Şirket genelinde Dropbox dosya paylaşımı / sürüm oluşturma / yedekleme kullanımını akılda tutmak için özel bir güvenlik endişesi var mı ve riski sınırlamak için tavsiye edilecek belirli seçenekler veya ayarlar var mı?
Yanıtlar:
Bu, işinize ve paranoya seviyenize bağlıdır. Bir VPN bağlantısı olan dizüstü bilgisayarlar vermek çok daha güvenli, ancak daha pahalı.
Gerçekten hızlı ...
Bazı Riskler:
öneriler:
Burada çok dikkatli davranırım. Dropbox, başka bir bilgisayarın sabit sürücüsünün uzatılmasını sağlar.
Bu uzantı, bir bilgisayardaki enfeksiyonların bir USB anahtarından çok daha kolay bir şekilde paylaşarak diğer tüm bilgisayarlara bulaşabilmesi açısından bir USB anahtarından daha kötüdür. Virüs / trojan / bot yazarları dropbox'ı (henüz) hedeflemezler, ancak karar verirlerse, güvenli bir ağdaki şirket tarafından kontrol edilen bir bilgisayardan güvenli olmayan bir ağdaki güvenli olmayan bir bilgisayara sanal bir kilidi açılmış kapınız vardır. Olduğu gibi, normal işlemleri kullanarak, sadece o kapıdan geçemez ve bilgisayardaki diğer şeylere bakamazsınız - sadece dropbox içindeki öğeler görülebilir ve sadece bu alanda yeni öğeler oluşturulabilir, ancak bu dropbox uygulamasının kendisinden ödün verilemez.
Dahası, Dropbox büyük bir güvenlik iddia ediyor, ama aslında sizin için ne kanıtlanabilir? Birisi bu pencerede tamamen farklı bir bilgisayardan gizlice gizlenebilir ve virüslü belgeleri ve programları çalışma PC'sine koymaya çalışabilir.
Açıkçası bir protokol dropbox kendi istemcileri ile iletişim kurmak için kullanır - şifreli mi? Arabellek taşmalarına karşı bağışıklık var mı? Orta saldırılardaki adam mı? Koklama? Saldırı tekrarlansın mı? Standart protokolü kullanarak, dosyaları standart dropbox alanının içine veya dışına yerleştirmek mümkün müdür? Protokolde arabellek taşması varsa, makineye tam erişime izin verecek şekilde güvenliğini aşmak mümkün mü? Makinede ağ paylaşımları?
Riskin çok yüksek olduğunu düşünmüyorum, ancak yapılan hasar geniş olabilir, bu yüzden dikkatle düşünülmesi gereken bir şey.
-Adam
Paranoya????
Dostum .. Ağdan uzaklaşın .. YAVAŞÇI .. Elleriniz klavyeden uzakta .. ŞİMDİ YAPIN !!!
Dropbox gibi dosya paylaşımı bulut tabanlı "tüketici" çözümleri, İş Dünyası veya Şirketler için değildir. Microsoft, Skydrive ile en iyi şekilde çıktıklarını söyledi ve bu tür ürünlerin İş amaçlı kullanılmadığını ve kullanılmaması gerektiğini söyledi.
Bunun neden olması gerekenden daha ağır olmasının binlerce nedeni vardır.
Güvenlik risklerinin dışındaki en büyük YASAL nedeni (Ve 3. tarafların gizli dosyalara erişebileceğini belirten Kullanım Koşulları, bu nedenle gizli hiçbir şey tüketici tabanlı böyle bir hizmette saklanmamalıdır .. EVER ..)Dropbox gibi bir hizmet ile gerçek. Bunu sorayım .. Bu dosyalar nerede saklanıyor? Bu sunucular nerede bulunur? En düşük teklif verenle, Veri Dışa Aktarma Kuralları ve Yasaları adı verilen bir şeyi arayabilirsiniz ... "Küçük bir dosyanız varsa" ABD Hükümeti ABD güvenliği için bir risk veya potansiyel risk olarak kabul edebilir "(Bir şey olabilir) halka açık bir toplanma yeri, okul, spor salonu, şifreler ya da Cisco hesabı gibi dışa aktarma kısıtlı yazılımlar, vb. indirebileceğiniz bir şey için elektrik düzeni kadar küçük) sınıflandırılmış belgelere kadar bu yasayı ihlal edersiniz. Hapse giriyorsun, geçmiyorsun ... Şimdi inanıyorum ki, bu FTC ve İç Güvenlik tarafından hallediliyor ..
DB kullanım koşulları (temel olarak) bir iş PC'sine kuruluysa, (Dropbox, iş PC'sine yüklenen kişinin TOU aracılığıyla tıkladıklarını garanti ettiğinden bu kişinin olduğunu varsayar) "yetkili" bireyin bunu yaptığını belirtir. TÜM ŞİRKET İÇİN .. Dönem ... (İlk bölüm ion Dropbox.com/terms)
Bunu sunucumun ve çalışma ortamımın dışında kullanmamı engelleyen şey sadece etik ... Skydrive gibi büyük harflerle "İş Yok .. Yapma!" Gibi bir tüketici ürününüz var, çünkü müşterinin verilerini riske atmak istemiyorlar bir iş seviyesi çünkü onlar bir risk olduğunu biliyor! kâr ve bu değerli hisse kaybetmek için? Muhtemelen hayır ...) ....
Bu büyük bir anlaşma .. Basit uygulamalar izlemek için size ve ben daha fazla güvenlik grubu yalvarır, dropbox gibi daha büyük kompozisyonlar gelir ve para için .. kar için, onun büyük bir anlaşma gibi davran ...
İşletmeniz küçük bir kredi kartı numarası ve bir ad ve son kullanma tarihi içeriyorsa ne olur? Diyelim ki dropbox istemcisinin kurulduğu PC, bir Dropbox güvenlik makatıyla uhmm "içine girmişti". Visa / Amex vs .. devlet desteğine sahip devasa banka şirketleri (Ödeme Kartı Sanayi (PCI) Standartları böyle diyor çünkü .. bu kim ...) iyi olacak .. bunu elde etmek ... oturmak isteyebilirsiniz .. OLAYLARA şaşırtıcı bir 500.000,00 $ ... Küçük veya orta ölçekli bir işletmeyi bulundukları işten çıkarmak yeterlidir ....
Bu sorunu çözmenin SADECE yolu, verileri PCI onaylı şifreleme ürünü kullanarak yerel olarak şifrelemek, dropbox'a gitmeden ÖNCE, tüm uzak cihazlarınız için lisans satın almak, ihtiyacınız olan dosyayı indirmek ve kullanmadan önce şifresini çözmek (Hayır, hiç eğlenceli görünmüyor gibi görünmüyor ...) (Ya da sunucu ağınızdaki verileri ve ağ geçidindeki istemcileri şifreliyor ...)
Tüm bunlarla birlikte, 20 $ 'dan daha az bir kullanıcı için (temel olan için yaklaşık 11 $), HIPAA, SOX, ISO ve PCI sertifikalı bir Office365 E serisi planı alabilirsiniz .. (Dropbox, orada sayfalarda gizlidir " şu anda ", onlar değil ....)
Bu yüzden kendinize sorun, aklınızda küçük de olsa ... Aslında riske değer mi? ve ürünlerini kullanmayla ilgili riskleri, hafif adımlarla ilerleyen veya ışık tutan bir şirketle iş yapmak istiyor musunuz?
Teknolojiniz varsa ve kamaştırırsanız ve dropbox'a izin verdiyseniz, kariyeriniz için risk almaya değer mi? Sizce isminiz bir kamağın yanına geldikten ve haber yaptıktan sonra istihdam edilebilir misiniz? Bir CTO olarak, size söz verebilirim, hayatımda değil, arkasındaki bahaneyi bile duyamazdım .. Teknolojide, kendi eylemleri veya kararları ile herhangi bir büyüklükteki ağda veriye neden olan hiç kimseyle görüşmem bile .. Evet hepimiz hata yapıyoruz, bu yüzden BT'deki işiniz, olabildiğince büyük veya küçük herhangi bir riski ortadan kaldırmaktır .. Solucan deliğini açmayın ve Alice için çığlık atmayın ...) PR için bir felaket .. bir şirket için, (eğer bir rakip kim olduğunuzu bulup sızdıysa .. (yaptığınız şeyleri) (nefesini kesip) ve birisini işe alma yükümlülüğünü arttırırlar, çünkü PCI, SOX olmadığını açıkça kabul eden ve belirttikleri bir dosya paylaşım hizmetine izin verdiler. , ISO,
Şey ... Karar vermeniz sizin için ... Kariyere değer mi? Şirketinizin veya müşteri verilerinizin kaybına değer mi?
Benim için .. Öyle değil ... Tüketiciler işletmeler değil tüketici ürünleri kullanıyor ... Dönem.
Bir güncelleme (1,5 Yıl sonra): Dropbox, şimdi verileri SSL protokolü üzerinden ilettiklerini ve kendilerine erişemedikleri (şifre olmadan) AES-256-Kaplarda sakladıklarını iddia ediyor.
Dropbox kısa süre önce mobil istemciler ve sunucuları arasında dosya meta verilerini aktarmak için SSL kullanmadığını itiraf etti. Bunu performans gerekçeleriyle bilerek yaparlar. Web sitelerinin hiçbir yerinde bunu yaptıklarını belirtmezler. Burada okuyabilirsiniz:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Şirketlerin dahili olarak, daha fazla güvenlikle kullanmaları için bir sürüm üzerinde çalıştıklarını düşünüyorum, ancak bu arada dosyalar sunucularında şifrelenmediği için onlara güvenmeniz gerekiyor.
Bunun dışında Dropbox'a özgü diğer güvenlik risklerini göremiyorum (bilgi sızıntısı gibi).
Birçok şey şirketinizde geçerli olan politikalara bağlı olacaktır. Eğer çalıştığım yer gibi - tüm gelişmelerin hastaneye ait olduğu ve bana değil - o zaman şirket entelektüel varlıklarının "dolaşması" için kolay bir araç olmasından endişe duyarım.
Yalnızca dahili olarak veya izlenebilir bir bağlantı aracılığıyla erişilebilen bir şey ayarlamanıza olanak tanıyan birçok belge yönetim sistemi vardır.