Kip*_*kin 5 security google-chrome
我是一家大型 IT 组织的 Web 开发人员。我们的网站从 Google Chrome 浏览器中看到了健康的一部分流量。因此,作为一名 Web 开发人员,我在我的开发笔记本电脑上安装了该浏览器来测试我们的 Web 应用程序。除了 IE 8(经批准的企业默认浏览器)和当前版本的 FF(也是经批准的软件)之外,当然,我们的业务合作伙伴和 IT 安全合作伙伴不会相互交流,这与大型组织的问题一样。
所以今天我收到了一封来自我们内部 IT 安全团队的电子邮件,说 Google Chrome 不是经过批准的软件,我引用“这对组织来说是一个巨大的风险”。他们告诉我他们今天会自动从我的机器上删除它。所以现在我无法支持支持Chrome流量的业务需求,也无法绕过未经批准的软件政策。
我认识到浏览器(可能还有电子邮件)是内部员工 IT 安全面临的最大内部威胁。然而,这个问题绝对不是我们组织独有的。所以我很想知道其他内部 IT 安全团队如何处理批准用于公司硬件的浏览器。
Dan*_*man 13
所以现在我无法支持支持Chrome流量的业务需求,也无法绕过未经批准的软件政策。
这是一个社会问题,因此没有合理的技术解决方案。(你显然可以做违反安全策略的事情,最终可能会被解雇或谴责,或者不能满足业务需求,并冒同样的风险。)
你有一个问题:你的老板要求安全团队禁止你做的事情。这是一个你需要带回给他的问题,并得到一个解决方案。
(...如果这涉及违反安全团队规则,请在执行之前将其写下来。)
我最常看到的是,此类限制的产生不仅出于对一致性、一致性和简单支持的渴望,而且还出于合规性或报告要求。虽然 IT 可以选择对前一类的规则做出例外,但后者更多地是植根于 IT 部门本身之外的力量。允许任何人偏离这些要求将干扰用于表明合规性的监控系统,并且通常需要天灾才能批准例外。事实上,这些例外经常被“滥用”,Chrome 之类的东西很快就会成为你的默认浏览器和测试浏览器,这根本无济于事。
结果是,开发人员通常仍然希望遵守其核心桌面上的基本安全策略。
但这只是针对核心系统。为了绕过这些愚蠢的限制,开发人员将被允许为测试环境运行虚拟机,使用具有显式环境和应用程序设置的图像或模板,或者允许他们在安装内容方面具有更大的自由度。这包括可能不符合正常安全策略的应用程序,例如 Chrome。这样,在愚蠢的管理报告领域一切顺利,但在需要时仍然可以完成工作。
其他选项包括具有物理机的实验室环境,其中物理机位于完全不同的网段和交换机上。不过,既然 VM 如此简单,这种情况就不那么常见了。
但是,您可能无权自行购买 VM 或实验室。你需要让你的老板参与进来。如果您通过适当的渠道解决问题并寻求折衷解决方案,例如 VM 环境(可能还有处理它的硬件),则表明您了解并尊重所涉及的安全和 IT 问题。这样他们就更有可能认真对待您的请求。