Meus funcionários da empresa têm de 600 a 700 funcionários remotos, cada um dos quais recebe um telefone IP corporativo e um endpoint de computação de cliente magro.
Em nossa implantação atual, os dois dispositivos são configurados (configurações padrão, vpn, etc) em nosso escritório corporativo e enviados para os usuários finais.
Temos alguns problemas com essa implantação atual, o principal deles é que nossa equipe de suporte quase não tem visibilidade da rede doméstica de seus funcionários quando eles precisam de suporte (tornando difícil determinar se o problema está do nosso lado ou com o funcionários ISP.
Estamos pensando em trocar nossa implementação de infra-estrutura padrão para incluir um ponto de acesso gerenciado (provavelmente o Cisco Meraki z1) para melhor visibilidade da experiência de rede doméstica de nossos funcionários. Uma proposta para este lançamento inclui-nos pedir aos funcionários para conectar o máximo possível de seus dispositivos domésticos através do seu Meraki (para melhor nos permitir fornecer garantias de QOS para seus dispositivos de trabalho).
Essa alteração me deixa desconfortável de duas maneiras:
1) Atualmente, ambos os dispositivos emitidos para nossos funcionários gerenciam suas próprias configurações de VPN, com todas as outras portas de comunicação bloqueadas, então nos sentimos muito confiantes com nossas auditorias de que os dispositivos só falam através de canais criptografados. A implantação sugerida com o Meraki inclui um novo link de rede não gerenciado pela VPN (o próprio Meraki seria conectado via VPN, os dispositivos não seriam)
2) Talvez não haja nada significativamente diferente entre conectar os dispositivos ao Meraki AP versus a implantação atual, onde os funcionários têm seus dispositivos conectados diretamente aos seus roteadores domésticos, mas me pego desejando que eu entenda melhor as configurações de firewall com informações de estado no Meraki z1 para separar os dispositivos domésticos dos dispositivos corporativos.
Há algum usuário experiente da Meraki ou profissionais de segurança de rede que possam comentar sobre essas questões?