Существуют ли какие-либо особые проблемы безопасности, которые следует учитывать при совместном использовании / отправке файлов резервных копий / версионировании / резервном копировании файлов в Dropbox, и есть ли конкретные параметры или настройки, которые рекомендуются для ограничения риска?
Ответы:
Это зависит от вашего бизнеса и вашего уровня паранойи. Гораздо безопаснее, хотя и дороже, выпускать ноутбуки с подключением VPN.
Очень быстро...
Некоторые риски:
Рекомендации:
Я бы очень осторожно наступил. Dropbox позволяет расширение на жесткий диск другого компьютера.
Это расширение хуже, чем USB-ключ, в том смысле, что инфекции на одном ПК могут распространяться на все другие ПК с помощью этого общего ресурса гораздо легче, чем с помощью USB-ключа. Авторы вирусов / троянов / ботов не нацелены на Dropbox (пока), но если они решат сделать это, то вы получите виртуальную незапертую дверь с ПК, контролируемого компанией в защищенной сети, на незащищенный компьютер в незащищенной сети. То есть, используя обычные операции, нельзя просто пройти через эту дверь и посмотреть на другие вещи на компьютере - можно видеть только элементы внутри выпадающего списка, и новые элементы можно создавать только в этой области, но это при условии, что Само приложение dropbox не может быть взломано.
Кроме того, Dropbox требует большой безопасности, но что на самом деле доказуемо для вас? Возможно, кто-то может проникнуть в это окно удаленно с совершенно другого ПК и попытаться поместить зараженные документы и программы на рабочий ПК.
Очевидно, что сам протокол Dropbox использует протокол для связи со своими клиентами. Зашифрован ли он? Является ли он невосприимчивым к переполнению буфера? Человек в середине атаки? Вдохнув? Переиграть атаки? Можно ли с помощью стандартного протокола размещать файлы внутри или даже вне стандартной области раскрывающегося списка? Если в протоколе есть переполнение буфера, можно ли скомпрометировать его таким образом, чтобы обеспечить полный доступ к машине? Сетевые ресурсы на машине?
Я не думаю, что риск очень высок, но нанесенный ущерб может быть значительным, поэтому его нужно тщательно продумать.
-Адам
Паранойя ????
Чувак .. Отойди от сети ... МЕДЛЕННО ... Убери руки от клавиатуры ... СДЕЛАЙ ЭТО СЕЙЧАС !!!
Облачные «потребительские» решения для обмена файлами, такие как Dropbox, не предназначены для бизнеса или корпораций. Microsoft сказала, что лучше всего с Skydrive, когда они вышли и сказали, что эти типы продуктов не являются, и не должны использоваться в коммерческих целях.
Есть тысячи причин, почему бы не перевесить причины, почему нужно.
Самая главная ЮРИДИЧЕСКАЯ причина вне рисков безопасности (и Условия использования, которые определяют, что третьи стороны могут иметь доступ к конфиденциальным файлам, следовательно, ничего такого конфиденциального никогда не должно храниться в таком сервисе, который основан на потребителе .. КОГДА-ЛИБО ..)факт с сервисом типа Dropbox, ну. Позвольте мне спросить это .. Где эти файлы хранятся? Где находятся эти серверы? Вы можете быть уверены, что, предлагая самую низкую цену, позвоните в нечто, называемое Правилами и законами экспорта данных ... Если у вас есть один крошечный файл, «правительство Соединенных Штатов может посчитать это риском или потенциальным риском для безопасности США» (это может быть что-то Вы можете нарушить этот закон, например, от электрической схемы до места общественного собрания, школы, спортивного зала, паролей или имени пользователя, например, учетной записи Cisco, где вы можете загружать ограниченное программное обеспечение для экспорта и т. д.) до секретных документов. Вы идете в тюрьму, вы не проходите, идите .. Теперь я верю, что этим занимаются FTC и Министерство национальной безопасности ..
Условия использования БД указывают (в основном), что, если он установлен на бизнес-ПК, (Dropbox предполагает, что этот человек, потому что тот, кто устанавливает на бизнес-ПК, гарантирует, что они щелкают через TOU), это делает «авторизованный» человек. ДЛЯ ВСЕЙ КОМПАНИИ .. Период ... (Первый раздел на сайте Dropbox.com/terms)
Что мешает мне использовать это за пределами моего сервера, а рабочая среда - это просто этика ... У вас есть потребительский продукт, такой как Skydrive, который крупными буквами говорит: «Нет бизнеса. Не делайте!», Потому что они не хотят рисковать данными клиента о бизнес-уровень, потому что они ЗНАЮТ, что это риск! А потом Flippin Dropbox, который использует в своих контрактах юридические слова, такие как слово «материал», который лепит пирожное «весь вопрос безопасности» и ведет себя так, как будто это ничего особенного (вы не захотите? потерять прибыль и акции, которые ценны? Наверное, нет ...) ....
Это большое дело ... Чем больше групп безопасности умоляют вас и меня следовать простым практикам, тем больше таких больших композиций, как dropbox, и за деньги ... для получения прибыли, действуйте так, как будто это ничего особенного ...
Что если ваша компания хранит крошечный кусочек одного номера кредитной карты, а также имя и срок действия? Теперь скажите, что ПК, на котором был установлен клиент Dropbox, был "взломан ..." через защитную оболочку Dropbox ... Следите за мной? Visa / Amex и т. Д. .. огромные банковские компании С государственной поддержкой (потому что Стандарты платежных карт (PCI) так говорят ... вот кто ...) БУДЕТ штрафовать вас ... получите это ... вы можете сесть .. Ошеломляющий $ 500 000,00 за инцидент ... Этого достаточно, чтобы вывести малый или средний бизнес из бизнеса, в котором они находятся ....
ЕДИНСТВЕННЫЙ способ обойти это, это локальное шифрование этих данных с использованием сертифицированного PCI-продукта шифрования, ДО того, как оно перейдет в Dropbox, приобретение лицензии для всех ваших удаленных устройств, загрузка нужного вам файла и дешифрование перед использованием. это .. (Нет, не похоже, что это совсем не весело ...) (Или шифрование данных в сети ваших серверов и клиентов на шлюзе ...)
При этом менее чем за 20 долларов на пользователя (около 11 долларов за базовый) вы можете получить план серии Office365 E, сертифицированный по HIPAA, SOX, ISO и PCI ... (Dropbox, скрытый на этих страницах, ясно говорит: " в это время "их нет ....)
Так что спросите себя, хотя в вашем уме мало ... Это на самом деле стоит риска? и хотите ли вы вести бизнес с компанией, которая, я думаю, шагает легко или осветляет риски, связанные с использованием их продукта ....
Стоит ли рисковать своей карьерой, если вы работаете в сфере технологий, и вас действительно раздражает, и вы ДЕЙСТВИТЕЛЬНО допускаете dropbox? Считаете ли вы, что вы работаете после того, как ваше имя рядом с казенной, и вы делаете новости? Как технический директор, я могу пообещать вам, что даже в моей жизни я бы не услышал оправдания за этим ... Я бы никогда не взял интервью у тех, кто занимается технологиями, которые своими действиями или решениями вызвали нарушение данных в сети любого размера ... Да, мы все совершаем ошибки, поэтому ваша работа в ИТ заключается в том, чтобы устранить любой риск, большой или маленький, насколько это возможно. Не открывайте червоточину и не кричите об Алисе ...) Это катастрофа для пиара .. для бизнеса (если конкурент узнал и сообщил, кто вы есть. , ISO,
Ну .. Это тебе решать ... Стоит ли делать карьеру? Стоит ли потерять данные вашей компании или клиента?
Для меня .. Это не ... Потребители используют потребительские товары, а не предприятия ... Период.
Обновление (1,5 года спустя). Теперь Dropbox заявляет, что они передают данные по протоколу SSL и хранят их в контейнерах AES-256, к которым они не могут получить доступ самостоятельно (без пароля).
Недавно Dropbox признал, что они не используют SSL для передачи метаданных файлов между мобильными клиентами и их серверами. Они делают это нарочно, по соображениям производительности. Они нигде не заявляют на своем сайте, что они делают это. Вы можете прочитать об этом здесь:
https://grepular.com/Dropbox_Mobile_Less_Secure_Than_Dropbox_Desktop
Я думаю, что они работают над версией для компаний для внутреннего использования, с большей безопасностью, но между тем файлы не зашифрованы на их серверах, поэтому вы должны доверять им.
Кроме этого, я не вижу других угроз безопасности, связанных с Dropbox (например, утечка информации).
Многое будет зависеть от политики в вашей компании. Если это похоже на то, где я работаю - где все разработки, которые я делаю, принадлежат больнице, а не мне, - я бы беспокоился о том, что это будет легким средством для «интеллектуальных активов» компании «уйти».
Существует множество систем управления документооборотом, которые позволят вам настроить то, что доступно только для внутреннего использования или через контролируемое соединение.