開発者にプロキシを介して実行させる必要がありますか？

Question

さて、マシンをロックダウンまたはデプロイするときに開発者にさまざまな許容範囲を許可することについての質問を見てきましたが、インターネットアクセスについてはどうでしょうか。ワークステーションの無制限のNATを許可しますか？アクセスをログに記録するには、少なくともプロキシを実行する必要がありますか？返されるコンテンツをフィルタリングするプロキシを介して実行されますか？それとも、必要に応じて単にアクセスを制限しますか？

私の個人的な意見は、アクセスするサイトに制限のないプロキシを介してそれらを実行することですが、悪意のあるコードが「内部」に侵入するのを防ぐために、配信時にコンテンツをフィルタリングします。有用なデータ-ISOイメージ、プログラムなどは制限されていませんが、スキャンされます。

これに対する最善の解決策は何ですか？私が間違っている？開発者はいつでも必要なアクセス権を持っている必要がありますか？

フォローアップ編集：

ちなみに、私はジェネラリストです。つまり、私はプロキシ管理者であり、常駐の開発者でもありますERP開発者です。はい、アクセスはログに記録され、フィルタリングされますが、私は好きな場所に行くことができます。この問題の両方の側面を見てきましたが、インターネットリソースを使って人々を暴走させることが良い理由をまだ聞いていません。そして、誰もが膨大な量の帯域幅を持っているわけではありません-私の仕事はまだT1を使用して接続しており、非常に迅速にいっぱいになる可能性があります。

（ため息）さらに別の編集：

わかりました、そこに簡単に、熊手と松明を置いてください...私は「制限する」と言います、そして誰もが突然世界をわずかな灰色の色合いではなく黒/白で見ます。これはどちらか/またはの問題ではありません。関係するすべての人がどれだけ許容できるかというように、どれだけの問題ですか？

（再訪）

したがって、この質問についてしばらく考えた後、これの核心は文化的な問題であり、技術的な問題ではないことは明らかです。私はすべてをフィルタリングしなければならないことの大ファンではありません-私はむしろ人々がそれを必要とするときに彼らが必要とするものを手に入れたいです-しかし私はこれを邪魔することができる小さなものがあることを思い出しました。

HIPPAのルールは、機密データの公開にそれほど熱心ではありません。トンネルなどを開くと、データ漏洩の潜在的な露出ベクトルが作成されます。
トンネルを開こうとするだけで問題なく即座に終了するほど厳格なルールのある場所がいくつかあります。私もこれの大ファンではありません-それは意地悪な考え方です-しかし、これらの場所は存在します。

これは、私が今まで見た中で最も嫌われている質問でした。

それは人々がこれを乗り越えるために数週間必要であるかもしれないほど多くの生の神経に触れましたノボカイン。

質問の意図は、これが一般的な慣行であるかどうかを確認するのに十分なほど無実でした。そして、結局のところ、それは嫌われている慣行です。礼儀正しい会社ではそんなことは絶対に言わないでしょう。 :)

Karl Katzke · Accepted Answer

これは、技術的な質問ではなく、組織文化の質問です。

技術的には、規制が必要な悪い習慣を持つ特定の「問題児」がいない限り、アクセスを制限する正当な理由はありません。（免責事項：私は過去に問題のある子供でした。）私のウェブサイトには、子犬を犬の飼育やガーデニングに育てるなど、さまざまなことについての投稿があります。帯域幅が制限されたインターネット接続を使用している場合でも、ネットワーク層で過剰なユーザーを追跡し、その方法でユーザーを管理するのは非常に簡単です。

文化的には、これが経営陣にとって望ましい理由はたくさんありますが、それは経営陣の質問/回答です。

pipTheGeek · Answer

私は大規模な組織で働いています。私のインターネットアクセスは、他のほとんどの人と同じように、Webプロキシを経由する必要があります。ネットワークセキュリティが設定されているため、IE設定を変更してプロキシをスキップすることはできません。特定の単語に気付いたときにTheDailyWTFフォーラムをときどきブロックする以外は、問題は発生しません。。私たちのインターネット接続の合計は、2000人のスタッフで約2 * 2Mbです。サービスパックをダウンロードする必要がある場合は不便な場合がありますが、一般的に少し計画を立てることで問題を防ぐことができます。それはまさにこの目的のためにオフィスにやってくるのです。だから、いいえ。開発者が最も厳格なインターネットポリシー以外から免除されるべき理由はわかりません。

Thomas · Answer

なぜ開発者にフープを飛び越えてもらいたいのですか？時間を使って実際の仕事をしてほしくないですか？

どのような問題を解決しようとしていますか？

彼らが会社の時間にFacebookを使わないように強制的に彼らを閉じ込めようとしているのなら、「会社の時間にFacebookを使わない」というポリシーを持ってみませんか？開発者を信頼しませんか？そうでない場合は、なぜ障壁を回避するスキルを持たない開発者を雇うのですか？

労働者の士気の問題もあります。それらをブロックするか、アクセスをログに記録することによってそれらを信頼しない場合、彼らはジョブを切り替えたいと思うでしょう。雇用主がインターネットアクセスを記録した場合、私は積極的に新しい仕事を探していることを知っています。人々を犯罪者のように扱い、彼らは犯罪者のように振る舞います。

Rob Moir · Answer

私が働いている場所// Everyone //はプロキシを経由します。大したことじゃないよ。これはインターネットポリシーを適用するために使用されますが、ブロックされるべきではないものを修正するために対応しています。

Whisk · Answer

ITを使用して人事問題を取り締まるのは悪い考えだと私はいつも思っていました。インターネットをいじって働いていない人に問題がある場合、インターネットアクセスを制限すると、他の方法で時間を無駄にするだけです。問題を止めたい場合は、根本原因に対処する必要があります。

これを行う方法は、仕事の種類に応じてさまざまな形をとることができます。

Beno&#238;t · Answer

ポルノやストリーミングコンテンツ（YouTubeなど）をブロックするだけで十分です。これは、squidまたは独自のネットワークアプライアンス（BlueCoatなど）を使用して行うことができます。

もっと重要なのは帯域幅を制限することだと思います。以前の仕事では、ネットワーク管理者として、開発チームとネットワーク接続を共有していました。また、一部の開発者がCD ISOなどをダウンロードしているときに、VPNを介してリモートシステムで作業している場合、それは面白くありません。

Vincent De Baere · Answer

あなたが発信httpsを許可するとすぐに、知識のある人なら誰でも彼/彼女が望むものにアクセスできるようになります（コルク栓抜きは誰ですか？）。本当に、政策と教育は技術に精通した人々にとってはるかに効果的です。

そうは言っても、ある程度のフィルタリングが適切かもしれませんが、それは簡単に回避できることに注意する必要があります。したがって、その防衛線だけに依存しないでください...

Oskar Duveborn · Answer

アウトバウンドアクセスを制限しすぎると、開発者はsslまたはsshを介して、外部のプライベートネットワークへの完全なトンネルを開くことになります。

... svnポートがブロックされているために、サンプル用にインターネット上の単純な暗号化されていないsvnリポジトリにアクセスできないことは、多くのことの中でも非常に厄介です:)

これらは、担当者とのレビューのために持ち出す必要があるものです。最初に決定を下し、その後に技術的な解決策を示します。

Bernd Haug · Answer

厳密にはトピックではありませんが、プロキシと開発者に関して、私が最初に行うことは、（Web）開発者が彼らのアプリがリバースの背後でうまく機能することを確認するように注意することですプロキシ、URL書き換え、その他すべて。

より話題になりますが、哲学的には、雇用主はアップリンクを通じて表示されるものを制御および監視するすべての権利を持っていますが、（a）世界の多くの場所、特にヨーロッパでは、法律はそれについて薄暗い見方をしています。勤務時間中にチューブを詰まらせないように自発的に動機付けられておらず、HTTP（ブラックリストが少ない）またはさらにSSHが許可されている場合に必要なものを確認する能力がない開発者がいます。問題はプロキシフィルタリングではありません。。

さて、QoSはまったく別の話ですが、フィルタリングです。

（編集：とにかく、QoSはフィルタリングする正しい方法かもしれません。これは少し受動的攻撃的に見えるかもしれず、厳密に技術的というより心理学からのものですが、顧客のファイアウォール管理者は、彼がものをブロックした場合、人々は方法を見つけるだろうとわかりました周り-それは非常に技術に精通したユーザーベースでした-しかし、彼がそれを使用できないほど遅くした場合、彼らはそうしませんでした。多分それはあなたに役立つでしょう...）

pgs · Answer

多分私達は質問を好転させるべきですか？

プロキシを配置して実行できない開発者は何をする必要がありますか？なぜ開発者は他の人とは異なる扱いを受ける必要があるのですか（Web /ネットアクセスに関して）？

Hirvox · Answer

必要なだけフィルタリング（およびキャッシュ！）しますが、念のため、自動構成プロキシ（できれば [〜＃〜] wpad [〜＃〜] ）を使用してください。開発者に強制的に使用させないでください。私は仕事用のラップトップをさまざまな場所（会社のネットワーク、パブリックおよびプライベートのWLAN、顧客のネットワークなど）から使用しているため、自動構成によって多くの手間が省けます。また、私は顧客宅内にあるまだ公開されていない（DNSなし）Webサイトを頻繁に使用しており、これらのサイトには特定のコンピューター（通常はVPNを使用）からのみアクセスできます。例外リストを維持したい場合を除いて、私が仕事をすることができるように、プロキシをバイパスさせてください。