我需要一些在家办公的用户访问大量文件(不是很大,但很多),文件大小很容易超过 18TB。问题是这些用户并不是 100% 为我们工作,我们需要一种方法尽可能将他们的机器与我们隔离。
我知道还有其他方法可以实现这一点,但我想探索一下这个。
我的想法是:
为他们提供一个小型虚拟机,在他们的计算机上本地运行,该虚拟机将配置为:
- 资源不足(我正在考虑最小安装 CentOS,可能只需要 256MB 左右的 RAM)。
- 被锁定、加密,并且无法与我们的服务器以外的任何服务器连接。
- 通过 SSH 或 VPN 连接到我们的网络
- 连接后挂载远程共享文件夹
- 与主机共享该文件夹。
- 从 Hypervisor 端连接的唯一方式是通过 Samba 共享。
这样,用户就可以访问共享文件夹并照常工作,但我们将完全控制与我们连接的机器。(用户计算机不属于我们公司)
为了准确地回答我的问题,我想知道这听起来是否太疯狂或者也许有人知道我是否会遇到麻烦?
如果您认为这不正确,那么实现这一目标的最佳方法是什么?
答案1
您无法完全控制机器,因为您需要告诉用户加密密码,否则他们无法启动机器。这样,他们也将完全控制虚拟机。
只需让他们访问他们可以连接的某个 RDP 服务器即可处理文件(在 VPN 后面) - 您将对此拥有更多的控制权。
编辑:进一步解释一下为什么我认为您的解决方案不值得付出努力。
首先,让我们考虑一个普通的 VPN 和与 CIFS 服务器的直接连接。通常,您可以用防火墙保护 VPN 端点,使其仅允许通过 CIFS 端口连接到 CIFS 服务器。然后,CIFS 服务器将确保客户端只能访问其有权访问的资源。
您的 VM 解决方案将允许基本相同的操作,不同之处在于它将通过 Samba 服务代理 CIFS 连接。当然,这是额外的安全层,因为客户端将更难攻击服务器上潜在的 CIFS 实现漏洞(但这并非不可能)。但是,这样做的代价确实很高,因为您的环境非常复杂且容易出错,而且需要大量支持,因为无论出于何种原因,每当客户端计算机必须重新启动时,您都需要主动解锁加密的 VM(坦率地说,我不会允许任何人出于此目的访问我的私人计算机!)。
在您这边添加 CIFS 代理确实会起作用,并会带来更易于维护的环境并获得相同的最终结果 - 只需让客户端通过 VPN 连接到该代理而不是原始 CIFS 服务器。
注意:做这些都很好,但不幸的是,它无法保护您免受整个场景中真正最有可能的危险,即客户端感染恶意软件(例如勒索软件)的可能性。无论您以何种方式实施,客户端都将拥有对某些 CIFS 共享的写访问权限,而保护您免受此影响的唯一方法是定期进行可靠的备份并对其进行测试!