私の会社の従業員は約600〜700人のリモート従業員であり、各従業員にはシンクライアントコンピューティングエンドポイントである企業IP電話が発行されています。
現在の展開では、両方のデバイスが本社で構成され(デフォルト設定、VPNなど)、エンドユーザーに出荷されます。
この現在の展開にはいくつかの問題があります。その主なものは、サポートが必要なときにサポートチームが従業員のホームネットワークをほとんど把握できないことです(問題が私たちの側にあるのか、従業員のISPにあるのかを判断するのが困難です。
従業員のホームネットワークエクスペリエンスの可視性を高めるために、標準のインフラストラクチャ展開を入れ替えて、マネージドアクセスポイント(Cisco Meraki z1など)を含めることを検討しています。この展開の提案の1つには、Merakiを介してできるだけ多くの家庭用デバイスを接続するよう従業員に依頼することが含まれています(仕事用デバイスにQOS保証を提供できるようにするため)。
この変更により、次の2つの点で不安になります。
1)現在、従業員に発行された両方のデバイスは、他のすべての通信ポートがロックされた状態で、独自のVPN設定を管理しているため、監査を通じて、デバイスは暗号化されたチャネルを介してのみ通信することを確信しています。 Merakiを使用した推奨展開には、VPNによって管理されていない新しいネットワークリンクが含まれます(Meraki自体はVPN経由で接続され、デバイスは接続されません)
2)デバイスをMeraki APに接続することと、従業員がデバイスをホームルーターに直接接続する現在の展開との間に大きな違いはないかもしれませんが、Merakiz1のステートフルファイアウォール設定をよりよく理解したいと思います。家庭用デバイスを企業用デバイスから分離します。
これらの懸念のいずれかにコメントできる経験豊富なMerakiユーザーまたはネットワークセキュリティの専門家はいますか?
Z1を使用すると、2つのVLANを作成できます。1つはVPNに接続され、もう1つは接続されていません。次に、デバイスをこれらの各LANに接続するSSIDを作成します。特定のポートをVPNポートに指定し、他のポートを指定しないようにして、会社のデバイスを会社のSSIDまたはポートに接続し、自分のデバイスを他のSSIDおよびポートに接続するように従業員に指示できます。
残念ながら、Z1は現在、MACアドレスまたは新しいSystems ManagerSentryを介したこれの実施をサポートしていません。どちらも非常に簡単です。 RADIUS認証を使用して、会社のVLAN/SSIDへの有線および無線アクセスを許可することもできますが、RADIUSサーバーはインターネット接続の反対側になります。それが最善の策だと思います。