから取得されます。また、AFAIKをローカルにインストールできないMSシンボルサーバーも使用します。
開発者のプライマリワークステーションからのインターネットアクセスを許可します。プロキシ経由で監視できるようにします。アクセスを制限する必要があると会社が考える場合は、プロキシを使用して、アクセスできるサイトを、使用しているテクノロジに関連するサイトに制限することをお勧めします。

4
pipTheGeek

あなたが私に尋ねたら、ハンマーでナッツを割る。完全な開示私は開発者です:)

他にも、開発用PCからインターネットへの合理的に安全なアクセスを可能にする多くのコントロールを配置できます。認証を必要とするWebプロキシを経由するすべてのトラフィック、既知の悪いサイトをブロックしているプロキシ、または実際のビジネス上の利点がないもの(ただし、ビジネスの規模と種類によっては定義が難しい場合があります)。

企業環境での開発用PCの問題は、「奇妙な」ツールや「奇抜な」ツールをインストールする必要性から生じる傾向があります。開発者のPCを企業ネットワークから分離し、受信接続を管理するのがほぼ容易になるほど、開発者がWiresharkを必要とする理由をITに説明するのは難しい場合があります。

4
Colin Cassidy

それも私には怪しいようです。開発者にインターネットの使用を許可する方が良いのではないかと思いますが、ファイアウォール(着信接続がブロックされている)で、妥協を防ぐための予防策(自動更新、最新のブラウザーの使用、Secunia PSIのインストール、場合によっては実行など) VM=会社が十分に懸念している場合は、開発者にMacを購入して、Windowsマルウェアの影響を受けないようにすることもできます)。

良い面としては、少なくとも雇用主は、インターネットに接続するための2台目のPCを用意しているのです。そして一般的に言えば、開発者はできるだけ会社と協力するように努めるべきだと思います。

雇用主が与える理由は何ですか?

4
D.W.