我需要一些在家中工作的用户访问很多文件(不是很大,但是其中很多),容易超过18TB的文件。 问题是这些用户并不是100%为我们工作,我们需要一种方法来尽可能隔离他们的机器。
我知道还有其他的方法来实现这一点,但我想探讨一下。
我的想法是:
给他们一个小的虚拟机在本地运行他们的计算机,这个虚拟机将被configuration为:
这样,用户将访问共享文件夹并照常工作,但我们将完全控制与我们连接的计算机。 (用户电脑不是我们公司的财产)
准确地说我的问题,我想知道这听起来是否太疯狂,或者有人知道我是否会遇到麻烦?
如果你没有find正确的答案,最好的方法是什么?
您将无法完全控制机器,因为您需要告诉用户encryption密码短语,否则无法启动机器。 有了这个,他们将完全控制虚拟机。
只要让他们访问一些RDP服务器,他们可以连接到为了工作文件(VPN后面) – 你将有更多的控制权。
编辑:更多解释为什么我不认为你的解决scheme将是值得的努力。
首先,我们考虑一下正常的VPN并直接连接到您的CIFS服务器。 您通常可以防火墙VPN端点的方式,只允许连接到CIFS端口上的CIFS服务器。 CIFS服务器将确保客户端只能访问其有权限的资源。
您的虚拟机解决scheme将允许基本上相同的事情,区别在于它将通过Samba服务代理CIFS连接。 诚然,这是一个额外的安全层,因为客户端将有更难以攻击您的服务器上的CIFS实施漏洞(但这不一定是不可能的)。 然而,这个价格非常高,因为你的环境非常复杂,容易出错和支持密集型,因为无论什么原因,客户端计算机必须重新启动,你需要主动解锁你的encryption虚拟机(坦率地说,我不会允许任何人访问我的私人机器!)。
在您身边添加一个CIFS代理确实可以工作,并且可以带来一个更加可维护的环境,并具有相同的最终结果 – 只需将客户端的VPN代理为原始的CIFS服务器即可。
注意:所有这一切都很好,但不幸的是,它不能保护您免受整个场景中真正的,最可能的危险,这就是客户端感染了恶意软件(例如勒索软件)的可能性。 无论您如何实现这一点,客户端都将拥有对某些CIFS共享的写入访问权限,保护您的唯一方法就是保持定期和可靠的备份并对其进行testing!