ネットワーク上のコンピューターを隔離する最も安全な方法
個人のクライアント情報を扱います。迷ってはいけないもの。このため、不確かなものをダウンロードまたはインストールしないように注意する必要がありました。コンピューター上の1つのデータ盗用ウイルスは、本質的にすべてのクライアントに影響を与える可能性があります。情報の保存にはPDF、Microsoft WordおよびExcelを使用し、メールでクライアントと通信するにはFirefoxを使用しています。
この不確実なカテゴリーに分類されるいくつかのソフトウェアをテストする必要が出てきたので、これは問題です。
クライアントのデータをテストするソフトウェアから完全に分離するために、2台目のコンピューターをセットアップできます。
最悪のシナリオでは、テスト用コンピューターがハッキングされます。
両方が同じインターネット回線に接続している場合、ネットワーク上の他のコンピューターに対して何も行わないようにするにはどうすればよいですか?
より危険で危険なアクティビティ(例として、出所が不明なソフトウェアのインストールなど)を分離するために、システム間に課すことができるさまざまなレベルの分離があります。
- コンテナ。ある程度の分離を提供しますが、OSカーネルは引き続き共有されます。
- 仮想マシン。環境を分離するハイパーバイザーを導入します。ハイパーバイザにセキュリティの脆弱性がある場合、ある程度のリスクがここにあります。
- 別のマシン、同じネットワーク。ここでは、ホストファイアウォール(Windowsファイアウォール、Linuxのiptablesなど)を使用して、各マシンを他のマシンから保護できます。
- 別のマシン、異なるネットワーク、同じインターネット接続。ここでは、マシン間にハードウェアファイアウォールを導入します。
- 別のマシン、異なるネットワーク、異なるインターネット接続。ここでは、別のインターネット接続を取得して(たとえば、1つを3/4Gモバイル接続で実行し、もう1つを有線接続で実行して)、一方を他方から完全に分離します。
したがって、オプション4を使用することを決定したと仮定すると、リスクプロファイルはより優れていますが、明らかに以前のコストよりもコストが高くなります。
あなたがケーブルイーサネットネットワークを使用していると仮定すると、おそらく "DMZ"スタイルの機能を可能にするデバイスを入手し、マシンの1つ(ソフトウェアのテストに使用している可能性が高いマシン)を配置するのがおそらく最善の策です。そのDMZネットワークに。
私はニール・スミスラインがあなたが問題を抱えている部分を明確にするべきであることに同意します、しかし私はあなたにいくつかの答えを与えるのに十分理解していると思います。
コンピュータを他のネットワークから分離するには、ネットワーク上にハードウェアベースのファイアウォールを設定する方法を見てください。 FortigateおよびZyxelファイアウォールについて知っています(注:これらを適切に構成する方法を学ぶには時間がかかります)。どちらも、内部トラフィックと外部トラフィックに関して、コンピューターを分離または異なる方法で処理するように構成できます。ただし、これらは非常に複雑であるため、習得は難しい場合があります。また、適切に構成されていないと、穴やその他の問題が残る可能性があるため、やり過ぎになる可能性があります。でも、もしあなたがそれを試したいのであれば、ただの考えです。
良いIT常識になっている過去101。AV/マルウェアスキャン、ハードドライブの暗号化、ソフトウェアAV /ファイアウォールの構成など、ベストプラクティスではなく意見として数える他のもの。
したがって、クライアントデータを個別に保持する限り、できることは、作業用コンピュータがパーソナルコンピュータから分離されていること、および作業用コンピュータで実行されていることが制御および監視されていることを確認することです。答えは1つだけではないので、その部分はあなた次第です(そのため、ニールがより具体的になるように提案した理由)。