アカウント名:
パスワード:
カメラはoffにしてって通達出た。当初上司は、無駄にプライベート晒させるカメラを付けさせようとしたけど、ほどなくVPN回線が逼迫してきて会社から「トラフィックを抑えるようにカメラはOFF」と通達されてめでたく。一気に在宅が増えて通信が逼迫している状況なので、「無駄なトラフィックは抑える」というのが正しいマナーだろ。
なんのためにカメラのトラフィックなんてVPNに流してるの?どうせ暗号化されてるし、直接インターネットと通信すりゃいいんじゃないの。社内アプリは社内に流すからVPN繋ぐというのはまだわかるけど。
データや資料は社内LANの中にあるから、VPN切っちゃうと顔は見えても、肝心のデータが無い状態になるしな。何のために会議するかによるだろうけど、顔色窺うためにメンバーの時間とネットワーク帯域を使ってしまうのはもったいないんじゃないの?
そりゃおおざっぱすぎる。VPN繋げてても、社内の必要なリソースへのアクセスだけVPNトンネル設定すればいいだろ。音声やカメラはローカルから直接インターネットに流せばいい。
なんで全部のトラフィックを社内に引き込む運用なんだよ。VPNの管理者がアホなんじゃないの?
VPN繋いだ状態でインターネットにも繋がっているというのは、セキュリティ担当者からしたら避けたいというのは当然じゃないのかなぁ。本当なら会社のPCはそもそもインターネットには繋がせたくないところだが、妥当なコストで会社に繋げるためにVPNを利用せざるをえないという妥協なのであって、胸張って「VPNで繋いで状態で,インターネットにも繋いでも安全です」って言える環境ってあるのかなぁ。
そんなの時代遅れもいいとこ。このクラウドサービス全盛の時代、相手が信頼できるかどうかだと思うけど。AWSへのアクセスもファイアウォールやWebプロキシを通してるのか?ストリーミングサービスとか、セッション数の多いメールサービスとかも同様だよ。
なんでも原則としてWebプロキシやファイアウォールを通せばいいというものではない。こういうオンライン会議サービスへのトラフィックなども全てWebプロキシを通してたら、どんだけ過剰投資になるか。
>相手が信頼できるかどうかだと思うけど。
直接インターネットにも接続するということは、インターネット「全体」を信頼するという意味になるのだけど理解してる?
悪いけど、まったく筋が通らない。一部の信頼済みのサイトと通信を許可することは、インターネット全体と通信するということとは違う。
通信内容が平文だったり、安全性が判断つかない相手に対しては、きちんとVPNで包んでWebプロキシを通せばいいだけ。
今時はローカルブレイクアウトと言って、自社の拠点からの通信をすべてどこかのプロキシに集めるやり方ではなく、一部の通信は拠点から直接インターネットへ出す構成があるんですよ。モバイルPCでも同じだと思います。その場合にインターネット「全体」を信頼してることになるんでしょうか?
そもそもNATとか通す時点で外からの着信通信は意図的に通さないと入ってこないし、発信通信は問題になるような奴は大体HTTPやHTTPSで通っていくし。接続可能Webサイトをホワイトリスト管理するレベルならまだしも、ウェブブラウジング許可してたらFWが活きる事ってあるんだろうか?パケットの中まで検査するにしても、HTTPSだと無力だし。オレオレ証明書でも入れさして中間者とかまでやらんとプロキシもFWもあんま役に立たんよなぁ……。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
うちは回線細いから (スコア:5, すばらしい洞察)
カメラはoffにしてって通達出た。
当初上司は、無駄にプライベート晒させるカメラを付けさせようとしたけど、ほどなくVPN回線が逼迫してきて会社から「トラフィックを抑えるようにカメラはOFF」と通達されてめでたく。
一気に在宅が増えて通信が逼迫している状況なので、「無駄なトラフィックは抑える」というのが正しいマナーだろ。
Re: (スコア:0)
なんのためにカメラのトラフィックなんてVPNに流してるの?
どうせ暗号化されてるし、直接インターネットと通信すりゃいいんじゃないの。
社内アプリは社内に流すからVPN繋ぐというのはまだわかるけど。
Re: (スコア:0)
データや資料は社内LANの中にあるから、VPN切っちゃうと顔は見えても、肝心のデータが無い状態になるしな。何のために会議するかによるだろうけど、顔色窺うためにメンバーの時間とネットワーク帯域を使ってしまうのはもったいないんじゃないの?
Re: (スコア:0)
そりゃおおざっぱすぎる。
VPN繋げてても、社内の必要なリソースへのアクセスだけVPNトンネル設定すればいいだろ。
音声やカメラはローカルから直接インターネットに流せばいい。
なんで全部のトラフィックを社内に引き込む運用なんだよ。
VPNの管理者がアホなんじゃないの?
Re: (スコア:0)
VPN繋いだ状態でインターネットにも繋がっているというのは、セキュリティ担当者からしたら避けたいというのは当然じゃないのかなぁ。
本当なら会社のPCはそもそもインターネットには繋がせたくないところだが、妥当なコストで会社に繋げるためにVPNを利用せざるをえないという妥協なのであって、胸張って「VPNで繋いで状態で,インターネットにも繋いでも安全です」って言える環境ってあるのかなぁ。
Re: (スコア:0)
それあるね。
ウチだと、社内LANからインターネットに出る部分のファイヤーウォールとかプロキシサーバーでのセキュリティーをしっかりしているから、社外からはインターネットにアクセスする時も原則として一旦VPNで社内を経由してから、となっている。
Re:うちは回線細いから (スコア:0)
そんなの時代遅れもいいとこ。
このクラウドサービス全盛の時代、相手が信頼できるかどうかだと思うけど。
AWSへのアクセスもファイアウォールやWebプロキシを通してるのか?
ストリーミングサービスとか、セッション数の多いメールサービスとかも同様だよ。
なんでも原則としてWebプロキシやファイアウォールを通せばいいというものではない。
こういうオンライン会議サービスへのトラフィックなども全てWebプロキシを通してたら、どんだけ過剰投資になるか。
Re: (スコア:0)
>相手が信頼できるかどうかだと思うけど。
直接インターネットにも接続するということは、インターネット「全体」を信頼するという意味になるのだけど理解してる?
Re: (スコア:0)
悪いけど、まったく筋が通らない。
一部の信頼済みのサイトと通信を許可することは、インターネット全体と通信するということとは違う。
通信内容が平文だったり、安全性が判断つかない相手に対しては、きちんとVPNで包んでWebプロキシを通せばいいだけ。
Re: (スコア:0)
今時はローカルブレイクアウトと言って、自社の拠点からの通信をすべてどこかのプロキシに集めるやり方ではなく、一部の通信は拠点から直接インターネットへ出す構成があるんですよ。
モバイルPCでも同じだと思います。
その場合にインターネット「全体」を信頼してることになるんでしょうか?
Re: (スコア:0)
そもそもNATとか通す時点で外からの着信通信は意図的に通さないと入ってこないし、
発信通信は問題になるような奴は大体HTTPやHTTPSで通っていくし。
接続可能Webサイトをホワイトリスト管理するレベルならまだしも、
ウェブブラウジング許可してたらFWが活きる事ってあるんだろうか?
パケットの中まで検査するにしても、HTTPSだと無力だし。
オレオレ証明書でも入れさして中間者とかまでやらんとプロキシもFWもあんま役に立たんよなぁ……。