好的,所以我们已经看到关于在locking或部署机器时允许开发人员提供不同的自由度的问题,但是他们的互联网访问呢? 你允许无限的NAT工作站吗? 他们是否至less需要通过代理来logging他们的访问? 他们是否通过代理来过滤返回给他们的内容? 或者你是否只是根据需要限制他们的访问?
我个人的意见是通过代理服务器运行它们,对访问的网站没有任何限制,但过滤内容,防止恶意代码进入“内部”。 有用的数据 – ISO映像,程序等不受限制,但是被扫描。
什么是最好的解决scheme? 我错了吗? 开发者是否应该随时获得他们想要的任何访问权限?
后续编辑:
为了logging,我是一个通才。 也就是说,我既是代理pipe理员, 又是我工作的常驻ERP开发人员。 是的,我的访问被logging和过滤,虽然我可以去任何地方我喜欢。 我已经看到了这个问题的双方,但我还没有听到一个很好的理由,让人们对你的互联网资源狂放是件好事。 并不是每个人都有大量的带宽 – 我的工作仍然使用T1来连接,并且可以非常迅速地填满。
(叹气)另一个编辑:
好吧,那里很容易,放下干草叉和火把……我提到“限制”,每个人突然看到世界在黑色/白色,而不是轻微的灰色阴影。 这不是一个问题,或者这个问题是多less ,因为每个人都可以接受多less?
(重访)
因此,经过一段时间炖这个问题,很明显这是一个文化问题,而不是技术问题。 我不是要过滤所有的东西 – 我宁愿让人们在需要的时候得到他们所需要的东西 – 但是我只记得有一些东西可以阻挡这一切。
它触动了如此多的神经,人们可能需要几个星期才能克服这个问题。
这个问题的意图是无辜的 – 要弄清楚这是否是一种常见的做法 – 事实certificate,这是一种令人讨厌的做法。 有礼貌的公司一定不要提这样的事情。 🙂
这更像是一个组织文化问题,而不是技术问题。
从技术上来说,除非你有特定的“有问题的孩子”有不良习惯需要pipe制,否则没有理由限制他们的进入。 (免责声明:过去我一直是这个问题的孩子。)我的网站上有很多关于如何养狗,养狗的事情,最终引发了严酷的“与工作有关的”内容filter。 即使您使用的是有限的带宽互联网连接,也很容易在networking层追踪过多的用户,并以这种方式pipe理用户。
从文化angular度而言,pipe理层可能需要这么多理由,但这是一个pipe理问题/答案。
我在一个大的组织工作。 我的互联网访问,就像几乎所有人一样,必须通过networking代理。 有networking安全的地方,所以我不能只是改变IE设置跳过代理。 除了偶尔阻止TheDailyWTF论坛,当它注意到某些单词时,不会引起任何问题。 我们的总互联网连接在2000人左右的2 * 2Mb左右。 当我需要下载一个服务包时,有时是不方便的,但通常有一点规划可以防止这个问题。 如果真的很紧急的话,就有一条标准的宽带线路进入办公室。 所以我认为没有理由为什么开发者应该从最恶劣的互联网政策中豁免。
你为什么希望你的开发人员跳过篮球? 你不想让他们用时间做实际的工作吗?
你想解决什么问题?
如果您试图强制locking他们,使他们不在公司时间的Facebook,为什么不只是有一个政策“没有Facebook公司的时间”? 你不相信你的开发者? 如果你不这样做,为什么你会雇佣那些没有技能的开发人员来绕开你的障碍呢?
还有工人的士气问题。 如果您不信任他们通过阻止他们或logging访问,他们将要切换工作。 我知道如果我的雇主login互联网,我会积极寻找新的工作。 像犯罪分子一样对待人,他们会像犯罪分子一样行事。
我在哪里工作//每个人都通过代理。 没什么大不了的。 它被用来强制执行互联网政策,但我们正在响应修复被阻止的东西不应该。
我一直认为用IT来监督人力资源问题是一个坏主意。 如果你在互联网上不工作的人有问题,那么限制他们的互联网访问只会导致他们浪费时间在其他方面。 如果你想停止这个问题,你必须解决根本原因。
你如何做到这一点可以采取不同的forms,取决于工作的types。
阻止色情和stream媒体内容(YouTube等)应该是足够的。 你可以用鱿鱼或专有的networking设备(如BlueCoat)来做到这一点。
我认为更重要的是限制带宽。 在之前的工作中,作为networkingpipe理员,我曾经与开发团队共享networking连接。 当一些开发人员正在下载CD ISO等,通过VPN工作在远程系统上时,这并不好玩。
任何知识渊博的人只要允许传出的https(任何人都可以?),就可以访问他/她想要的任何内容。 真的,对技术精明的人来说,政策和教育要有效得多。
这就是说,一些过滤可能是适当的,但你应该知道,它可以很容易规避,所以不依赖于专门的防线…
不是严格的主题,但代理和开发人员,我首先要做的是(networking)开发人员确保他们的应用程序在逆向代理,URL重写和所有背后的好玩。
从哲学的angular度来看,雇主有权控制和监督你通过上行链路所看到的东西,但是(a)在世界上许多地方,首先是欧洲,法律对这个问题的看法是暗淡的;(b)你有开发人员没有足够的自我激励,不要在工作时间阻塞pipe,不能够看到任何他们想要的东西,如果他们被允许的HTTP(更less的黑名单),甚至更多,SSH,你的问题不是代理过滤。
现在,QoS是一个完全不同的故事 – 但过滤,不。
(编辑:无论如何,QoS可能是正确的过滤方式,这可能看起来有点被动,更多的是来自心理学,而不是严格的技术,但是一位客户的防火墙pipe理员发现,如果他阻止了东西,人们会find一种方法这是一个非常精通技术的用户群 – 但是如果他只是把它变得非常慢,他们就不会这么做,也许这对你很有用……)
也许我们应该回答这个问题?
开发人员需要做什么不能用代理完成? 为什么开发人员需要以不同的方式(以networking/networking访问的方式)对待其他人?
尽可能多地过滤(和caching!),但是为了好,请使用自动configuration的代理 (最好是使用WPAD ),不要强迫开发人员使用它。 我使用我的工作笔记本电脑从各种不同的地点(公司networking,公共和私人WLAN,客户networking等),所以自动configuration节省了很多麻烦。 另外,我还经常使用驻留在客户端的尚未公开的(读取:无DNS)网站,这些站点只能从特定的计算机(通常使用VPN)访问。 除非你想保留一个例外清单,否则请让我绕过这个代理,这样我可以做我的工作。
如果您限制出站访问太多,开发人员肯定会打开完整的隧道,而不是通过SSL或SSH到外面的一些私人networking – 暴露您的基础设施,以更大的风险与无法预见的encryptionstream量恕我直言…
…不能得到一个简单的未encryption的svn在互联网上的样本库因为svn端口被阻塞是非常讨厌的,在很多事情:)
这些都是您需要提供给负责人审查的事情 – 然后决定首先,技术解决scheme。
开发者是否应该随时获得他们想要的任何访问权限?
是的,否则你的组织将在许多“恼人的工作条件”社区wiki问题之一的stackoverflow匿名提到。 ;)
但严重的是,这里有两件事要考虑。 首先,开发人员显然是一个非常精通技术的人。 他们打开愚蠢的电子邮件附件,访问/下载恶意内容等的风险较小。其次,除非您有代理上网的理由,为什么呢? 您的组织是否被恶意内容渗透所困扰? 是否有一些入侵或其他安全问题? 你的其他解决scheme没有解决这些问题?
如果这些问题都不适用于您,那么您正在解决一个不存在的问题,并且因为这个原因,人们会将代理访问看作是严厉的。