我是一家大型 IT 组织的 Web 开发人员。我们网站的流量中很大一部分来自 Google Chrome。因此,作为一名 Web 开发人员,我在开发笔记本电脑上安装了该浏览器,以便用它来测试我们的 Web 应用程序。此外,我还安装了 IE 8(经批准的公司默认浏览器)和当前版本的 FF(也是经批准的软件)。当然,与大型组织的问题一样,我们的业务合作伙伴和 IT 安全合作伙伴之间不会相互交流。
所以今天我收到了一封来自我们内部 IT 安全团队的电子邮件,说 Google Chrome 不是批准的软件,我引用道“这对组织来说是一个巨大的风险”。他们告诉我,他们今天会自动将其从我的机器上删除。所以现在我无法满足支持 Chrome 流量的业务要求,也无法绕过未经批准的软件政策。
我认识到浏览器(可能还有电子邮件)是内部员工 IT 安全面临的最大内部威胁。然而,这个问题绝对不是我们公司独有的。因此,我很好奇其他内部 IT 安全团队如何处理批准在公司硬件上使用浏览器的问题。
答案1
所以现在我无法支持支持 Chrome 流量的业务需求,也无法绕过未经批准的软件政策。
这是一个社会问题,因此没有合理的技术解决方案。(您显然可以做一些违反安全政策的事情,并冒着被解雇或被训斥的风险,或者做一些无法满足业务需求的事情,并冒着同样的风险。)
你遇到了一个问题:你的老板要求你做某件事,而安全团队却禁止你做。你需要把这个问题反馈给他,并找到解决方案。
(...如果这涉及违反安全团队规则,请写作才会去做这件事。)
答案2
我最常看到的是,此类限制不仅是出于对一致性、一致性和易于支持的渴望,还因为合规性或报告要求。虽然 IT 部门可以选择对前者做出例外规定,但后者往往源于 IT 部门本身以外的力量。允许任何人偏离这些要求将干扰用于显示合规性的监控系统,并且通常需要天灾才能获得例外批准。事实上,这些例外经常被“滥用”,Chrome 之类的浏览器很快就会成为您的默认浏览器以及测试浏览器,这根本没有任何帮助。
结果是通常仍希望开发人员遵守其核心桌面上的基本安全策略。
但这只是为了核系统。为了绕过这些愚蠢的限制,开发人员将被允许运行虚拟机来测试环境,使用图像或模板,这些图像或模板要么设置了明确的环境和应用程序,要么允许他们在安装内容方面有更大的自由度。这包括可能不属于正常安全策略的应用程序(例如 Chrome)。这样,在愚蠢的管理报告领域一切都很好,但在需要时仍能完成工作。
其他选项包括具有物理机的实验室环境,其中物理机位于完全不同的网段和交换机上。不过,现在虚拟机如此简单,这种情况不太常见。
但是,您可能没有能力自己采购虚拟机或实验室。您需要让您的老板参与进来。如果您通过适当的渠道解决问题并要求妥协的解决方案,例如虚拟机环境(以及处理它的硬件),则表明您理解并尊重所涉及的安全和 IT 问题。这样他们就更有可能认真对待您的请求。