随着远程工作成为常态,公司现在普遍使用苹果的自动设备注册或Windows Autopilot。
没有什么比在网上购买一台笔记本电脑,并将其发送给新员工、进行预配置更好的了。太棒了,对吧?是的,但它可能会变得更复杂。
为了在舰队解决这个问题,我们采取了一种混合方法。我们竭尽所能让设备更快。然后,通过谨慎管理风险,我们允许人们携带自己的设备(BYOD)。
在招聘过程中尽快购买笔记本电脑。这可能意味着,如果候选人改变主意,就必须支付一张运回的机票,但好处大于风险。
在你雇佣很多人的国家,藏一些笔记本电脑。你可以有一些低端的借贷者,或者,如果你通常订购相当标准的配置,可以保留其中一些作为缓冲区,以便不断更新。
为此,我们利用SaaS提供商的安全功能。在Fleet和许多其他组织中,Google Workspace是主要的生产力工具,它还用于验证其他SaaS工具中的员工。Office365具有类似的功能,但无论使用什么,都可以应用类似的原则来实现安全性和生产效率目标。
例如,允许访问web上的文件,但阻止在个人计算机上进行本地同步。
对于电子邮件数据,您也可以这样做,只允许通过web应用程序(如Gmail本身)从个人设备访问电子邮件,并且只允许对特定客户端(如iOS邮件客户端)使用IMAP。
减少对网络和端点的信任除了BYOD之外还有安全方面的好处,但也有一些选项,可以根据设备的安全状态和所有权,通过对应用程序和数据的动态访问级别来提高生产效率。
首先,身份验证必须是安全的。通过确保会话短、使用多因素身份验证(MFA)以及设备不能永久受信任,您可以降低在个人设备上使用SaaS帐户的风险。
它负责身份验证。现在,是时候根据设备的所有权和状态授予动态访问权限了。
首先,定义你的政策应该是什么。允许访问Slack不同于允许SSH访问包含个人客户数据的数据库服务器。在使用这些工具实施控制以支持该策略之前,您需要了解您试图实现的目标。
使用谷歌的上下文感知访问(Context Aware Access)或微软的条件访问(Conditional Access)等工具,在授予设备访问应用程序的权限之前,可以评估设备的所有权和状态。
作为一家开源公司,我们的代码的完整性高于机密性。许多专有项目也是如此。通过使用分支保护规则要求代码检查和提交签名,无论使用什么设备和git客户端,都可以保护代码的完整性。
在远程桌面上工作的解决方案可以使个人设备的关键用例成为可能。在接受它们的成本、复杂性和对用户体验的影响之前,确保您需要它们。
供应链问题会变得更好,但不会消失。即便如此,当新机型发布时,笔记本电脑的可用性通常也会受到影响。通过谨慎地允许个人电脑进行一些工作,你可以确保你的新员工能够高效地工作,并立即感到有用,同时平衡不断增长的组织的安全和生产力目标!