Como outras empresas lidam com navegadores e versões aprovados para hardware interno de desenvolvimento corporativo da Web?

Question

Como outras empresas lidam com navegadores e versões aprovados para hardware interno de desenvolvimento corporativo da Web?

#1 resposta do (13 votos)
#2 resposta do (5 votos)

5

Sou um desenvolvedor da Web para uma organização de TI muito grande. Nossos sites veem uma parte saudável do nosso tráfego do Google Chrome. Então, como desenvolvedor da Web, tenho esse navegador no meu laptop de desenvolvimento para testar nossos aplicativos da Web com ele. Juntamente com o IE 8 (navegador padrão corporativo aprovado) e a versão atual do FF (que também é um software aprovado) Claro que assim como o problema com grandes organizações, nossos parceiros de negócios e parceiros de segurança de TI não falam uns com os outros. >

Hoje, recebi um e-mail de nossa equipe interna de segurança de TI dizendo que o Google Chrome não é um software aprovado e cito "é um grande risco para a organização". Eles me disseram que vão removê-lo automaticamente da minha máquina hoje. Portanto, agora não posso dar suporte ao requisito de negócios de suporte ao tráfego do Chrome e não posso contornar a política de software não aprovada.

Eu reconheço que os navegadores (e possivelmente o email) são as maiores ameaças internas à segurança de TI dos funcionários internos. No entanto, esse problema definitivamente não é exclusivo da nossa organização. Por isso, estou curioso para saber como outras equipes internas de segurança de TI lidam com a aprovação de navegadores para uso em hardware corporativo.

security google-chrome

por Kip Diskin 03.02.2012 / 20:49

2 respostas

Tags security google-chrome

Linux Vlans sobre Bridge Chef pare e inicie o serviço em sequência

score 13 · Answer 1

So now I am unable to support the business requirement of supporting Chrome traffic, and unable to skirt around the unapproved software policy.

Este é um problema social, portanto não há uma solução técnica sensata para ele. (Obviamente, você pode fazer coisas que violam a política de segurança e correr o risco de ser demitido ou repreendido ou que não atenda às necessidades do negócio e arrisque a mesma coisa.)

Você tem um problema: seu chefe exige algo que a equipe de segurança proíbe que você faça. Este é um problema que você precisa levar para ele e obter uma solução.

(... e se isso envolver a quebra das regras da equipe de segurança, obtenha isso em escrevendo antes de fazer isso.)

score 5 · Answer 2

O que eu tenho visto com mais frequência é que restrições como essas surgem não apenas por um desejo de conformidade, consistência e fácil suporte, mas também por causa dos requisitos de conformidade ou de relatórios. Embora a TI possa optar por fazer exceções às suas próprias regras na primeira categoria, esta última está mais frequentemente enraizada em forças fora do próprio departamento de TI. Permitir que qualquer pessoa se desvie desses requisitos interferirá nos sistemas de monitoramento usados para demonstrar conformidade, e geralmente é necessário um ato de Deus para obter uma exceção aprovada. O fato de essas exceções serem frequentemente "abusadas", em que algo como o Chrome rapidamente se torna seu navegador padrão, bem como um navegador de testes, não ajuda em nada.

O resultado é que os desenvolvedores ainda devem estar em conformidade com a política de segurança básica em seu desktop principal.

Mas isso é apenas para o sistema core . Para contornar essas restrições tolas, os desenvolvedores terão permissão para executar máquinas virtuais para testar ambientes , usando imagens ou modelos que tenham ambientes e aplicativos explícitos configurados ou que permitam consideravelmente mais liberdade no que está instalado . Isso inclui aplicativos como o Chrome, que podem estar fora da política de segurança normal. Desta forma, tudo está bem na terra dos relatórios de gerenciamento, mas o trabalho ainda é feito quando necessário.

Outras opções incluem ambientes de laboratório com máquinas físicas, onde as máquinas físicas estão em um segmento de rede e switch completamente diferentes. Agora que as VMs são tão fáceis, isso é menos comum.

No entanto, você provavelmente não tem o poder de adquirir VMs ou um laboratório sozinho. Você precisará envolver seu chefe aqui. Se você abordar o problema por meio dos canais apropriados e solicitar uma solução de compromisso, como um ambiente de VM (e talvez o hardware para lidar com isso), mostrará que entende e respeita os problemas de segurança e de TI envolvidos. Desta forma, eles são muito mais propensos a levar o seu pedido a sério.