직원 및 개인용 랩톱에 대해 어떻게합니까?


38

오늘날 우리 개발자 중 한 명이 자신의 집에서 노트북을 도난당했습니다. 분명히 그는 회사의 소스 코드에 대한 전체 svn 체크 아웃과 SQL 데이터베이스의 전체 사본을 가지고있었습니다.

이것이 개인적으로 회사가 개인 랩톱에서 작업하는 것을 반대하는 이유 중 하나입니다.
그러나 이것이 회사 소유의 랩톱이더라도 전체 디스크에 암호화 (WDE)를 적용 할 수있는 약간 더 강력한 위치에 있더라도 여전히 동일한 문제가 있습니다.

질문은 다음과 같습니다.

  1. 회사는 회사 소유가 아닌 하드웨어의 회사 데이터에 대해 무엇을합니까?
  2. WDE는 합리적인 솔루션입니까? 읽기 / 쓰기에 많은 오버 헤드가 발생합니까?
  3. 거기에서 저장 / 액세스 된 암호를 변경하는 것 외에 다른 제안이 있습니까?

7
도난 당했습니까, 아니면 "도난 당했습니까?" 나는 한때 직원 용 랩탑이 신비하게 사라지는 사건을 겪었고, 이상한 기회로, 그것은 그들의 집에서 "도난당한"유일한 것이었다. 물론 1000 만 달러의 다른 하드웨어와 귀중품은 그대로 남아있었습니다. 그들은 물론 경찰에게 조사를 요청하지 않았습니다. 경찰에 전화해서 조사를 했습니까?
bakoyaro

경찰이 회사 직원의 요청에 따라 개인 노트북의 도난을 조사하는 것을 보지 못했습니다. 그렇습니다. 소스 코드는 회사 소유라고 주장 할 수 있지만 경험에 의하면 경찰은 어깨를 으 and하고 아무 일도하지 않을 것입니다.
벨민 페르난데스

3
@bakoyaro 네, 경찰에 통보되었습니다. 그의 지갑과 노트북 만이 닉에 빠졌습니다. 조금 이상합니다.
Tom O'Connor

1
관리자와 동료가 걱정해야한다는 사실을 설득 할 수 없기 때문에 내가하는 일은 크게 걱정하는 것입니다.
Zoredache

8
@Tom-걱정 되세요? 개인 데이터에 은행 계좌 정보가 포함되어 있으면 어떻게됩니까? 네. 항상 관심을 끌 지요? 문제는 실제로 어떤 산업에 종사하고 있는지 또는 어떤 국가에 있든 상관없이 비즈니스는 데이터 보안을 항상 심각하게 생각하지 않으며 의도가 좋을 때에도 일을 처리하는 것입니다 모든 일을 제대로 수행 하는 너무 자주 걸릴 수 있습니다 . 진정한 지혜는 그 차이를 언제 나누고 언제 발 뒤꿈치를 파야하는지 아는 것입니다.
Rob Moir

답변:


30
  1. 문제는 사람들이 자신의 키트로 초과 근무를하지 않는 것을 허용하는 것이 매우 싸기 때문에 관리자는 그것을 기꺼이 멈추지 않는다는 것입니다. 하지만 누출이 발생했을 때 IT를 비난하게되어 기쁠 것입니다 ... 강력하게 시행되는 정책 만이이를 방지 할 수 있습니다. 그들이 균형을 맞추고 자하는 곳은 경영진에게 달려 있지만, 그것은 사람들의 문제입니다.

  2. 관리자 수준의 워크로드가있는 랩톱에서 WDE (Truecrypt)를 테스트했으며 성능 측면에서 나쁘지 않은 I / O 적중은 무시할 수 없습니다. 나는 ~ 20GB의 작업 복사본을 유지하는 여러 개발자들도 있습니다. 그 자체로는 '솔루션'이 아닙니다. (예를 들어 부팅하는 동안 보안되지 않은 컴퓨터에서 데이터가 제거되는 것을 막지는 않지만) 확실히 많은 문을 닫습니다.

  3. 모든 외부 보유 데이터에 대한 블랭킷 금지는 어떻습니까? 원격 데스크톱 서비스, 적절한 VPN 및이를 지원하는 대역폭에 대한 투자가 이어졌습니다. 그렇게하면 모든 코드가 사무실 내부에 유지됩니다. 사용자는 리소스에 대한 로컬 네트워크 액세스 세션을 얻습니다. 가정용 기계는 멍청한 터미널이되었습니다. 모든 환경에 적합하지는 않지만 (간헐적 인 액세스 또는 높은 대기 시간은 귀하의 경우 거래를 중단시킬 수 있습니다) 재택 근무가 회사에 중요한지 고려할 가치가 있습니다.


3
세 번째 제안에 +1 나에게 가장 의미가 있습니다.
벨민 페르난데스

1
# 3도 우리가가는 방향입니다. 서버 하드웨어에서 실행되는 VM에 VPN을 넣고 RDP 할 수 있는데 왜 랩톱에서 컴파일해야합니까? VPN을 통해 코드를 체크 인 및 체크 아웃하지 않으면 모두 사무실 LAN에 유지됩니다.
8월

2
우분투 사용자는 대체 설치 프로그램의 일부인 내장 LUKS 암호화를 사용할 수 있습니다. 훌륭하게 작동하며 설치시 설정하기가 쉽지 않습니다.
Zoredache

7
옵션 3 (RDP / VNC)은 제 경험에 짜증이납니다. 문제는 모든 대기 시간이 가장 널리 사용되는 IDE의 자동 완성 기능을 심각하게 망가 뜨리는 경향이 있다는 것입니다. 사용자가 대기 시간이 매우 짧은 견고한 인터넷 연결을 사용하지 않는 한 거의 확실하게 원격 데스크톱 솔루션을 싫어할 것입니다.
Zoredache

7
# 3을 옹호하는 사람이 실제로 시도한 적이 있습니까? 나는 아마도 수백 또는 수천 시간을 그런 식으로 일하고 있었고 나는 그것을 싫어합니다. LAN을 통해서도 재미 있지 않으며 VPN을 통해 전화를 걸었을 때를 상기시켜줍니다.
Gabe

13

우리 회사는 회사 소유의 모든 랩톱에서 전체 디스크 암호화를 요구합니다. 물론 오버 헤드가 있지만 대부분의 사용자에게는 이것이 문제가되지 않습니다. 웹 브라우저와 오피스 스위트를 실행하고 있습니다. 내 MacBook은 암호화되어 있기 때문에 VirtualBox에서 VM을 실행할 때도 눈에 띄는 영향을 미치지 않았습니다. 하루 종일 많은 코드를 컴파일하는 사람에게는 문제가 될 수 있습니다.

분명히 이런 종류의 정책 프레임 워크가 필요 합니다. 회사 소유의 모든 랩톱을 암호화해야하며 회사 데이터를 회사 소유가 아닌 장비에 저장할 수 없도록해야합니다. 기술 및 경영진도 불만을 제기하더라도 정책을 시행해야합니다. 그렇지 않으면 동일한 문제가 다시 발생합니다.


5
이는 암호화 디스크에서 컴파일 시간이 충분히 빠른 경우에만 가능합니다. 프로그래머는 할 것입니다 무엇도 이 빠른 컴파일 시스템을 얻을합니다. 계약 유무에 관계없이.
Ian Ringrose 16:25에

4
그래도 컴파일 시간이 지나면 사무실에서 데스크탑 워크 스테이션을 받아 들일 수는 없지만 놀라운 힘을 발휘합니다 ^^
Oskar Duveborn

3
너무 사실입니다. 구현하려는 경우 일부 벤치 마크를 실행하고 개발자에게 게시 하는 것이 좋습니다 . 실제 조건에서 WDE에 대해 <5 % 오버 헤드를 표시하면 보드에 넣을 수 있습니다. 당근 : 거래를 단화시키기 위해 개발자에게 SSD를 제공합니다. 스틱 : 메커니즘을 파괴하여 위반을 일으키는 경우 자루에 넣습니다. : D
SmallClanger

3
적어도 내가 본 것에서 컴파일은 일반적으로 CPU 바운드보다 I / O 바운드입니다. 나는 암호화가 차이를 만들지 않는다고 말하지는 않지만 많은 차이를 만들어야한다고는 생각하지 않습니다. 물론 프로젝트마다 다를 수 있습니다.
Zoredache

1
컴파일은 주로 CPU 바인딩이지만 컴파일에는 일반적으로 많은 디스크 I / O가 필요합니다 (아직 CPU가 많이 사용됨). 나는 G2 Intel SSD와 모든 볼륨에서 비트 로커를 사용하는 i5 랩톱에서 차이점을 발견했다고 말할 수 없습니다. 비트 락커에서 개인용 장비로도 완벽하게 팔렸습니다. ^^
Oskar Duveborn

9

장비 자체에 집중하는 것이 아니라 관련된 데이터에 더 집중합니다. 이렇게하면 현재 실행중인 문제를 피할 수 있습니다. 개인 소유 장비에 대한 정책을 의무화 할 수있는 권한이 없을 수 있습니다. 그러나 회사 소유 데이터를 처리하는 방법을보다 잘 활용할 수있는 방법이 있습니다. 대학이기 때문에 항상 이런 문제가 발생합니다. 교직원이 부서에서 컴퓨터를 구매할 수있는 방식으로 자금을 지원하지 않거나 보조금으로 데이터 처리 서버를 구입할 수 있습니다. 일반적으로 이러한 문제에 대한 해결책은 하드웨어가 아닌 데이터를 보호하는 것입니다.

조직에 데이터 분류 정책이 있습니까? 그렇다면 무엇을 말합니까? 코드 리포지토리는 어떻게 분류됩니까? 해당 카테고리에 어떤 요구 사항이 적용됩니까? 이 중 하나에 대한 답변이 "아니오"또는 "모르는 경우"인 경우 정보 보안 사무소 나 조직 내 정책 개발 담당자에게 문의하는 것이 좋습니다.

당신이 발표 한 것을 근거로, 나는 데이터 소유자 였을까요? 나는 그것을 High 또는 Code Red로 분류 할 것입니다. 일반적으로 전송시 유휴 상태의 암호화가 필요하며 데이터를 저장할 수있는 위치에 대한 일부 제한 사항이 나열 될 수도 있습니다.

그 외에도 안전한 프로그래밍 방법을 구현하려고 할 수도 있습니다. 개발 수명주기를 체계화하고 이상하고 드문 상황을 제외하고 개발자가 프로덕션 데이터베이스와 접촉하는 것을 명시 적으로 금지 할 수있는 것.


6

1.) 원격으로 작업

개발자에게는 3D가 필요하지 않은 경우 원격 데스크톱이 매우 적합한 솔루션입니다. 성능은 일반적으로 충분합니다.

내 눈에, 원격 데스크톱은 VPN보다 훨씬 안전합니다. VPN이 활성화 된 잠금 해제 노트북은 터미널 서버를 보는 것보다 훨씬 더 많은 것을 허용하기 때문입니다.

VPN은 더 많은 것을 필요로하는 사람들에게만 제공되어야합니다.

민감한 데이터를 집 밖으로 옮기는 것은 쉬운 일이 아니며 가능하면 방지해야합니다. 소스 제어, 문제 추적, 문서 시스템 및 통신에 대한 액세스가 부족하여 최상의 효율성을 제공하므로 인터넷에 액세스 할 수없는 개발자로 작업하는 것은 금지 될 수 있습니다.

네트워크에서 회사 이외의 하드웨어 사용

회사는 LAN에 연결된 하드웨어에 필요한 표준을 갖추어야합니다.

  • 안티 바이러스
  • 방화벽
  • 도메인에 있고, 발명되다
  • 모바일 인 경우 암호화
  • 사용자에게 로컬 관리자가 없습니다 (개발자에게는 어려움이 있지만 가능합니다)
  • 기타

외부 하드웨어는이 지침을 따르거나 인터넷에 있지 않아야합니다. 이를 제어하기 위해 NAC를 설정할 수 있습니다.

3) 유출 된 우유에 대해서는 거의 할 수 없지만 재발을 피하기위한 조치를 취할 수 있습니다.

위의 단계를 수행하고 노트북이 모바일 씬 클라이언트 이상인 경우에는 더 이상 필요하지 않습니다. 저렴한 노트북을 사거나 오래된 노트북을 사용할 수도 있습니다.


3

회사가 통제하지 않는 컴퓨터는 네트워크에서 허용되지 않아야합니다. 이제까지. VMPS와 같은 것을 사용하여 불량 장비를 격리 된 VLAN에 배치하는 것이 좋습니다. 마찬가지로 회사 데이터에는 회사 장비 외부의 비즈니스가 없습니다.

하드 디스크 암호화는 요즘 꽤 쉬우므로 구내를 떠나는 모든 것을 암호화하십시오. 전체 디스크 암호화가 없으면 재난이 될 수있는 랩탑을 매우 부주의하게 처리하는 것을 보았습니다. 성능 저하는 그렇게 나쁘지 않으며 이점은 그보다 훨씬 뛰어납니다. 뛰어난 성능이 필요한 경우 적절한 하드웨어에 VPN / RAS를 설치하십시오.


3

다른 답변 중 일부에서 다른 방향으로 이동하려면 다음을 수행하십시오.

데이터를 보호하고 보호하는 것이 중요하지만 랩톱을 훔친 사람은 :

  1. 그들이 훔친 것을 알고
  2. 데이터 및 소스 코드를 찾을 수있는 곳을 알았습니다.
  3. 데이터와 소스 코드로 무엇을해야하는지 알고

거의 없을 것입니다. 가장 가능성이 높은 시나리오는 랩톱을 훔친 사람이 규칙적인 오래된 도둑이며 경쟁 제품을 구축하고 회사 앞에 출시하기 위해 회사 souce 코드를 훔치려는 회사 스파이가 아니라는 점입니다. 사업.

즉, 회사에서 향후이를 방지하기 위해 몇 가지 정책과 메커니즘을 마련하는 것이 좋을 것입니다. 랩톱에서 데이터를 잃어 버렸지 만 아마도 사본 일뿐이며 개발은 중단없이 계속 될 것입니다.


전체적인 의미에서 데이터 손실에 대해 걱정할 필요가 없습니다. 백업 및 사본이 귀에서 나옵니다. 아직도, 우리의 사업 비밀이 SVN 저장소에있는 것은 약간의 위험입니다.
Tom O'Connor

3

회사 소유의 랩톱은 암호화 된 디스크 등을 사용해야하지만 개인용 컴퓨터에 대해 묻습니다.

나는 이것을 기술적 인 문제가 아니라 행동적인 문제로 본다. 기술적 인 관점에서 누군가가 코드를 집으로 가져 가서 해킹하는 것을 불가능하게하기 위해 할 수있는 일은 거의 없습니다. 공식적으로 모든 소스를 프로젝트에서 체크 아웃하는 것을 막을 수는 있지만 여전히 코드 조각 (또는 데이터)의 10 줄 "스 니펫"중 하나가 비밀 소스 / 귀중한 기밀 고객 정보 / 성배의 위치를 ​​포함하는 비트 인 경우, 10 페이지를 잃어 버릴 때와 마찬가지로 10 줄을 잃어 버릴 수 있습니다.

그렇다면 비즈니스는 무엇을하고 싶어 하는가? 사람들이 회사 컴퓨터가 아닌 컴퓨터에서 회사 업무를 수행해서는 안된다고 말하는 것이 완벽하게 가능합니다. 그리고 그 규칙을 어기는 사람들에게 "중도 위법 행위"해고 행위를해서는 안됩니다. 강도의 피해자 인 사람에게 적절한 대응입니까? 그것은 당신의 기업 문화의 곡물에 위배됩니까? 사람들이 자신의 시간에 집에서 일할 때 회사가 그것을 좋아합니까? 따라서 재산 손실의 위험과 생산성의 인식 된 이익의 균형을 맞출 준비가되어 있습니까? 잃어버린 코드는 병원에서 핵무기 또는 은행 금고 또는 생명을 구하는 장비를 제어하는 ​​데 사용되며 어떤 상황에서도 보안 위반을 세울 수 없습니까? "위험한"코드의 보안과 관련하여 법적 또는 규제 적 의무가 있습니까?

이것들은 당신이 고려해야 할 몇 가지 질문이지만, 아무도 당신을 위해 실제로 대답 할 수는 없습니다.


3

회사는 회사 소유가 아닌 하드웨어의 회사 데이터에 대해 무엇을합니까?

반드시 IT 부서에서 암호화하지 않는 한 회사 데이터는 회사 장치에만 저장해야합니다.

WDE는 합리적인 솔루션입니까? 읽기 / 쓰기에 많은 오버 헤드가 발생합니까?

모든 디스크 암호화 소프트웨어에는 약간의 오버 헤드가 있지만 그만한 가치가 있으며 모든 랩톱 및 외부 USB 드라이브는 암호화해야합니다.

거기에서 저장 / 액세스 된 암호를 변경하는 것 외에 다른 제안이 있습니까?

또한 블랙 베리 용 BES 환경에서와 같이 원격 와이프 소프트웨어를 얻을 수 있습니다.


따옴표 사용하십시오 >참조 따옴표가 아니라 코드 블록을 serverfault.com/editing-help
제프 앳 우드

1

소스 코드가 관련되어 있고 특히 사용 된 머신을 회사 IT 부서에서 제어 할 수없는 상황에서는 회사 구내의 머신에서 호스팅되는 원격 세션에서 개인이 VPN.


VPN 연결 실패로 인해 소프트웨어가 늦어지면 대량 주문을 하시겠습니까? 그러나 대부분의 경우 VPN은 소프트웨어 개발에 적합합니다.
Ian Ringrose 16:25에

글쎄, 당신은 그의 노트북이 체크 아웃 된 소스 사본으로 워킹 할 위험에 대해 위험을 감수해야한다고 생각합니다. 최소한 Truecrypt 볼륨에 소스가 있어야합니다.
Alan B

0

원격 와이 핑 소프트웨어는 어떻습니까? 이것은 물론 도둑이 컴퓨터 전원을 인터넷에 연결하기에 멍청한 경우에만 작동합니다. 그러나 도난당한 랩톱을 이런 식으로 발견 한 사람들에 대한 이야기가 너무 많아서 운이 좋을 수도 있습니다.

X 시간 내에 암호를 입력하지 않으면 모든 것이 삭제되므로 다시 체크 아웃해야합니다. 어쩌면이 사실을 들어 보지 못했을 것입니다. 아마도 사용자가 암호화하는 데 더 많은 작업이 필요하기 때문에 실제로 어리석기 때문일 수 있습니다. 성능이 걱정되는 사람들에게는 암호화와 함께 사용하는 것이 좋습니다. 물론 여기에도 전원 문제가 있지만 여기에는 인터넷이 필요하지 않습니다.


0

이것에 대한 내 생각은 가장 큰 문제는 랩톱이 회사 네트워크에 액세스 할 수 있음을 암시하는 것입니다. 나는 당신이 이제이 랩탑이 사무실 네트워크에 VPN을 접속하는 것을 막았다 고 가정합니다.

회사 컴퓨터가 아닌 컴퓨터를 사무실 네트워크에 허용하는 것은 정말 나쁜 생각입니다. 회사 랩톱이 아닌 경우 적절한 안티 바이러스를 어떻게 적용 할 수 있습니까? 네트워크에서 허용하면 네트워크 패킷을보고있는 wireshark와 같이 실행중인 프로그램을 제어 할 수 없습니다.

다른 답변 중 일부는 시간 외 개발이 RDP 세션 등에서 수행되어야한다고 제안합니다. 실제로 이것은 기차 등에서 항상 가능하지는 않지만 인터넷 연결이 가능한 곳에서만 작동 할 수 있음을 의미하며 랩탑이 RDP 세션을 위해 서버에 액세스 할 수 있어야합니다. 도난당한 랩톱에 액세스 할 수있는 사람 (및 랩톱에 저장된 일부 암호)에 대해 RDP 액세스를 보호하는 방법을 고려해야합니다.

마지막으로, 랩톱은 내용에 관심이없고 전자 메일 및 웹용으로 만 사용하는 사람에게 판매됩니다. 그러나 .. 그것은 회사가 감수해야 할 큰 위험입니다.


소스 코드를 얻기 위해 회사 네트워크에 액세스 할 필요가 없습니다. SVN 비밀번호와 svn repo 서버 URL 만 있으면됩니다.
Tom O'Connor 8:26에

VPN이 있다고 가정합니다. 좋은. 우리가했으면 좋겠다.
Tom O'Connor 8:26에

1
인터넷에 소스 코드가 게시 된 경우 소스 코드가있는 랩톱을 잃어 버릴 염려가 있습니다.
Michael Shaw

-3

이 경우 랩톱 잠금 장치가 문제를 방지했을 수 있습니다. (나는 아직 데스크톱 잠금에 대해 들어 본 적이 없지만 다시 도둑이 데스크톱을 훔치는 강도에 대해 들어 본 적이 없다.)

집을 떠날 때 보석류를 두지 않는 것과 같은 방법으로 랩톱을 보안되지 않은 상태로두면 안됩니다.


1
나는 항상 데스크탑을 훔치는 강도에 대해 들었습니다. $ job-1에서 누군가는 오래된 Mac G4에 흠집이 생겼습니다.
Tom O'Connor

회사에서 개인 랩탑을 집 안에 묶어 두라고 지시하면 눈살을 찌푸리게됩니다. 더 나은 잠금 장치는 강도 등을 완전히 방지 할 수 있습니다. 데스크탑이 도난 당하고 잠금 장치가 존재하며 많은 회사에서 사용됩니다. 대체로 유용한 답변은 아닙니다.
Martijn Heemels

"켄싱턴 (Kensington)"스타일의 자물쇠는 일반적으로 캐주얼 도둑을 막기에 충분합니다. 괜찮은 볼트 절단기 세트는 매우 빠르게 통과합니다. 일반적으로 사무실에서 청소기가 랩톱을 훔치는 것을 막기 위해 사무실에서 일하는 것을 보았습니다.
Richard Everett
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.