Czy są jakieś szczególne obawy dotyczące bezpieczeństwa, o których należy pamiętać w przypadku korzystania z udostępniania / wersjonowania / tworzenia kopii zapasowych plików w Dropbox oraz czy istnieją konkretne opcje lub ustawienia, które byłyby zalecane w celu ograniczenia ryzyka?
Odpowiedzi:
To zależy od twojego biznesu i twojego poziomu paranoi. Wydawanie laptopów z połączeniem VPN jest znacznie bezpieczniejsze, choć droższe.
Naprawdę szybko...
Niektóre ryzyka:
Rekomendacje:
Stąpałbym tu bardzo ostrożnie. Dropbox umożliwia rozszerzenie dysku twardego innego komputera.
To rozszerzenie jest gorsze niż klucz USB w tym sensie, że infekcje na jednym komputerze mogą przenosić się na wszystkie inne komputery, które korzystają z tego udostępniania znacznie łatwiej niż za pomocą klucza USB. Autorzy wirusów / trojanów / botów nie atakują Dropbox (jeszcze), ale jeśli zdecydują się na to, masz wirtualne odblokowane drzwi od kontrolowanego przez firmę komputera w bezpiecznej sieci do niezabezpieczonego komputera w niezabezpieczonej sieci. Tak jak w zwykłych operacjach, nie można po prostu przejść przez te drzwi i spojrzeć na inne rzeczy na komputerze - widoczne są tylko elementy w skrzynce odbiorczej, a nowe elementy można tworzyć tylko w tym obszarze, ale przy założeniu, że sama aplikacja Dropbox nie może być zagrożona.
Co więcej, Dropbox twierdzi, że ma wiele zabezpieczeń, ale co właściwie jest dla ciebie możliwe? Możliwe, że ktoś zdalnie przekradnie się do tego okna z innego komputera i spróbuje umieścić zainfekowane dokumenty i programy na komputerze roboczym.
Oczywiste jest, że sam protokół dropbox używa do komunikacji z klientami - czy jest szyfrowany? Czy jest odporny na przepełnienia bufora? Mężczyzna w środku ataków? Wąchasz? Powtórzyć ataki? Czy jest możliwe, przy użyciu standardowego protokołu, umieszczać pliki wewnątrz, a nawet poza standardowym obszarem skrzynki odbiorczej? Jeśli w protokole występuje przepełnienie bufora, czy można go skompromitować w sposób umożliwiający pełny dostęp do komputera? Udziały sieciowe w maszynie?
Nie sądzę, aby ryzyko było bardzo wysokie, ale wyrządzone szkody mogą być znaczne, więc należy to dokładnie przemyśleć.
-Adam
Paranoja????
Koleś ... Odsuń się od sieci ... POWOLNIE .. Odsuń ręce od klawiatury .. ZRÓB TO TERAZ !!!
Rozwiązania „konsumenckie” oparte na chmurze plików, takie jak Dropbox, nie są przeznaczone dla firm ani korporacji. Microsoft powiedział, że najlepiej ze Skydrive, kiedy się pojawili, i powiedział, że tego rodzaju produkty nie są i nie powinny być używane do celów biznesowych.
Istnieją tysiące powodów, dla których nie przeważają powody, dla których należy.
Największy PRAWNY powód poza zagrożeniami bezpieczeństwa (i Warunki użytkowania, które określają, że strony trzecie mogą mieć dostęp do poufnych plików, dlatego żadne poufne informacje nie powinny być nigdy przechowywane w takiej usłudze opartej na kliencie ... KIEDYKOLWIEK ...)jest faktem z usługą taką jak Dropbox, no cóż. Pozwól, że zapytam o to ... Gdzie są przechowywane te pliki? Gdzie znajdują się te serwery? Możesz mieć pewność, że z najtańszym oferentem zadzwonisz pod coś, co nazywa się Regułami i przepisami dotyczącymi eksportu danych ... Jeśli masz jeden mały plik, „Rząd Stanów Zjednoczonych może uznać za ryzyko lub potencjalne ryzyko dla bezpieczeństwa USA” (może to być coś tak mały jak układ elektryczny do publicznego miejsca zbiórki, szkoły, siłowni, haseł lub nazwy użytkownika do czegoś takiego jak konto Cisco, z którego można pobierać oprogramowanie podlegające ograniczeniom eksportu itp.) aż do dokumentów niejawnych, naruszasz to prawo. Idziesz do więzienia, nie przechodzisz go ... Wierzę teraz, że jest to obsługiwane przez FTC i Departament Bezpieczeństwa Krajowego ..
Warunki korzystania z DB określają (w zasadzie), że jeśli jest on zainstalowany na komputerze biznesowym (Dropbox zakłada tę osobę, ponieważ osoba instalująca się na komputerze biznesowym gwarantuje, że kliknie TOU), że „autoryzowana” osoba to robi DLA CAŁEJ FIRMY. Okres ... (Pierwsza sekcja ion Dropbox.com/terms)
To, co powstrzymuje mnie od korzystania z tego poza moim serwerem i środowiskiem pracy, to po prostu etyka ... Masz produkt konsumencki taki jak Skydrive, który wielkimi literami mówi: „Nie biznes. Nie rób tego, ponieważ nie chcą ryzykować danych klientów poziom biznesowy, ponieważ WIEDZĄ, że to ryzyko! A potem Flippin Dropbox, który używa legalnych słów w swoich umowach, takich jak słowo „rzeczy”, który patty wypieka całą „kwestię bezpieczeństwa” i zachowuje się, jakby to nie była wielka sprawa (chciałbyś stracić zysk i akcje, które są cenne? Prawdopodobnie nie ...) ....
To wielka sprawa. Im więcej grup bezpieczeństwa błaga ciebie i mnie, byś postępował zgodnie z prostymi praktykami, tym więcej dużych kompanów, takich jak dropbox, wychodzi i dla pieniędzy .. dla zysku, zachowuj się, jakby to nie była wielka sprawa ...
Co jeśli Twoja firma przechowywała niewielki fragment jednego numeru karty kredytowej oraz nazwę i datę ważności? Powiedzmy teraz, że komputer, na którym został zainstalowany klient Dropbox, „dostał się ..” przez lukę bezpieczeństwa Dropbox… Za mną? Visa / Amex itp. Gigantyczne firmy bankowe Z poparciem rządu (ponieważ standardy w branży kart płatniczych (PCI) mówią, że tak ... to kto ...) W porządku ... dostaniesz to ... możesz usiąść ... oszałamiające 500 000,00 $ NA INCYDENTA ... Wystarczy, aby wykluczyć małą lub średnią firmę z firmy, w której się znajdują ....
JEDYNYM sposobem na obejście tego jest lokalne szyfrowanie danych przy użyciu certyfikowanego przez PCI produktu szyfrującego, ZANIM przejdzie ono do dropboxa, zakup licencji na wszystkie urządzenia zdalne, pobranie potrzebnego pliku i odszyfrowanie go przed użyciem to .. (Nie brzmi, jakby to wcale nie było fajne ...) (Lub szyfrowanie danych w sieci serwerów i klientów w bramie ...)
Dzięki temu za mniej niż 20 USD za użytkownika (około 11 USD za podstawowy) możesz uzyskać plan Office 365 serii E, który ma certyfikat HIPAA, SOX, ISO i PCI. (Dropbox, ukryte tam strony wyraźnie mówi „ w tej chwili ”, nie są ....)
Więc zadaj sobie pytanie, choć w twoim umyśle jest małe ... Czy to naprawdę jest warte ryzyka? i czy chcesz robić interesy z firmą, która, jak myślę, kroczy lekko lub robi światło, ryzyko związane z używaniem ich produktu ...
Czy warto ryzykować swoją karierę, jeśli pracujesz w branży technologicznej, dostaniesz przerwę i NIE pozwolisz na dropbox? Czy myślisz, że możesz pracować po tym, jak twoje nazwisko znajduje się obok zamka i czy robisz wiadomości? Jako CTO mogę obiecać, że nawet w życiu nie usłyszę wymówki… Nigdy nawet nie przeprowadziłbym wywiadu z technologią, która własnymi działaniami lub decyzjami spowodowała naruszenie danych w dowolnej sieci. Tak, wszyscy popełniamy błędy, dlatego Twoim zadaniem w IT jest wyeliminowanie wszelkiego ryzyka, dużego lub małego, najlepiej jak potrafisz .. Nie otwieraj dziury robaka i krzycz dla Alice ...) To jest katastrofa dla PR .. dla firmy (jeśli konkurent dowiedział się i ujawnił, kim jesteś .. (wstrzymując oddech), co zrobiłeś .. oraz zwiększona odpowiedzialność za zatrudnienie kogoś, ponieważ zezwolili na usługę udostępniania plików, która publicznie potwierdziła i oświadczyła, że nie jest to PCI, SOX ISO
Cóż ... To ty musisz zdecydować ... Czy warto karierę? Czy warto stracić dane firmy lub klienta?
Dla mnie .. To nie jest ... Konsumenci używają produktów konsumenckich, a nie firm ... Okres.
Aktualizacja (1,5 roku później): Dropbox twierdzi, że teraz przesyła dane za pomocą protokołu SSL i przechowuje je w kontenerach AES-256, do których nie ma dostępu (bez hasła).
Dropbox przyznał niedawno, że nie używa protokołu SSL do przesyłania metadanych plików między klientami mobilnymi a ich serwerami. Robią to celowo, ze względu na wydajność. Nigdzie na swojej stronie nie podają, że to robią. Możesz przeczytać o tym tutaj:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Myślę, że pracują nad wersją dla firm do użytku wewnętrznego, z większym bezpieczeństwem, ale tymczasem pliki nie są szyfrowane na ich serwerach, więc musisz im zaufać.
Poza tym nie widzę innych zagrożeń bezpieczeństwa specyficznych dla Dropbox (takich jak wyciek informacji).
Wiele będzie zależeć od zasad obowiązujących w Twojej firmie. Jeśli to tak, jak tam, gdzie pracuję - gdzie cały rozwój, który robię, należy do szpitala, a nie do mnie - wtedy martwiłbym się, że będzie to łatwy sposób na „odejście” od firmowych zasobów intelektualnych.
Istnieje wiele systemów zarządzania dokumentami, które pozwalają skonfigurować coś, co jest dostępne tylko wewnętrznie lub poprzez monitorowane połączenie.