我们已接到指示实施 Microsoft Groove 工作区。这通常不是问题,但该工作区将被我们内部/受限网络中的机器以及来自外部/未知网络的对等机器使用。
是否存在这样的实施最佳实践?......或者这是否会使受限网络暴露得过于广泛?
答案1
Groove 的设计理念似乎是,某些客户端可能位于防火墙后面,它能够绕过其常用数据通道 TCP 2492 并使用 Web 端口(TCP 80 或 443)。如果您的安全网络允许这些端口出站(即使不允许),客户端也可能能够进行会话。如果没有,如果您的内部网络限制较多,MS 有一个 Groove Relay 服务器产品可能有助于促进通信。
最有用的文档可能在这里: http://technet.microsoft.com/en-us/library/cc261778.aspx
话虽如此,如果您允许高度安全的网络和低安全性网络中的客户端之间进行 Groove 访问,那么您将使该安全网络面临更多风险。我不了解您的业务,所以我只能猜测一些新的风险:
- 恶意软件从安全性较低的 Groove Client 转移到安全性较高的客户端的可能性增加
- 敏感数据被意外或故意转移到低安全区域的可能性增加
- 打开防火墙访问时意外暴露易受攻击的端口